AI SecOps : mise en œuvre et bonnes pratiques
Les opérations de sécurité, ou SecOps, sont l'aboutissement de processus individuels qui empêchent les vulnérabilités et l'intrusion de risques dans les actifs sensibles de l'entreprise. Cela diffère légèrement du centre d'opérations de sécurité (SOC), qui est l'unité organisationnelle des personnes qui surveillent et préviennent les incidents de sécurité.
Cette distinction est importante car SecOps vise à intégrer les processus de sécurité au sein du pipeline opérationnel, alors que les SOC traditionnels séparent la sécurité de l'informatique, isolant ainsi les processus de sécurité. C'est pourquoi les SOC modernes mettent souvent en œuvre SecOps, comme moyen d'équilibrer la prévention des menaces avec des capacités de réponse aux incidents dédiées.
Parce que SecOps doit s’intégrer aux flux de travail IT et OT quotidiens, sans les gêner, l’automatisation SecOps est un élément essentiel de la stratégie. Cet article examine l’évolution de l’IA SecOps, les cas d’utilisation de l’IA dans SecOps et les meilleures pratiques pour la mise en œuvre de l’IA dans SecOps.
SIEM nouvelle génération
Stellar Cyber Next-Generation SIEM, en tant que composant essentiel de la plateforme Stellar Cyber Open XDR...
Découvrez la sécurité basée sur l'IA en action !
Découvrez l'IA de pointe de Stellar Cyber pour une détection et une réponse instantanées aux menaces. Planifiez votre démo dès aujourd'hui !
Introduction à l'IA SecOps
SecOps est une approche qui bénéficie d'un soutien considérable au sein des organisations soucieuses de la sécurité. Le SecOps de chaque organisation doit s'adapter à la configuration unique des actifs numériques, de l'infrastructure et des données sensibles de l'organisation, tout comme l'entreprise se développe et s'adapte aux changements du marché au fil du temps. Étant donné que SecOps intègre des mesures de sécurité tout au long du cycle de vie des opérations informatiques, il doit également intégrer la sécurité à chaque étape du développement et des opérations.
Pour y parvenir, le SOC doit disposer d'une visibilité continue et approfondie sur les appareils, les réseaux et les terminaux de pratiquement tous les utilisateurs, ce qui représente une quantité de données ahurissante. L'une des raisons pour lesquelles les équipes SOC étaient traditionnellement isolées de leurs homologues développeurs et informatiques était la gestion de toutes ces données. Au niveau des analystes, les équipes SOC avaient également besoin d'un grand nombre d'outils pour les extraire et les regrouper. Les outils de gestion des informations et des événements de sécurité (SIEM), les pare-feu et la détection et la réponse aux points finaux (EDR) ont tous contribué à traiter ces données et à les transformer en informations utiles.
L'IA dans les opérations de sécurité est désormais capable d'ingérer les données de sécurité au même rythme qu'elles sont produites. En conséquence, le Machine Learning – et sa nouvelle IA générative – sont responsables de la transformation de SecOps en un processus continu, permettant aux opérations de sécurité de suivre le rythme des changements informatiques et de développement. De plus, comme les plateformes pilotées par l'IA offrent des options d'automatisation plus nombreuses que jamais, l'évolution de SecOps est poussée vers des piles technologiques rationalisées, une complexité réduite et un retour sur investissement plus élevé.
Cas d'utilisation de l'IA dans SecOps
Découverte de menaces avec moins de faux positifs
Les modèles d’IA s’appuient sur de vastes ensembles de données : grâce à l’IA, les quantités d’alertes qui pouvaient autrefois submerger une équipe de sécurité peuvent désormais être ingérées, recoupées et utilisées pour en détecter d’autres. Cela contraste radicalement avec l’approche traditionnelle de détection des menaces, qui consistait simplement à empiler les outils de sécurité les uns sur les autres.
C'est la situation une société financière basée aux États-Unis Les analystes du SOC devaient démarrer chaque opération de sécurité en analysant les vastes quantités de données associées à chaque alerte. Et comme l'entreprise disposait de plusieurs logiciels de sécurité, elle devait identifier manuellement la même alerte sur chaque console et suivre individuellement chaque piste pour déterminer la validité d'une alerte et les dommages potentiels.
