Il sicurezza informatica il panorama delle minacce si sta evolvendo, così come il modo in cui dobbiamo guardare a tali minacce. Il tamburo di nuove violazioni è continuo. Se leggete le notizie, verreste portati a credere che ci sia solo una delle principali tattiche che gli aggressori sfruttano in un file INCIDENTE contro i loro obiettivi. Semplicemente non è così e abbiamo bisogno di un nuovo modo per descrivere e tenere traccia di questi eventi.
Il termine ALERT e EVENTO devono essere chiaramente definiti. Oggi SOC I team utilizzano diverse tecnologie per rilevare le minacce. Molti grandi clienti dispongono di 30 o più tecnologie di sicurezza nella loro architettura di difesa in profondità. Ognuna di queste tecnologie genera i propri ALER specifici. È compito del team SOC analista per esaminare questi singoli avvisi e correlarli e combinarli EVENTI. Ci vuole un analista esperto per scrivere regole per connettere il diverso AVVISI stanno vedendo EVENTI o per deduplicare un gran numero degli stessi AVVISI a un singolo EVENTO.
Gli aggressori sanno che si tratta di un processo manuale che richiede molto tempo. Sfruttano molteplici tattiche per sopraffare il SOC analisti con AVVISI dai loro strumenti di sicurezza. Ad esempio, l'attaccante può sfruttare un exploit noto per generare numerosi eventi IDS. Se hanno successo, questo crea un'enorme distrazione per il SOC squadra.
Mentre stanno affrontando questi eventi IDS, gli aggressori potrebbero aver già stabilito un punto d'appoggio nell'ambiente attraverso un accesso di forza bruta a uno dei loro server critici. Successivamente possono eseguire la scansione della rete interna da quel server critico. Se trovano un altro server nell'ambiente con dati critici in un database SQL, possono comprometterlo ed eseguire un comando di dump SQL. Questo inserisce l'intero contenuto del database in un file che può essere esfiltrato attraverso il tunnel DNS che creano a un indirizzo IP esterno.
Questo è un esempio molto semplice di ciò che accade in un file INCIDENTE. È necessario correlare più eventi all'incidente. Ecco una semplice gerarchia:
Con l'elevato numero di AVVISI dobbiamo valutare come sfruttare la tecnologia per aiutare nella classificazione e nella correlazione per migliorare l'efficacia dell' SOCL'intelligenza artificiale e l'apprendimento automatico sfruttati su questo set di dati possono rivelarsi strumenti molto potenti.
- Apprendimento automatico supervisionato - in grado di rilevare file, nomi di dominio e URL non identificati in precedenza. Questi sono i dati che si trovano comunemente in AVVISI.
- Machine Learning senza supervisione - sviluppa linee di base del comportamento normale per reti, dispositivi e utenti. Questo può rilevare EVENTI all'interno della rete del cliente correlandoli e combinandoli AVVISI.
- Apprendimento automatico profondo - esamina il panorama delle minacce nell'intero ambiente e cerca le connessioni. Capace di correlare EVENTI ai miglioramenti INCIDENTI.
Migliori apprendimento automatico può anche aiutare a segnare un evento o un incidente. Quando gli analisti della sicurezza esaminano gli incidenti aperti, ciò consente loro di scegliere l'incidente con la massima priorità e rispondere immediatamente.
Se sfruttati correttamente, hanno il potenziale per identificare più rapidamente le minacce connesse, quindi il SOC L'analista può concentrarsi sulla riparazione piuttosto che correlare gli avvisi per il rilevamento e passare da una posizione reattiva a una proattiva nel processo.
