Comme le dit l' les services de cybersécurité Le paysage des menaces évolue, tout comme la façon dont nous devons examiner ces menaces. Le rythme des nouvelles brèches est continu. Si vous lisez les nouvelles, vous seriez amené à croire qu'il n'y a qu'une seule tactique majeure que les attaquants utilisent dans un INCIDENT contre leurs cibles. Ce n'est tout simplement pas le cas, et nous avons besoin d'une nouvelle façon de décrire et de suivre ces événements.
Le terme ALERTE et EVENT doivent être clairement définies. Aujourd'hui SOC Les équipes utilisent de nombreuses technologies différentes pour détecter les menaces. De nombreux grands clients intègrent 30 technologies de sécurité, voire plus, dans leur architecture de défense en profondeur. Chacune de ces technologies génère ses propres alertes. Il incombe aux équipes de détecter ces alertes. SOC analyste pour examiner ces alertes individuelles, les corréler et les combiner en ÉVÈNEMENTS . Il faut un analyste expérimenté pour écrire des règles pour relier les différents ALERTES ils voient dans ÉVÈNEMENTS ou pour dédupliquer un grand nombre des mêmes ALERTES en un seul ÉVÉNEMENT.
Les attaquants savent qu'il s'agit d'un processus manuel et fastidieux. Ils utilisent donc plusieurs tactiques pour submerger le système. SOC analystes avec ALERTES de leurs outils de sécurité. Par exemple, l'attaquant peut exploiter un exploit connu pour générer de nombreux événements IDS. S'ils réussissent, cela crée une énorme distraction pour le SOC Équipe.
Alors qu'ils traitent ces événements IDS, les attaquants peuvent avoir déjà pris pied dans l'environnement via une connexion par force brute à l'un de leurs serveurs critiques. Ensuite, ils peuvent analyser le réseau interne à partir de ce serveur critique. S'ils trouvent un autre serveur dans l'environnement avec des données critiques dans une base de données SQL, ils peuvent le compromettre et exécuter une commande de vidage SQL. Cela place tout le contenu de la base de données dans un fichier qui peut être exfiltré via le tunnel DNS qu'ils créent vers une adresse IP externe.
Ceci est un exemple très simple de ce qui se passe dans un INCIDENT. Plusieurs événements doivent être corrélés à l'incident. Voici une hiérarchie simple:
Face au nombre considérable d'alertes, nous devons examiner comment tirer parti de la technologie pour faciliter la classification et la corrélation afin d'améliorer l'efficacité du système. SOCL'intelligence artificielle et l'apprentissage automatique, appliqués à cet ensemble de données, peuvent constituer des outils très puissants.
- Apprentissage automatique supervisé - capable de détecter des fichiers, des noms de domaine et des URL précédemment non identifiés. Ce sont les données communément trouvées dans ALERTES.
- Apprentissage automatique non supervisé - développe des bases de comportement normal pour les réseaux, les appareils et les utilisateurs. Cela peut détecter des ÉVÉNEMENTS au sein du réseau client en corrélant et en combinant ALERTES.
- Apprentissage automatique en profondeur - examine le paysage des menaces dans tout l'environnement et recherche des connexions. Capable de corréler ÉVÈNEMENTS développement INCIDENTS.
L'espace Apprentissage automatique peut également aider à marquer un événement ou un incident. Lorsque les analystes de sécurité examinent les incidents ouverts, cela leur permet de choisir l'incident de priorité la plus élevée et de réagir immédiatement.
Exploités correctement, ils ont le potentiel d'identifier plus rapidement les menaces connectées afin que SOC L'analyste peut se concentrer sur la correction plutôt que sur la corrélation des alertes pour la détection et passer d'une position réactive à une position proactive dans le processus.