L'IA étant capable d'ingérer toutes les données brutes des journaux, du réseau et des appareils qui entrent dans le déclencheur d'alerte d'un outil, elle est alors en mesure de corréler cette alerte aux actions correspondantes sur le réseau, l'appareil ou le compte en question. Le résultat est beaucoup moins de fausses alertes et, en cas d'incident de sécurité réel, l'IA peut placer les alertes dans le contexte d'une chaîne d'attaque plus large.
Réponse automatisée aux incidents
Les manuels de jeu sont la pierre angulaire des capacités de réponse automatisées – ils permettent aux équipes réduites comme celles de Département informatique de l'Université de Zurich de mettre en œuvre rapidement certaines capacités de surveillance et de réponse en réponse à des alertes spécifiques. Par exemple, en cas d'incident affectant les terminaux d'un service, le responsable informatique correspondant peut être averti.
L'automatisation permet aux équipes restreintes de fournir une couverture 24h/7 et XNUMXj/XNUMX, même si elles ne disposent pas des effectifs nécessaires pour avoir des analystes de garde à tout moment. L'automatisation est rendue accessible via des manuels, qui indiquent exactement les mesures correctives que l'outil d'IA doit prendre en réponse à certains types d'alertes et d'incidents.
Alertes prioritaires et détection des menaces par l'IA
Les modèles d'IA peuvent être formés à partir d'attaques historiques et peuvent disposer d'une compréhension actualisée de l'ensemble des actifs d'une entreprise. Ils sont donc en mesure de classer les alertes en fonction du rayon d'explosion potentiel. Cela réduit considérablement la charge imposée aux processus SecOps manuels, qui nécessiteraient autrement de longues heures de travail pénibles.
La catégorisation des alertes occupait une grande partie du temps le temps d'un gouvernement municipal – dans ce cas, chaque analyste devait utiliser son propre outil de sécurité. Cela laissait des lacunes importantes que des vecteurs d’attaque complexes pouvaient potentiellement exploiter. Le tri assisté par l’IA leur a permis de réduire considérablement la charge de travail manuelle demandée à chaque analyste, ce qui lui a permis de découvrir la cause d’un incident en 10 minutes, plutôt qu’en plusieurs jours.
Cependant, savoir réellement où et comment implémenter l’IA dans SecOps est souvent le premier obstacle à la mise en œuvre.
Bonnes pratiques pour la mise en œuvre de l'IA dans SecOps
Définissez des objectifs mesurables pour votre déploiement d'IA
Les objectifs SMART font tourner le monde – et l'accent mis sur la mesurabilité est essentiel pour définir et mettre en œuvre avec succès un nouvel outil d'IA. Pour obtenir le meilleur retour sur investissement possible, il est préférable de commencer par identifier les processus SecOps qui occupent la majeure partie du temps de vos analystes.
Il peut s’agir d’un outil spécifique, comme un SIEM, ou d’une mesure plus large, comme le temps moyen de réponse (MTTR). Il peut s’agir d’une étape du flux de travail que les analystes ou le personnel informatique doivent suivre après qu’une alerte a atteint leur boîte de réception ; le point important est d’identifier précisément quel composant est à l’origine du plus grand ralentissement. Ce processus permettra d’établir une image précise du rôle qu’un outil d’IA devra remplir : si un problème majeur concerne la découverte d’actifs, alors l’intégration d’un pare-feu d’IA n’est peut-être pas la plus grande priorité.
Il est également préférable de commencer par faire de cet effort un effort collaboratif. L'implication des cadres dirigeants et des autres décideurs exécutifs est essentielle pour parvenir à un changement durable, et ils peuvent aider les services informatiques et de sécurité à visualiser les changements organisationnels requis.
