McAfee表示,为最大化保护的安全控制使安全控制变化
据麦克菲副总裁兼首席技术官,组织部署的各种威胁防御与组织部署的各种威胁防御之间的较低程度可以提供更好的防御。
“这就是我所谓的威胁防御相关悖论,”他每周告诉计算机,说如果一个组织使用完全对齐的技术,那么效力就没有总体增长。
Grobman表示,如果组织使用三个完美对齐的技术,所以如果一个完全对齐的技术,每个都有70%的效率,所以效果仍然只有70%。
“如果他们完全相关,这意味着它们基本上只是为了给所有东西带来相同的答案 - 他们都会发现同样的事情,”他说。
因此,部署额外技术并不一定导致更好的威胁检测,因此,McAfee的技术开发通常旨在与现有技术的低相关。
“如果我们正在考虑一种涵盖现有技术已经覆盖的新技术,那么我们很快就会解雇,除非它更便宜,”Grobman说。
“矛盾地,具有较低的相关性将导致更高水平的防御,因为零的相关性意味着每个技术的检测将独立于其他技术。”
他说,这意味着,如果存在零相关性,可能会提供70%的疗效率的技术可能会提供97.3%的疗效。
“由于他们是独立的,唯一的时间不会发现威胁是所有三个失败的时候,”Grobman说。
“并且由于每个失败的可能性30%,失败的综合可能性是0.3×3,为2.7%,减去100%的综合检测能力为97.3%。”
换句话说,Grobman,具有完全相同的检测率为70%,如果相关的相关或重叠水平低,可以通过分层实现更高的整体防御水平。
“使用这一概念,我们可以选择在自己身边看起来可能会折扣的技术,”他说。“即使一项技术只检测到几个威胁的百分比,如果它在一个区域,我们就没有覆盖,它可能是非常有价值的。”
Grobman说,拥有高度分析的技术和部署方法,使McAfee能够建立比焦点的安全供应商更好的防御能力。
“如果你采取一件事并试图更好,你将开始逐渐减少回报,但如果你在技术组织时代的多种技术层,只要你通过应用良好的科学方法来实现它,你就可以了可以通过自己的任何技术获得更好的结果。“
他说,符合这种方法,McAfee正在设计其产品,以允许包含不同的技术模块。
“所以,如果我们在我们的研究和开发实验室中找到了适合这个数学模型的实验室,我们只能将其送入产品。我们不必设计全新产品。“
这是一种思考分层安全的方式,这不仅仅是计算层数,而是需要了解Grobman的层之间的防守的相关性。
“当你深入考虑防守时,你必须了解你是否获得了真正改善安全的不相关的防御能力,而不仅仅是增加你的成本,”他说。
由于McAfee了解这一概念,Grobman表示,它使得能够更有效地进行分层防御,有时在一个产品中实现。“但是当它增加价值并且可以提供指数改进时,我们只会这样做,”他补充说。
Grobman表示,McAfee使用了McAfee使用分层技术的示例是在其端点安全产品中使用两种不同的机器学习模块。一个是结构机器学习技术,另一个是行为机器学习技术,因此可以在它们是什么以及他们所做的事情上检测到恶意活动。
“如果您有一个使用Winzip的脚本并openssl实现ransomware,那些组件也不差,结构机器学习模块不会检测到,”Grobman说。“但行为,如果它开始加密磁盘上的所有内容,那就糟糕了,将由行为机器学习模块检测到。
“在测试中,我们发现这两种技术相当不相关,所以我们通过两个技术都得到了很多价值。因此,真正了解技术如何彼此相关的细微差别将使我们能够建立比竞争对手从单个角度看待事物的竞争对手。“