Como los riesgos de seguridad cibernética El panorama de amenazas está evolucionando, por lo que también lo es la forma en que debemos analizar esas amenazas. El tamborileo de nuevas infracciones es continuo. Si lee las noticias, se le hará creer que solo hay una táctica importante que los atacantes aprovechan en un INCIDENTE contra sus objetivos. Ese simplemente no es el caso, y necesitamos una nueva forma de describir y rastrear estos eventos.
El término ALERTA y EVENT necesitan estar claramente definidos. Hoy SOC Los equipos utilizan diversas tecnologías para detectar amenazas. Muchos grandes clientes cuentan con 30 o más tecnologías de seguridad en su arquitectura de defensa en profundidad. Cada una de estas tecnologías genera sus propias alertas específicas. Es tarea del... SOC analista para revisar estas alertas individuales y correlacionarlas y combinarlas en EVENTOS. Se necesita un analista experimentado para escribir reglas para conectar los diferentes ALERTAS ellos están viendo en EVENTOS o para deduplicar un gran número de las mismas ALERTAS en un solo EVENTO.
Los atacantes saben que este es un proceso manual que requiere mucho tiempo. Utilizan múltiples tácticas para saturar el sistema. SOC analistas con ALERTAS de sus herramientas de seguridad. Por ejemplo, el atacante puede aprovechar un exploit conocido para generar numerosos eventos IDS. Si tienen éxito, esto crea una gran distracción para el SOC .
Mientras se enfrentan a estos eventos de IDS, es posible que los atacantes ya se hayan establecido en el entorno mediante un inicio de sesión de fuerza bruta en uno de sus servidores críticos. A continuación, pueden escanear la red interna desde ese servidor crítico. Si encuentran otro servidor en el entorno con datos críticos en una base de datos SQL, pueden comprometerlo y ejecutar un comando de volcado de SQL. Esto coloca todo el contenido de la base de datos en un archivo que se puede filtrar a través del túnel DNS que crean a una dirección IP externa.
Este es un ejemplo muy simple de lo que sucede en un INCIDENTE. Es necesario correlacionar varios eventos con el incidente. Aquí hay una jerarquía simple:
Con la gran cantidad de ALERTAS, debemos analizar cómo podemos aprovechar la tecnología para ayudar en la clasificación y correlación para mejorar la eficacia de la SOCLa inteligencia artificial y el aprendizaje automático aprovechados en este conjunto de datos pueden ser herramientas muy poderosas.
- Aprendizaje automático supervisado - capaz de detectar archivos, nombres de dominio y URL no identificados previamente. Estos son los datos que se encuentran comúnmente en ALERTAS.
- Aprendizaje automático no supervisado - desarrolla líneas de base de comportamiento normal para redes, dispositivos y usuarios. Esto puede detectar EVENTOS dentro de la red del cliente al correlacionar y combinar ALERTAS.
- Aprendizaje automático profundo - observa el panorama de amenazas en todo el entorno y busca conexiones. Capaz de correlacionar EVENTOS cobren INCIDENTES.
La función Aprendizaje automático también puede ayudar a puntuar un evento o incidente. Cuando los analistas de seguridad revisan los incidentes abiertos, esto les permite elegir el incidente de mayor prioridad y responder de inmediato.
Aprovechados correctamente, tienen el potencial de identificar las amenazas conectadas más rápido para que el SOC El analista puede centrarse en la corrección en lugar de correlacionar las alertas para la detección y pasar de una postura reactiva a una proactiva en el proceso.