Intégrez l'IA à vos outils et flux de travail existants
Les technologies d’IA prospèrent dans des environnements riches en données, mais elles doivent être capables d’extraire ces données de quelque part. Les intégrations personnalisées peuvent être difficiles et chronophages. Par conséquent, lorsque vous envisagez des solutions basées sur l’IA, évaluez leur capacité à s’intégrer à vos outils actuels. Il est extrêmement rare qu’une organisation doive repartir de zéro. Parfois, si votre SIEM, votre EDR ou votre pare-feu sont déjà opérationnels et que les ralentissements proviennent des ressources limitées des analystes, il est préférable de compléter votre SIEM par l’IA plutôt que de procéder à un remplacement.
Dans ce contexte, n’oubliez pas que l’IA nécessite de nombreuses données de sécurité. Si vous créez un ensemble de données à partir de zéro, vous devrez investir dans la création d’une infrastructure de données robuste et résiliente, associée à des protocoles de gouvernance stricts. Une infrastructure solide nécessite la mise en œuvre de solutions de stockage sécurisées, l’optimisation des capacités de traitement des données et la mise en place de systèmes de transmission de données efficaces pour prendre en charge la détection et la réponse aux menaces en temps réel. D’un autre côté, un produit tiers gère toutes ces données pour vous, mais assurez-vous de faire confiance au fournisseur.
Configurer l'équipe SecOps pour utiliser un système piloté par l'IA
Si l’outil d’IA doit être flexible, il doit aussi apporter des changements au travail quotidien des analystes. C’est à cela que sert l’IA. Les équipes concernées doivent savoir quels changements cela impliquera et à quoi devraient ressembler leurs propres flux de travail. Étant donné que les opérations de sécurité exigent déjà une formation complète sur les opérations de sécurité, elles doivent déjà être familiarisées avec les cadres de politiques et de procédures. De la même manière, la mise à jour de l’IA doit décomposer les processus en actions mesurables et en directives claires.
Cela étant dit, tenez compte des compétences et de l’expérience des membres actuels de SecOps. Si certains membres de l’équipe sont encore en train de faire leurs preuves, envisagez de choisir des outils d’IA accessibles qui les guident dans les actions automatisées ou les processus d’alerte. Cela leur permet de renforcer leur propre confiance lorsqu’ils s’attaquent aux menaces. La transparence renforce également la confiance entre l’équipe humaine et le moteur d’analyse de l’IA, tout en permettant au jugement de l’IA d’être affiné au fil du temps.
Créer des manuels de jeu
Les playbooks sont la base de la mise en œuvre de la sécurité de l'IA, et même si un outil d'IA peut être fourni avec des playbooks préétablis, il est recommandé de créer ou de modifier le vôtre, en fonction du cas d'utilisation spécifique dont vous avez besoin.
Par exemple, si une équipe gère de nombreuses communications par e-mail externes, il est important de créer des manuels pour gérer spécifiquement la menace de phishing par e-mail. Dans ce cas, une plateforme d'IA centrale détecte la grammaire ou les métadonnées suspectes d'un e-mail de phishing, ce qui déclenche ensuite le manuel associé. Dans ce cas, le manuel isole automatiquement l'e-mail (ou le terminal lui-même s'il existe des preuves de compromission), puis déclenche une réinitialisation du mot de passe. Un message est envoyé à l'administrateur de sécurité correspondant, qui reçoit toutes ces informations regroupées dans une seule alerte. Les manuels dont votre modèle d'IA a besoin dépendent de la configuration et des responsabilités de votre organisation.
Collectivement, ces meilleures pratiques SecOps pilotées par l’IA garantissent une transition en douceur vers SecOps piloté par l’IA, tout en offrant un retour sur investissement maximal.
Comment Stellar Cyber améliore l'IA SecOps
Détection automatique des incidents
Stellar Cyber élimine la dépendance à la détection manuelle des menaces et à l'identification des menaces basée sur des règles avec plusieurs couches d'IA.
La première de ces IA est axée sur la détection : l'équipe de recherche en sécurité de Stellar Cyber crée et forme des modèles supervisés à l'aide d'un mélange d'ensembles de données accessibles au public et générés en interne. Les menaces zero-day et inconnues sont détectables via des modèles d'apprentissage automatique parallèles non supervisés. Ces modèles établissent une base de référence du comportement du réseau et des utilisateurs sur plusieurs semaines. Une fois les signaux de données ingérés, une IA basée sur GraphML met en corrélation les détections et d'autres signaux de données, reliant automatiquement les points de données associés pour aider les analystes. Elle évalue la force de connexion entre différents événements en analysant les propriétés, le timing et les modèles de comportement.
