Rechercher
Fermez ce champ de recherche.

Alertes, événements, incidents: sur quoi votre équipe de sécurité doit-elle se concentrer?

Alertes, événements, incidents: sur quoi votre équipe de sécurité doit-elle se concentrer?

L' cybersécurité Le paysage des menaces évolue, tout comme la façon dont nous devons examiner ces menaces. Le rythme des nouvelles brèches est continu. Si vous lisez les nouvelles, vous seriez amené à croire qu'il n'y a qu'une seule tactique majeure que les attaquants utilisent dans un INCIDENT contre leurs cibles. Ce n'est tout simplement pas le cas, et nous avons besoin d'une nouvelle façon de décrire et de suivre ces événements.

Le terme ALERTE et EVENT doivent être clairement définis. Aujourd'hui, les équipes SOC utilisent de nombreuses technologies différentes pour détecter les menaces. De nombreux grands clients ont 30 technologies de sécurité ou plus dans leur architecture de défense en profondeur. Chacune de ces technologies génère ses propres ALERTES spécifiques. C'est le travail du Analyste SOC pour examiner ces alertes individuelles, les corréler et les combiner en ÉVÉNEMENTS. Il faut un analyste expérimenté pour écrire des règles pour relier les différents ALERTES ils voient dans ÉVÉNEMENTS ou pour dédupliquer un grand nombre des mêmes ALERTES en un seul ÉVÉNEMENT.

Les attaquants savent qu'il s'agit d'un processus manuel qui prend du temps. Ils exploitent plusieurs tactiques pour submerger les analystes SOC avec ALERTES de leurs outils de sécurité. Par exemple, l'attaquant peut exploiter un exploit connu pour générer de nombreux événements IDS. S'ils réussissent, cela crée une énorme distraction pour le SOC Équipe.

Alors qu'ils traitent ces événements IDS, les attaquants peuvent avoir déjà pris pied dans l'environnement via une connexion par force brute à l'un de leurs serveurs critiques. Ensuite, ils peuvent analyser le réseau interne à partir de ce serveur critique. S'ils trouvent un autre serveur dans l'environnement avec des données critiques dans une base de données SQL, ils peuvent le compromettre et exécuter une commande de vidage SQL. Cela place tout le contenu de la base de données dans un fichier qui peut être exfiltré via le tunnel DNS qu'ils créent vers une adresse IP externe.

Ceci est un exemple très simple de ce qui se passe dans un INCIDENT. Plusieurs événements doivent être corrélés à l'incident. Voici une hiérarchie simple:

Analyse du trafic réseau

Compte tenu du nombre considérable d'ALERTES, nous devons examiner comment nous pouvons tirer parti de la technologie pour aider à la classification et à la corrélation afin d'améliorer l'efficacité du SOC. L'intelligence artificielle et l'apprentissage automatique mis à profit dans cet ensemble de données peuvent être des outils très puissants.

  • Apprentissage automatique supervisé - capable de détecter des fichiers, des noms de domaine et des URL précédemment non identifiés. Ce sont les données communément trouvées dans ALERTES.
  • Apprentissage automatique non supervisé - développe des bases de comportement normal pour les réseaux, les appareils et les utilisateurs. Cela peut détecter des ÉVÉNEMENTS au sein du réseau client en corrélant et en combinant ALERTES.
  • Apprentissage automatique en profondeur - examine le paysage des menaces dans tout l'environnement et recherche des connexions. Capable de corréler ÉVÉNEMENTS développement INCIDENTS.

La Apprentissage automatique peut également aider à marquer un événement ou un incident. Lorsque les analystes de sécurité examinent les incidents ouverts, cela leur permet de choisir l'incident de priorité la plus élevée et de réagir immédiatement.

Exploités correctement, ils ont le potentiel d'identifier plus rapidement les menaces connectées afin que SOC L'analyste peut se concentrer sur la correction plutôt que sur la corrélation des alertes pour la détection et passer d'une position réactive à une position proactive dans le processus.