साइबर सुरक्षा प्रौद्योगिकी के लिए विरोधियों के साथ बने रहने का समय आ गया है। अब जब हमने इतने सारे सफल बहु-स्तरीय हमले देखे हैं, तो हमें अपने वातावरण में सभी सुरक्षा उपकरणों से दिखाई देने वाले संकेतों को सहसंबंधित करने के तरीके का पुनर्मूल्यांकन करने की आवश्यकता है। सहसंबंध मददगार है लेकिन यह हमेशा पूरी तस्वीर को चित्रित नहीं करता है। पता लगाने और प्रतिक्रिया में अगला चरण क्या है?
इसे समझने के लिए, हमें मौजूदा ढांचे को देखने की जरूरत है जो सुरक्षा टीमों को अपने दैनिक कार्यों को व्यवस्थित करने में मदद करते हैं। लॉकहीड मार्टिन किल चेन एक बहुत लोकप्रिय ढांचा था जब मैलवेयर का प्रसार प्राथमिक रणनीति थी। हमलावरों ने अपने पेलोड को तैनात करने के विभिन्न चरणों की रूपरेखा तैयार करने में यह बहुत अच्छा था। इसके बाद MITER ATT&CK फ्रेमवर्क आया। आज कई विशेषज्ञों द्वारा इसका लाभ उठाया जाता है क्योंकि यह पिछले कुछ वर्षों में हमलावरों के साथ लोकप्रियता में बढ़ी रणनीति और तकनीकों का वर्णन करते हुए अधिक व्यापक है।
इन बड़े और परिष्कृत ढांचे के साथ समस्या यह है कि आपके लॉग स्रोतों से सभी संकेतों का अनुमान लगाने और सहसंबंधित करने के लिए मैन्युअल नियम लिखना बहुत मुश्किल है। एकत्रित और बनाए रखने वाले लॉग की मात्रा आसमान छू रही है। यह सबसे छोटे भागीदारों के लिए भी एक बड़ी डेटा चुनौती बन गई है। इस चुनौती को हल करने के लिए क्या किया जा सकता है?
सुरक्षा मंच और ढांचे का एकीकरण महत्वपूर्ण है। आज, कई प्लेटफ़ॉर्म अपने खतरे की खुफिया जानकारी के हिस्से के रूप में MITER को लिंक प्रदान करते हैं, लेकिन यह आमतौर पर इस तथ्य के बाद होता है। हमें जो करने की ज़रूरत है वह है अलर्ट को रीयल-टाइम ढांचे में व्यवस्थित और प्रस्तुत करना। हमलावरों को अपने लक्ष्य को प्राप्त करने के लिए ढांचे के कई चरणों में सफल होना पड़ता है। हमें केवल एक चरण में उन्हें रोकने में सफल होने की आवश्यकता है। चरण जितना पहले होगा, सफाई के लिए उतना ही कम होगा। इसे पूरा करने के लिए आपको कुछ प्रमुख प्रक्रियाओं की आवश्यकता है।
सबसे पहले, आपको एक मानकीकृत और समृद्ध डेटा सेट की आवश्यकता है। हम अब नहीं चाहते कि विश्लेषक यह निर्धारित करने की कोशिश करें कि तथ्य के बाद तक सिग्नल कितना खतरनाक है - समाधान को थ्रेट इंटेलिजेंस प्लेटफॉर्म के खिलाफ हर चीज की तुलना करनी चाहिए और उस जानकारी के साथ डेटा सेट को समृद्ध करना चाहिए। से पहले रिकॉर्ड बनाया जाता है। एक बार जब डेटा एक मानक प्रारूप में होता है, तो एआई / एमएल घटक पर्यावरण में कई खतरे वाले वैक्टर से संकेतों को सहसंबंधित कर सकता है। अलर्ट को किल चेन के भीतर व्यवस्थित किया जाता है, जो सीधे MITER हमले के ढांचे के चरणों में मैप करता है। जब कोई विश्लेषक अलर्ट देखता है तो उसे प्राथमिकता देने का सवाल ही नहीं उठता।
साझेदारों के लिए, एक दिन में सैकड़ों अलर्ट को व्यवस्थित और प्रबंधित करना समय और संसाधनों की खपत करने वाला काम है। समाधान में ऐसी मशीन लर्निंग (एमएल) होनी चाहिए जो सहसंबंध की एक अतिरिक्त परत प्रदान करे, बहुस्तरीय हमलों को घटनाओं के रूप में दर्शाए और प्रत्येक घटना को एक जोखिम स्कोर प्रदान करे। यह साधारण अलर्ट सहसंबंध से परे मशीन लर्निंग की एक अतिरिक्त परत है। इससे समय की मात्रा में काफी कमी आएगी। SOC विश्लेषक विश्लेषण के लिए अलर्ट को समूहित करने में समय व्यतीत करते हैं। आदर्श रूप से, समाधान को विश्लेषकों को घटना से अलर्ट जोड़ने या हटाने और खतरे के स्कोर को समायोजित करने की क्षमता प्रदान करनी चाहिए।
स्टेलर साइबर ऐसा करने वाली पहली कंपनी है। XDRमशीन लर्निंग (एमएल) द्वारा संवर्धित, घटना-आधारित अलर्ट प्रबंधन के साथ केंद्रित किल चेन। अब समय आ गया है कि एमएल स्वचालन का लाभ उठाकर दुश्मनों का पता लगाया जाए और उन्हें रोका जाए। अधिक जानकारी के लिए, कृपया brain@stellarcyber.ai पर संपर्क करें।
