Semua MSSP menangani banyak sekali peringatan setiap harinya – tetapi bagaimana mitra yang paling sukses mengelola masuknya peringatan tersebut?
The MSSP industri telah melihat peningkatan yang signifikan dalam serangan terhadap MSP dan Mitra MSSP tahun ini. Hal ini telah menyebabkan beberapa serangan baru terhadap segala hal mulai dari Alat RMM ke aplikasi. Kita semua menghadapi banyak sekali peringatan setiap hari – jadi bagaimana mitra yang paling sukses mengelola hal ini?
Mulailah dengan kill chain. Kerangka kerja yang paling populer saat ini adalah GELAR USKUP kerangka kerja serangan. Jika Anda dapat melihat peringatan Anda melalui lensa ini, Anda dapat mulai mengurangi SOC Hal ini dapat mengurangi beban kerja tim secara signifikan. Mulailah dengan tahap pengintaian. Mengapa harus mulai dari sana? Karena jika Anda dapat memutus koneksi sebelum penyerang mendapatkan pijakan, Anda dapat menghilangkan sebagian besar perburuan dan pembersihan yang dilakukan tim Anda saat ini.
Contoh yang bagus adalah log4j. Ini telah menjadi gangguan besar selama sebulan terakhir atau lebih. Banyak penyerang memanfaatkan ini karena saat ini hal ini menimbulkan banyak kegaduhan. Dengan cara tertentu, hal ini telah diperkuat melalui crowdsourcing oleh beberapa kelompok penyerang – semakin banyak penyerang yang menggunakannya, semakin banyak peringatan yang akan Anda lihat terkait dengannya.
Pemindaian awal tersebut tidak memberikan muatan apa pun, tetapi mereka menciptakan banyak pekerjaan untuk Anda SOCJika Anda dapat menghubungkan pemindaian ke komunikasi dengan aset di jaringan Anda, Anda dapat membatasi respons Anda terhadap ancaman aktual terhadap pelanggan Anda. Ini adalah area di mana pembelajaran mesin dapat meningkatkan peluang keberhasilan Anda secara signifikan.
Dengan memanfaatkan pembelajaran mesin tanpa pengawasan, Anda dapat menentukan apakah mesin tertentu pernah berkomunikasi dengan host eksternal atau menjalankan aplikasi tertentu seperti log4j. Yang lebih penting, Anda juga dapat mendeteksi jika data sedang dieksfiltrasi. Stellar Cyber telah mengembangkan platform yang dapat memetakan ini ke GELAR USKUP kerangka kerja serangan untuk mengidentifikasi perilaku ini dengan cepat, menyusunnya dalam rantai pemusnahan, dan merekomendasikan taktik pemulihan. Berbekal konteks ini, Anda dapat mengambil pendekatan yang jauh lebih terarah untuk merespons dan Anda tidak perlu membeli atau menerapkan deteksi khusus dari beberapa vendor.
Selain itu, jika Anda mendeteksi koneksi ke host berbahaya yang diketahui, Anda dapat menghentikan koneksi secara otomatis di firewall dan di perangkat. Dengan aturan perburuan ancaman otomatis, Anda dapat memilih deteksi, mengatur kondisi, dan Platform Cyber Stellar dapat memulai respons melalui integrasi dengan firewall Anda dan Alat EDRPada akhirnya, hal ini menghasilkan tiga hal yang sangat penting:
- Mengurangi waktu untuk mendeteksi kejadian aktual.
- Abaikan kebisingan itu.
- Otomatisasi respons untuk mengurangi risiko.
Bila Anda memiliki platform yang terintegrasi penuh untuk menjalankan tugas-tugas ini, semuanya menjadi mudah. Jika Anda tertarik untuk mempelajari lebih lanjut, silakan hubungi Brian Stoner di Stellar Cyber.
