Sebagai keamanan cyber Lanskap ancaman terus berkembang, begitu pula cara kita memandang ancaman tersebut. Irama pelanggaran baru terus berlanjut. Jika Anda membaca berita, Anda akan percaya bahwa hanya ada satu taktik utama yang digunakan para penyerang dalam INSIDEN terhadap target mereka. Itu tidak benar, dan kita memerlukan cara baru untuk menjelaskan dan melacak peristiwa ini.
Istilah PERINGATAN ke EVENT perlu didefinisikan dengan jelas. Hari ini SOC Tim menggunakan berbagai teknologi untuk mendeteksi ancaman. Banyak pelanggan besar memiliki 30 atau lebih teknologi keamanan dalam arsitektur pertahanan berlapis mereka. Setiap teknologi tersebut menghasilkan peringatan (alert) spesifiknya masing-masing. Tugas dari SOC analis untuk meninjau peringatan individu ini dan menghubungkan serta menggabungkannya menjadi EVENTDiperlukan analis berpengalaman untuk menulis aturan untuk menghubungkan berbagai TANDA mereka sedang melihat ke dalam EVENT atau untuk menghapus duplikasi sejumlah besar PERINGATAN yang sama ke satu PERISTIWA.
Para penyerang tahu bahwa ini adalah proses manual yang memakan waktu. Mereka memanfaatkan berbagai taktik untuk mengalahkan lawan. SOC analis dengan TANDA dari alat keamanan mereka. Misalnya, penyerang dapat memanfaatkan eksploitasi yang diketahui untuk menghasilkan banyak peristiwa IDS. Jika mereka berhasil, ini menciptakan gangguan besar bagi SOC Tim.
Sementara mereka menangani kejadian IDS ini, penyerang mungkin telah membangun pijakan di lingkungan tersebut melalui login brute force ke salah satu server penting mereka. Selanjutnya mereka dapat memindai jaringan internal dari server penting tersebut. Jika mereka menemukan server lain di lingkungan tersebut dengan data penting dalam database SQL, mereka dapat membahayakannya dan menjalankan perintah SQL dump. Ini menempatkan seluruh isi database ke dalam file yang dapat dieksfiltrasi melalui terowongan DNS yang mereka buat ke alamat IP eksternal.
Ini adalah contoh yang sangat sederhana tentang apa yang terjadi di INSIDENBeberapa peristiwa perlu dihubungkan dengan insiden. Berikut hierarki sederhananya:
Dengan banyaknya jumlah peringatan (ALERTS), kita perlu melihat bagaimana kita dapat memanfaatkan teknologi untuk membantu dalam klasifikasi dan korelasi guna meningkatkan efektivitasnya. SOCKecerdasan Buatan dan Pembelajaran Mesin yang dimanfaatkan di seluruh kumpulan data ini dapat menjadi alat yang sangat ampuh.
- Pembelajaran Mesin yang Diawasi – mampu mendeteksi file, nama domain, dan URL yang sebelumnya tidak dikenal. Ini adalah data yang umum ditemukan di TANDA.
- Pembelajaran Mesin Tanpa Pengawasan – mengembangkan dasar perilaku normal untuk jaringan, perangkat, dan pengguna. Hal ini dapat mendeteksi PERISTIWA dalam jaringan pelanggan dengan mengkorelasikan dan menggabungkan TANDA.
- Pembelajaran Mesin Mendalam – melihat lanskap ancaman di seluruh lingkungan dan mencari koneksi. Mampu menghubungkan EVENT ke INSIDEN.
The Pembelajaran mesin juga dapat membantu menilai suatu kejadian atau insiden. Saat analis keamanan meninjau insiden yang terbuka, ini memungkinkan mereka memilih insiden dengan prioritas tertinggi, dan segera meresponsnya.
Jika dimanfaatkan dengan benar, mereka memiliki potensi untuk mengidentifikasi ancaman yang terhubung lebih cepat sehingga SOC Analis dapat berfokus pada perbaikan daripada mengorelasikan peringatan untuk deteksi dan beralih dari sikap reaktif ke sikap proaktif dalam prosesnya.
