يتعامل جميع MSSP مع عدد هائل من التنبيهات يوميًا - ولكن كيف يدير الشركاء الأكثر نجاحًا هذا التدفق؟
استخدم MSSPs شهدت الصناعة زيادة كبيرة في الهجمات على MSP و شركاء MSSP هذه السنة. وقد أدى ذلك إلى عدة هجمات جديدة على كل شيء من أدوات RMM للتطبيقات. نتعامل جميعًا مع عدد هائل من التنبيهات يوميًا - فكيف يدير الشركاء الأكثر نجاحًا هذا الأمر؟
ابدأ بسلسلة القتل. الإطار الأكثر شيوعًا اليوم هو ميتري إطار عمل الهجوم. إذا استطعت النظر إلى تنبيهاتك من خلال هذه العدسة، يمكنك البدء في تقليل... SOC يُخفف ذلك بشكل كبير من عبء عمل الفرق. ابدأ بمرحلة الاستطلاع. لماذا نبدأ من هناك؟ لأنه إذا تمكنت من قطع الاتصالات قبل أن يتمكن المهاجمون من ترسيخ أقدامهم، يمكنك التخلص من جزء كبير من عمليات البحث والتنظيف التي يقوم بها فريقك اليوم.
خير مثال على ذلك log4j. لقد كان هذا مصدر إزعاج كبير للشهر الماضي أو نحو ذلك. يستفيد العديد من المهاجمين من هذا لأنه يتسبب حاليًا في حدوث الكثير من الضوضاء. بطريقة ما تم تضخيمها من خلال التعهيد الجماعي من قبل مجموعات هجوم متعددة - فكلما زاد عدد المهاجمين الذين يستخدمونها ، زادت التنبيهات التي تراها مرتبطة بها.
لا تقدم عمليات الفحص الأولية هذه أي حمولة ، لكنها تخلق الكثير من العمل من أجلك SOC. إذا كان بإمكانك توصيل الفحص بالاتصال بأصل في شبكتك ، فيمكنك تقييد استجابتك للتهديدات الفعلية لعميلك. هذا مجال يمكن أن يحسن فيه التعلم الآلي من فرصتك في النجاح بشكل كبير.
بالاستفادة من التعلم الآلي غير الخاضع للإشراف ، يمكنك تحديد ما إذا كان جهاز معين قد تواصل مع مضيف خارجي أو تشغيل تطبيق معين مثل log4j. الأهم من ذلك ، يمكنك أيضًا اكتشاف ما إذا كان يتم تهريب البيانات. طورت Stellar Cyber منصة يمكنها تعيين هذا إلى ميتري إطار عمل الهجوم لتحديد هذا السلوك بسرعة ، ووضعه في سلسلة القتل ، والتوصية بتكتيك علاجي. مسلحًا بهذا السياق ، يمكنك اتباع نهج أكثر استهدافًا للاستجابة ولن تحتاج إلى شراء أو نشر عمليات اكتشاف خاصة من بائعين متعددين.
بالإضافة إلى ذلك ، إذا اكتشفت اتصالاً بمضيف ضار معروف ، فيمكنك إنهاء الاتصال تلقائيًا على جدار الحماية وعلى الجهاز. باستخدام قواعد البحث التلقائي عن التهديدات ، يمكنك اختيار اكتشاف وتعيين الحالة و منصة Stellar Cyber يمكن بدء الاستجابة من خلال عمليات التكامل مع جدار الحماية الخاص بك و أداة EDR. في النهاية ، يحقق هذا ثلاثة أشياء مهمة جدًا:
- تقليل الوقت لاكتشاف الأحداث الفعلية.
- قم بضبط الضوضاء.
- أتمتة الاستجابة لتقليل المخاطر.
عندما يكون لديك نظام أساسي متكامل يؤدي هذه المهام ، يكون الأمر بسيطًا. إذا كنت مهتمًا بمعرفة المزيد ، فيرجى التواصل مع بريان ستونر في Stellar Cyber.
