के रूप में साइबर सुरक्षा खतरा परिदृश्य विकसित हो रहा है इसलिए हमें उन खतरों को देखने की आवश्यकता है। नए उल्लंघनों का ढोल लगातार बज रहा है। यदि आप समाचार पढ़ते हैं, तो आपको यह विश्वास करने के लिए प्रेरित किया जाएगा कि हमलावरों का लाभ उठाने में केवल एक बड़ी रणनीति है घटना उनके निशाने पर। यह केवल मामला नहीं है, और हमें इन घटनाओं का वर्णन करने और उन्हें ट्रैक करने के लिए एक नया तरीका चाहिए।
अवधि चेतावनी और घटना स्पष्ट रूप से परिभाषित करने की आवश्यकता है। आज एसओसी की टीमें खतरों का पता लगाने के लिए कई विभिन्न तकनीकों का उपयोग करती हैं। कई बड़े ग्राहकों के पास गहराई वास्तुकला में अपने बचाव में 30 या अधिक सुरक्षा प्रौद्योगिकियां हैं। उन तकनीकों में से हर एक अपने विशिष्ट अलार्म उत्पन्न करता है। का काम है SOC विश्लेषक इन व्यक्तिगत अलर्ट की समीक्षा करें और उन्हें संबद्ध करें और उन्हें संयोजित करें पत्रिका। विभिन्न को जोड़ने के लिए नियम लिखने के लिए एक अनुभवी विश्लेषक का सहारा लेता है सचेत वे देख रहे हैं पत्रिका या एक ही ईवेंट के लिए एक ही अलर्ट की बड़ी संख्या को कम करने के लिए।
हमलावरों को पता है कि यह एक मैनुअल समय लेने वाली प्रक्रिया है। वे एसओसी विश्लेषकों को अभिभूत करने के लिए कई रणनीति का लाभ उठाते हैं सचेत उनके सुरक्षा उपकरणों से। उदाहरण के लिए, हमलावर कई आईडीएस घटनाओं को उत्पन्न करने के लिए एक ज्ञात शोषण का लाभ उठा सकता है। यदि वे सफल होते हैं, तो यह एक बड़ी व्याकुलता पैदा करता है समाज टीम.
जब वे इन आईडीएस घटनाओं के साथ काम कर रहे हैं, हमलावरों ने पहले से ही अपने महत्वपूर्ण सर्वरों में से एक क्रूर बल लॉगिन के माध्यम से पर्यावरण में एक पैर जमाने की स्थापना की हो सकती है। आगे वे उस महत्वपूर्ण सर्वर से आंतरिक नेटवर्क को स्कैन कर सकते हैं। यदि उन्हें SQL डेटाबेस में महत्वपूर्ण डेटा के साथ वातावरण में एक और सर्वर मिलता है तो वे इसे समझौता कर सकते हैं और SQL डंप कमांड चला सकते हैं। यह डेटाबेस की पूरी सामग्री को एक फाइल में डालता है जिसे डीएनएस सुरंग के माध्यम से एक्सफ़िल्ट किया जा सकता है जो वे एक बाहरी आईपी पते पर बनाते हैं।
यह एक बहुत ही सरल उदाहरण है जो एक में होता है घटना। घटना के लिए कई घटनाओं को सहसंबद्ध किया जाना चाहिए। यहाँ एक सरल पदानुक्रम है:
ALERTS की सरासर संख्या के साथ हमें यह देखने की आवश्यकता है कि हम SOC की प्रभावशीलता में सुधार के लिए वर्गीकरण और सहसंबंध में मदद करने के लिए प्रौद्योगिकी का लाभ कैसे उठा सकते हैं। आर्टिफिशियल इंटेलिजेंस और मशीन लर्निंग इस डेटा सेट के दौरान एक बहुत शक्तिशाली उपकरण हो सकता है।
- सुपरवाइज्ड मशीन लर्निंग - पहले से अज्ञात फ़ाइलों, डोमेन नामों और URL का पता लगाने में सक्षम। यह आमतौर पर पाया जाने वाला डेटा है सचेत.
- Unsupervised मशीन लर्निंग - नेटवर्क, उपकरणों और उपयोगकर्ताओं के लिए सामान्य व्यवहार की आधार रेखा विकसित करता है। यह सहसंबंध और संयोजन द्वारा ग्राहक नेटवर्क के भीतर घटनाओं का पता लगा सकता है सचेत.
- डीप मशीन लर्निंग - पूरे वातावरण में खतरों के परिदृश्य को देखता है और कनेक्शन की तलाश करता है। सहसंबद्ध करने में सक्षम पत्रिका में घटनाओं.
RSI मशीन लर्निंग किसी घटना या घटना को अंजाम देने में भी मदद कर सकता है। जब सुरक्षा विश्लेषक खुली घटनाओं की समीक्षा करते हैं, तो यह उन्हें सर्वोच्च प्राथमिकता वाली घटना चुनने की अनुमति देता है, और तुरंत प्रतिक्रिया देता है।
सही ढंग से उत्तोलन के कारण उनमें जुड़े खतरों को तेजी से पहचानने की क्षमता है समाज विश्लेषक प्रक्रिया का पता लगाने और प्रतिक्रियाशील रुख से आगे बढ़ने के लिए सुधारात्मक अलर्ट के बजाय उपचारात्मक पर ध्यान केंद्रित कर सकते हैं।
