Les MSSP traitent tous un nombre écrasant d'alertes quotidiennement - mais comment les partenaires les plus performants gèrent-ils l'afflux ?
Construction MSSP l'industrie a vu une augmentation significative des attaques contre les MSP et Partenaires MSSP cette année. Cela a conduit à plusieurs nouvelles attaques sur tout, de Outils RMM aux candidatures. Nous traitons tous quotidiennement un nombre écrasant d'alertes - alors comment les partenaires les plus performants gèrent-ils cela ?
Commencez par la chaîne de destruction. Le cadre le plus populaire aujourd'hui est le MITRE cadre d'attaque. Si vous pouvez analyser vos alertes sous cet angle, vous pouvez commencer à réduire votre SOC Réduisez considérablement la charge de travail des équipes. Commencez par la phase de reconnaissance. Pourquoi par là ? Parce que si vous coupez les connexions avant que les attaquants ne prennent pied, vous pouvez éliminer une grande partie du travail de recherche et de nettoyage que votre équipe effectue actuellement.
Un bon exemple est log4j. Cela a été une grande nuisance pour le dernier mois ou plus. De nombreux attaquants en profitent car cela crée actuellement beaucoup de bruit. D'une certaine manière, il a été amplifié par le crowdsourcing par plusieurs groupes d'attaque - plus il y a d'attaquants qui l'utilisent, plus vous verrez d'alertes qui y sont liées.
Ces analyses initiales ne fournissent aucune charge utile, mais elles créent une tonne de travail pour votre SOC. Si vous pouvez connecter l'analyse à la communication avec un actif de votre réseau, vous pouvez limiter votre réponse aux menaces réelles envers votre client. C'est un domaine où l'apprentissage automatique peut améliorer considérablement vos chances de réussite.
En tirant parti de l'apprentissage automatique non supervisé, vous pouvez déterminer si une machine particulière a déjà communiqué avec un hôte externe ou exécuté une application particulière telle que log4j. Plus important encore, vous pouvez également détecter si des données sont exfiltrées. Stellar Cyber a développé une plate-forme qui peut mapper cela au MITRE framework d'attaque pour identifier rapidement ce comportement, le mettre en scène dans la chaîne de mise à mort et recommander une tactique de remédiation. Armé de ce contexte, vous pouvez adopter une approche beaucoup plus ciblée pour répondre et vous n'aurez pas besoin d'acheter ou de déployer des détections spéciales auprès de plusieurs fournisseurs.
De plus, si vous détectez une connexion à un hôte malveillant connu, vous pouvez automatiquement mettre fin à la connexion sur le pare-feu et sur l'appareil. Avec les règles de chasse aux menaces automatisées, vous pouvez choisir une détection, définir la condition et la Plateforme cybernétique stellaire peut initier la réponse via des intégrations avec votre pare-feu et Outil EDR. En fin de compte, cela accomplit trois choses très importantes :
- Réduisez le temps de détection des événements réels.
- Éteignez le bruit.
- Automatisez la réponse pour réduire les risques.
Lorsque vous disposez d'une plate-forme entièrement intégrée effectuant ces tâches, c'est simple. Si vous souhaitez en savoir plus, veuillez contacter Brian Stoner chez Stellar Cyber.
