По мере того как вычислительные системы становятся все более крупными и сложными, криминалистика становится все более важной частью того, как организации могут лучше защитить их. Как показал недавний взлом Solar Winds, дело не только в возможности идентифицировать потерю данных или вообще предотвратить проникновение хакеров. В случаях, когда сеть уже была взломана, тщательное расследование часто является единственным способом определить, что произошло, если нарушение все еще активно и может ли злонамеренный хакер нанести новый удар.
В знак этого растущего приоритета стартап под названием Cado Security, который создал облачную технологию криминалистики для проведения этих расследований, объявляет о выделении 10 миллионов долларов на расширение своего бизнеса.
Сегодня инструменты Cado используются непосредственно организациями, но также и компаниями по обеспечению безопасности, такими как Redcted – несколько незаметный стартап в Сан-Франциско, основанный бывшим начальником службы безопасности Facebook Максом Келли и Джоном Херингом, соучредителем Lookout. Он использует Cado для выполнения криминалистической части своей работы.
Финансированием лондонского Cado руководит Blossom Capital, в котором, среди прочих, также участвуют существующие инвесторы Ten Eleven Ventures. В качестве еще одного сигнала спроса, эта серия A появится всего через шесть месяцев после того, как Cado увеличила свой посевной раунд.
Задача защиты данных в цифровых сетях с годами становится все более сложной: появляется не только больше устройств, больше данных и более широкий спектр конфигураций и способов использования, но и злонамеренные хакеры становятся все более изощренными в своих подходах к проникновению в сети. и делают свою грязную работу.
Переход в облако также стал важным фактором. Хотя это помогло волне организаций расшириться и запустить гораздо более крупные вычислительные процессы, являющиеся частью их бизнес-операций, оно также увеличило так называемую поверхность атаки и значительно усложнило расследования, не в последнюю очередь потому, что многие организации используют эластичные процессы. масштабирование их емкости вверх и вниз: это означает, что когда что-то уменьшается, журналы предыдущей активности по существу исчезают.
Продукт Cado Response, который проактивно работает в сети и во всех ее действиях после установки, создан для работы в облачных, локальных и гибридных средах. В настоящее время он доступен для развертываний AWS EC2 и контейнерных систем Docker, Kubernetes, OpenShift и AWS Fargate, и в ближайшее время планируется расширить его до Azure. (По словам генерального директора Джеймса Кэмпбелла, облачная платформа Google в настоящее время не является приоритетной, поскольку она редко встречается с текущими и потенциальными клиентами.)
Кэмпбелл стал соучредителем Cado с Кристофером Доманом (технический директор) в апреле прошлого года, при этом концепция компании основана на их опыте совместной работы над службами безопасности в PwC и, соответственно, для государственных организаций (Кэмпбелл в Австралии) и AlienVault (служба безопасности). фирма, приобретенная AT&T). Во всех этих случаях одна постоянная проблема, с которой оба продолжали сталкиваться, – это проблема с адекватными данными судебной экспертизы, необходимыми для отслеживания самых сложных нарушений.
По словам Кэмпбелла, многие устаревшие инструменты криминалистической экспертизы, в частности те, которые используются для обработки массива данных в облаке, основывались на «обработке данных с открытым исходным кодом и объединении анализа в электронных таблицах». «Это пространство необходимо модернизировать к эпохе облачных вычислений».
При типичном взломе может потребоваться до месяца, чтобы провести тщательное расследование, чтобы выяснить, что происходит, поскольку, как описывает это Доман, криминалистическая экспертиза изучает «каждую часть диска, файлы в двоичной системе». Вы просто не можете найти то, что вам нужно, не поднявшись на этот уровень, эти журналы. Мы бы все посмотрели ».
Однако это создало серьезную проблему. «Провести месяц с хакером, прежде чем вы сможете что-то с этим сделать, просто неприемлемо», – добавил Кэмпбелл. В результате, как правило, другие инструменты криминалистической экспертизы исследуют только около 5% данных организации.
По словам пары, решение, на которое Cado подал патенты, по существу включало создание инструментов для работы с большими данными, которые могут автоматизировать и ускорить очень трудоемкий процесс просмотра журналов активности, чтобы выяснить, что выглядит необычно, и найти закономерности во всех единицы и нули.
«Это дает специалистам по безопасности больше возможностей сосредоточиться на том, чем занимается хакер, на аспекте исправления», – пояснил Кэмпбелл.
Возможно, если бы существовала лучшая, более быстрая технология отслеживания и расследования, что-то вроде солнечного ветра могло бы быть лучше смягчено.
План компании состоит в том, чтобы обеспечить больше интеграций, чтобы охватить большее количество типов систем, и выйти за рамки развертываний, которые вы обычно классифицируете как «инфраструктура как услуга».
«За последний год предприятия сократили сроки внедрения облака, одновременно защищая приложения, которые позволяют их удаленным сотрудникам», – сказал Имран Гори, партнер Blossom Capital. «Тем не менее, как показывают такие громкие нарушения, как SolarWinds, сложность облачных сред чрезвычайно затрудняет быстрое расследование и реагирование, поскольку аналитики безопасности обычно не имеют подготовки в качестве экспертов по облачным вычислениям. Cado Security решает эту проблему с помощью элегантного решения, которое автоматизирует трудоемкие задачи, такие как сбор криминалистически надежных облачных данных, чтобы группы безопасности могли работать быстрее и эффективнее. Возможность помочь Cado Security в быстром росте является прекрасной возможностью для Blossom Capital ».