Stellar Cyber ​​Open XDR - الشعار
Stellar Cyber ​​Open XDR - الشعار
Stellar Cyber ​​Open XDR - الشعار

التنبيهات والأحداث والحوادث: أين يجب أن يركز فريق الأمن لديك؟

التنبيهات والأحداث والحوادث: أين يجب أن يركز فريق الأمن لديك

كما الأمن السيبراني مشهد التهديدات يتطور وكذلك الطريقة التي نحتاجها للنظر في تلك التهديدات. قرع طبول الخروقات الجديدة مستمر. إذا قرأت الأخبار ، فستجعلك تعتقد أن هناك تكتيكًا رئيسيًا واحدًا فقط يستفيد منه المهاجمون في حادث ضد أهدافهم. هذا ليس هو الحال ببساطة ، ونحن بحاجة إلى طريقة جديدة لوصف وتتبع هذه الأحداث.

على المدى محزر و EVENT تحتاج إلى تعريف واضح. تستخدم فرق SOC اليوم العديد من التقنيات المختلفة لاكتشاف التهديدات. يمتلك العديد من العملاء الكبار 30 أو أكثر من تقنيات الأمان في دفاعهم في بنية العمق. كل واحدة من هذه التقنيات تولد تنبيهات خاصة بها. إنها وظيفة محلل SOC لمراجعة هذه التنبيهات الفردية وربطها ودمجها في فعاليات . يتطلب الأمر محللًا متمرسًا لكتابة القواعد لربط الاختلاف تنبيهات يرون في فعاليات أو لإزالة تكرار عدد كبير من نفس التنبيهات لحدث واحد.

يعرف المهاجمون أن هذه عملية يدوية تستغرق وقتًا طويلاً. يستفيدون من تكتيكات متعددة لإغراق محللي SOC بها تنبيهات من أدوات الأمان الخاصة بهم. على سبيل المثال ، قد يستفيد المهاجم من استغلال معروف لتوليد العديد من أحداث IDS. إذا نجحوا ، فسيؤدي ذلك إلى إلهاء كبير لـ شركة نفط الجنوب الفريق.

أثناء تعاملهم مع أحداث IDS هذه ، ربما يكون المهاجمون قد أسسوا بالفعل موطئ قدم في البيئة من خلال القوة الغاشمة لتسجيل الدخول إلى أحد خوادمهم الهامة. بعد ذلك ، يمكنهم فحص الشبكة الداخلية من هذا الخادم المهم. إذا وجدوا خادمًا آخر في البيئة به بيانات مهمة في قاعدة بيانات SQL ، فيمكنهم اختراقه وتشغيل أمر تفريغ SQL. يؤدي هذا إلى وضع محتويات قاعدة البيانات بالكامل في ملف يمكن تسريبه من خلال نفق DNS الذي ينشئونه إلى عنوان IP خارجي.

هذا مثال بسيط للغاية لما يحدث في ملف حادث. أحداث متعددة يجب أن تكون مرتبطة بالحادث. هنا تسلسل هرمي بسيط:

تحليل حركة مرور الشبكة

مع العدد الهائل من التنبيهات ، نحتاج إلى النظر في كيفية الاستفادة من التكنولوجيا للمساعدة في التصنيف والارتباط لتحسين فعالية SOC. يمكن الاستفادة من الذكاء الاصطناعي والتعلم الآلي عبر مجموعة البيانات هذه من الأدوات القوية للغاية.

  • تعلم الآلة الخاضع للإشراف - قادر على اكتشاف الملفات وأسماء النطاقات وعناوين URL التي لم يتم تحديدها مسبقًا. هذه هي البيانات الموجودة بشكل شائع في تنبيهات.
  • التعلم الآلي غير الخاضع للإشراف - يطور الخطوط الأساسية للسلوك الطبيعي للشبكات والأجهزة والمستخدمين. يمكن أن يكتشف هذا الأحداث داخل شبكة العملاء من خلال الارتباط والجمع تنبيهات.
  • التعلم الآلي العميق - يبحث في مشهد التهديدات في البيئة بأكملها ويبحث عن الاتصالات. قادرة على الارتباط فعاليات إلى الحوادث.

تعلم الآلة يمكن أن تساعد أيضًا في تسجيل حدث أو حادث. عندما يراجع محللو الأمن الحوادث المفتوحة ، فإن هذا يسمح لهم باختيار الحادث ذي الأولوية القصوى ، والرد على الفور

إذا تم الاستدانة بشكل صحيح ، فإن لديهم القدرة على تحديد التهديدات المتصلة بشكل أسرع ، لذا فإن شركة نفط الجنوب يمكن للمحلل التركيز على المعالجة بدلاً من ربط التنبيهات للكشف والانتقال من الموقف التفاعلي إلى الموقف الاستباقي في العملية.