D’autres formes d’IA s’appuient sur ces capacités de découverte de base. Elles apportent davantage de capacités d’accessibilité et de réponse aux organisations propulsées par Stellar Cyber.
Rendre SecOps accessible
Toutes les données de sécurité en temps réel d'une organisation sont représentées dans deux formats principaux : le premier dans la chaîne de destruction située sur le tableau de bord, et le second via le Copilot.
Le tableau de bord XDR Kill Chain sert de page d'accueil par défaut pour Stellar Cyber, offrant une vue centralisée du risque global et des menaces détectées. Il permet des évaluations rapides en fournissant des analyses détaillées des incidents actifs, des actifs à haut risque et des tactiques d'attaque. Cette approche simplifiée aide les équipes de sécurité à hiérarchiser les problèmes critiques, quels que soient leurs points focaux individuels qui peuvent ensuite être approfondis.
Copilot AI, quant à lui, est un outil d'investigation basé sur le LLM qui accélère les projets d'analyse des menaces des analystes en fournissant des réponses instantanées aux requêtes. Cela le rend parfait pour une récupération et une explication rapides des données, en intégrant davantage l'outil dans les projets SecOps.
Visibilité omni-surface
Stellar Cyber ingère les journaux et les données de sécurité via plusieurs types de capteurs. Les capteurs de réseau et de sécurité collectent les métadonnées des commutateurs physiques et virtuels tout en agrégeant les journaux pour une visibilité complète. Son inspection approfondie des paquets (DPI) analyse les charges utiles à un rythme soutenu. Les capteurs de serveur, quant à eux, sont capables de collecter des données à partir des serveurs Linux et Windows, capturant le trafic réseau, les commandes, les processus, les fichiers et l'activité des applications. Attendez-vous à une compatibilité totale à partir de Windows 98 et des distributions Linux telles que Ubuntu, CoreOS et Debian.
La plateforme est installée partout où la visibilité est nécessaire : qu'elle soit basée sur le cloud, hybride ou entièrement sur site (ou basée sur un locataire), Stellar Cyber intègre des données provenant de n'importe où.
Réponse avancée de l'IA
Les capacités de réponse de Stellar Cyber étendent l'intégration de l'outil avec les outils de sécurité existants : plutôt que de simplement ingérer des données, Stellar peut toutefois prendre des mesures automatiquement via ces mêmes outils.
Étant donné que Stellar se concentre sur une mise en œuvre rapide, il est livré avec 40 manuels de recherche de menaces prédéfinis qui couvrent l'ensemble de la surface d'attaque, comme les échecs de connexion Windows, l'analyse DNS et Microsoft 365. Cela rend la détection et la réponse aux menaces plus accessibles, même pour les équipes sans expertise approfondie en sécurité.
Stellar Cyber s'intègre parfaitement aux pare-feu, à la sécurité des terminaux, aux outils de gestion des identités et des accès, aux systèmes de billetterie et aux applications de messagerie pour faire évoluer les opérations de sécurité. Pour des besoins d'orchestration plus avancés, il prend en charge l'intégration avec les principales plateformes SOAR pour une réponse aux menaces rationalisée et efficace. Les entreprises utilisant Stellar Cyber bénéficient d'un contrôle granulaire sur les déclencheurs, les conditions et les résultats de chaque manuel, ce qui leur permet de suivre de près et avec précision les meilleures pratiques SecOps. Les manuels peuvent être déployés à l'échelle mondiale ou par locataire.
Découvrez Stellar Cyber AI SecOps
Plateforme Stellar Cyber simplifie l'adoption de l'IA dans SecOps en se concentrant sur une mise en œuvre rapide. Il permet aux entreprises de réaliser des opérations de sécurité plus efficaces et efficientes sans un processus de mise en œuvre long ou bloqué par le fournisseur. Ses capacités d'automatisation sont disponibles dès la sortie de la boîte - pour explorer l'environnement et les capacités de Stellar Cyber, planifier une démo.
