Le temps est venu pour la technologie de la cybersécurité de suivre les adversaires. Maintenant que nous avons vu tant d'attaques en plusieurs étapes réussies, nous devons réévaluer la façon dont nous corrélons les signaux que nous voyons de tous les outils de sécurité dans nos environnements. La corrélation est utile, mais elle ne brosse pas toujours le tableau complet. Quelle est la prochaine phase de détection et de réponse ?
Pour comprendre cela, nous devons examiner les frameworks actuels qui aident les équipes de sécurité à organiser leurs tâches quotidiennes. La Lockheed Martin Kill Chain était un framework très populaire lorsque la prolifération des logiciels malveillants était la principale tactique. C'était très bon pour décrire les différentes étapes par lesquelles les attaquants sont passés pour déployer leur charge utile. Vient ensuite le framework MITRE ATT&CK. De nombreux experts s'en servent aujourd'hui, car il est plus complet et décrit les tactiques et les techniques qui sont devenues de plus en plus populaires auprès des attaquants au cours des dernières années.
Le problème avec ces frameworks volumineux et sophistiqués est qu'il est très difficile d'écrire des règles manuelles pour anticiper et corréler tous les signaux de vos sources de logs. Le volume de journaux collectés et conservés monte en flèche. C'est devenu un grand défi de données, même pour le plus petit des partenaires. Que peut-on faire pour résoudre ce défi?
L'intégration de la plate-forme de sécurité et du framework est la clé. Aujourd'hui, de nombreuses plates-formes fournissent des liens vers MITRE dans le cadre de leurs renseignements sur les menaces, mais c'est généralement après coup. Ce que nous devons faire, c'est organiser et présenter les alertes dans le cadre en temps réel. Les attaquants doivent réussir à plusieurs étapes du cadre pour atteindre leur objectif. Nous devons seulement réussir à les arrêter dans l'une des étapes. Plus l'étape est précoce, moins il y aura à nettoyer. Il existe certains processus clés dont vous avez besoin pour y parvenir.
Tout d'abord, vous avez besoin d'un ensemble de données standardisé et enrichi. Nous ne voulons plus que les analystes essaient de déterminer à quel point un signal est dangereux avant le fait - la solution doit tout comparer avec une plate-forme de renseignement sur les menaces et enrichir l'ensemble de données avec ces informations. avant l'enregistrement est créé. Une fois que les données sont dans un format standard, un composant AI/ML peut corréler les signaux de plusieurs vecteurs de menace dans l'environnement. Les alertes sont organisées au sein de la kill chain, qui correspond directement aux étapes du cadre d'attaque MITRE. Lorsqu'un analyste voit l'alerte, il n'y a aucun doute sur la façon de la hiérarchiser.
Pour les partenaires, organiser et gérer des centaines d'alertes par jour représente une tâche fastidieuse et gourmande en ressources. La solution doit intégrer un apprentissage automatique offrant une couche de corrélation supplémentaire, en considérant les attaques en plusieurs étapes comme des incidents et en attribuant à chaque incident un score de risque. Cette couche d'apprentissage automatique, qui va au-delà de la simple corrélation des alertes, permettra de réduire considérablement le temps nécessaire. SOC Les analystes consacrent du temps au regroupement des alertes en vue de leur analyse. Idéalement, la solution devrait leur permettre d'ajouter ou de supprimer des alertes relatives à un incident et d'ajuster le score de menace.
Stellar Cyber est le premier à fournir un XDRUne chaîne d'élimination ciblée, associée à une gestion des alertes basée sur les incidents et optimisée par l'apprentissage automatique, est essentielle. Il est temps d'exploiter l'automatisation grâce à l'apprentissage automatique pour détecter et neutraliser les adversaires. Pour en savoir plus, veuillez contacter brain@stellarcyber.ai.
