È giunto il momento per la tecnologia di sicurezza informatica di tenere il passo con gli avversari. Ora che abbiamo visto così tanti attacchi multifase di successo, dobbiamo rivalutare il modo in cui correliamo i segnali che stiamo vedendo da tutti gli strumenti di sicurezza nei nostri ambienti. La correlazione è utile, ma non sempre dipinge il quadro completo. Qual è la prossima fase di rilevamento e risposta?
Per capirlo, dobbiamo esaminare i framework attuali che aiutano i team di sicurezza a organizzare le loro attività quotidiane. La Lockheed Martin Kill Chain era un framework molto popolare quando la proliferazione del malware era la tattica principale. È stato molto bravo a delineare le diverse fasi che gli aggressori hanno attraversato per distribuire il loro carico utile. Poi è arrivato il framework MITRE ATT&CK. Questo è sfruttato da molti esperti oggi perché è più completo, descrivendo le tattiche e le tecniche che sono cresciute in popolarità tra gli aggressori negli ultimi anni.
Il problema con questi framework grandi e sofisticati è che è molto difficile scrivere regole manuali per anticipare e correlare tutti i segnali dalle sorgenti di log. Il volume di log che vengono raccolti e conservati è alle stelle. Questa è diventata una grande sfida per i dati anche per il più piccolo dei partner. Cosa si può fare per risolvere questa sfida?
L'integrazione della piattaforma di sicurezza e del framework è la chiave. Oggi, molte piattaforme forniscono collegamenti a MITRE come parte della loro intelligence sulle minacce, ma in genere avviene dopo. Quello che dobbiamo fare è organizzare e presentare gli avvisi nel framework in tempo reale. Gli aggressori devono avere successo in più fasi del framework per raggiungere il loro obiettivo. Dobbiamo solo riuscire a fermarli in una delle fasi. Prima lo stadio, meno ci sarà da ripulire. Ci sono alcuni processi chiave necessari per farlo.
Innanzitutto, è necessario un set di dati standardizzato e arricchito. Non vogliamo più che gli analisti cerchino di determinare quanto sia pericoloso un segnale fino a dopo il fatto: la soluzione deve confrontare tutto con una piattaforma di intelligence sulle minacce e arricchire il set di dati con tali informazioni prima il record è stato creato. Una volta che i dati sono in un formato standard, un componente AI/ML può correlare i segnali provenienti da più vettori di minacce nell'ambiente. Gli avvisi sono organizzati all'interno della kill chain, che mappa direttamente le fasi del framework di attacco MITRE. Quando un analista vede l'avviso non c'è dubbio su come dargli la priorità.
Per i partner, organizzare e gestire centinaia di avvisi nel corso di una giornata è un'attività che richiede molto tempo e risorse. La soluzione deve disporre di un ML che fornisca un ulteriore livello di correlazione, rappresentando gli attacchi multifase come incidenti e assegnando a ciascun incidente un punteggio di rischio. Questo rappresenta un ulteriore livello di ML che va oltre la semplice correlazione degli avvisi. Ridurrà significativamente la quantità di tempo. SOC Gli analisti si dedicano al raggruppamento degli avvisi per l'analisi. Idealmente, la soluzione dovrebbe offrire agli analisti la possibilità di aggiungere o eliminare avvisi dall'incidente e di ottimizzare il punteggio di minaccia.
Stellar Cyber è la prima a fornire un XDRKill chain focalizzata sull'intelligenza artificiale, insieme a una gestione degli avvisi basata sugli incidenti e potenziata dal machine learning. È giunto il momento di sfruttare l'automazione del machine learning per rilevare e fermare gli avversari. Per saperne di più, contattate brain@stellarcyber.ai
