के रूप में साइबर सुरक्षा खतरा परिदृश्य विकसित हो रहा है इसलिए हमें उन खतरों को देखने की आवश्यकता है। नए उल्लंघनों का ढोल लगातार बज रहा है। यदि आप समाचार पढ़ते हैं, तो आपको यह विश्वास करने के लिए प्रेरित किया जाएगा कि हमलावरों का लाभ उठाने में केवल एक बड़ी रणनीति है घटना उनके निशाने पर। यह केवल मामला नहीं है, और हमें इन घटनाओं का वर्णन करने और उन्हें ट्रैक करने के लिए एक नया तरीका चाहिए।
अवधि चेतावनी और घटना स्पष्ट रूप से परिभाषित करने की आवश्यकता है। आज SOC खतरों का पता लगाने के लिए टीमें कई अलग-अलग तकनीकों का उपयोग करती हैं। कई बड़े ग्राहकों के पास अपनी सुरक्षा प्रणाली में 30 या उससे अधिक सुरक्षा तकनीकें होती हैं। इनमें से प्रत्येक तकनीक अपने विशिष्ट अलर्ट उत्पन्न करती है। यह काम है... SOC विश्लेषक इन व्यक्तिगत अलर्ट की समीक्षा करें और उन्हें संबद्ध करें और उन्हें संयोजित करें पत्रिका। विभिन्न को जोड़ने के लिए नियम लिखने के लिए एक अनुभवी विश्लेषक का सहारा लेता है सचेत वे देख रहे हैं पत्रिका या एक ही ईवेंट के लिए एक ही अलर्ट की बड़ी संख्या को कम करने के लिए।
हमलावरों को पता है कि यह एक मैन्युअल और समय लेने वाली प्रक्रिया है। वे हमलावरों को पछाड़ देने के लिए कई तरह की रणनीति अपनाते हैं। SOC विश्लेषकों के साथ सचेत उनके सुरक्षा उपकरणों से। उदाहरण के लिए, हमलावर कई आईडीएस घटनाओं को उत्पन्न करने के लिए एक ज्ञात शोषण का लाभ उठा सकता है। यदि वे सफल होते हैं, तो यह एक बड़ी व्याकुलता पैदा करता है SOC टीम.
जब वे इन आईडीएस घटनाओं के साथ काम कर रहे हैं, हमलावरों ने पहले से ही अपने महत्वपूर्ण सर्वरों में से एक क्रूर बल लॉगिन के माध्यम से पर्यावरण में एक पैर जमाने की स्थापना की हो सकती है। आगे वे उस महत्वपूर्ण सर्वर से आंतरिक नेटवर्क को स्कैन कर सकते हैं। यदि उन्हें SQL डेटाबेस में महत्वपूर्ण डेटा के साथ वातावरण में एक और सर्वर मिलता है तो वे इसे समझौता कर सकते हैं और SQL डंप कमांड चला सकते हैं। यह डेटाबेस की पूरी सामग्री को एक फाइल में डालता है जिसे डीएनएस सुरंग के माध्यम से एक्सफ़िल्ट किया जा सकता है जो वे एक बाहरी आईपी पते पर बनाते हैं।
यह एक बहुत ही सरल उदाहरण है जो एक में होता है घटना। घटना के लिए कई घटनाओं को सहसंबद्ध किया जाना चाहिए। यहाँ एक सरल पदानुक्रम है:
अलर्ट की भारी संख्या को देखते हुए, हमें यह देखना होगा कि हम वर्गीकरण और सहसंबंध में मदद करने के लिए प्रौद्योगिकी का लाभ कैसे उठा सकते हैं ताकि प्रभावशीलता में सुधार हो सके। SOCइस डेटा सेट पर कृत्रिम बुद्धिमत्ता और मशीन लर्निंग का उपयोग एक बहुत ही शक्तिशाली उपकरण साबित हो सकता है।
- सुपरवाइज्ड मशीन लर्निंग - पहले से अज्ञात फ़ाइलों, डोमेन नामों और URL का पता लगाने में सक्षम। यह आमतौर पर पाया जाने वाला डेटा है सचेत.
- Unsupervised मशीन लर्निंग - नेटवर्क, उपकरणों और उपयोगकर्ताओं के लिए सामान्य व्यवहार की आधार रेखा विकसित करता है। यह सहसंबंध और संयोजन द्वारा ग्राहक नेटवर्क के भीतर घटनाओं का पता लगा सकता है सचेत.
- डीप मशीन लर्निंग - पूरे वातावरण में खतरों के परिदृश्य को देखता है और कनेक्शन की तलाश करता है। सहसंबद्ध करने में सक्षम पत्रिका में घटनाओं.
RSI मशीन लर्निंग किसी घटना या घटना को अंजाम देने में भी मदद कर सकता है। जब सुरक्षा विश्लेषक खुली घटनाओं की समीक्षा करते हैं, तो यह उन्हें सर्वोच्च प्राथमिकता वाली घटना चुनने की अनुमति देता है, और तुरंत प्रतिक्रिया देता है।
सही ढंग से उत्तोलन के कारण उनमें जुड़े खतरों को तेजी से पहचानने की क्षमता है SOC विश्लेषक प्रक्रिया का पता लगाने और प्रतिक्रियाशील रुख से आगे बढ़ने के लिए सुधारात्मक अलर्ट के बजाय उपचारात्मक पर ध्यान केंद्रित कर सकते हैं।
