AI SecOps: implementazione e best practice
Security Operations, o SecOps, è il culmine di singoli processi che prevengono vulnerabilità e intrusioni di rischio in asset aziendali sensibili. Ciò è leggermente diverso dal Security Operations Center (SOC), che è l'unità organizzativa di persone che monitora e previene gli incidenti di sicurezza.
Questa distinzione è importante perché SecOps mira a integrare i processi di sicurezza all'interno della pipeline delle operazioni, mentre i SOC tradizionali estrapolano la sicurezza dall'IT, isolando sostanzialmente i processi di sicurezza. Ecco perché i SOC moderni implementano spesso SecOps, come un modo per bilanciare la prevenzione delle minacce con capacità di risposta agli incidenti dedicate.
Poiché SecOps deve affiancarsi ai flussi di lavoro IT e OT quotidiani, senza intralciarli, l'automazione SecOps è un elemento essenziale della strategia. Questo articolo esamina come si sta evolvendo AI SecOps, i casi d'uso per AI in SecOps e le best practice per l'implementazione di AI in SecOps.
SIEM di nuova generazione
Stellar Cyber Next-Generation SIEM, come componente fondamentale all'interno della piattaforma Stellar Cyber Open XDR...
Scopri la sicurezza basata sull'intelligenza artificiale in azione!
Scopri l'intelligenza artificiale all'avanguardia di Stellar Cyber per il rilevamento e la risposta alle minacce istantanee. Pianifica la tua demo oggi stesso!
Introduzione all'AI SecOps
SecOps è un approccio che ha ottenuto un notevole supporto all'interno delle organizzazioni attente alla sicurezza. Le SecOps di ogni organizzazione devono adattarsi al layout unico di asset digitali, infrastrutture e dati sensibili dell'organizzazione, proprio come l'azienda cresce e si adatta ai cambiamenti del mercato nel tempo. Poiché SecOps integra misure di sicurezza durante l'intero ciclo di vita delle operazioni IT, deve anche incorporare la sicurezza in ogni fase di sviluppo e operazioni.
Per raggiungere questo obiettivo, il SOC richiede una visibilità continua e approfondita sui dispositivi, le reti e gli endpoint di tutti gli utenti, una quantità di dati sbalorditiva. Parte del motivo per cui i team SOC erano tradizionalmente astratti rispetto alle controparti IT e di sviluppo era la necessità di gestire tutti questi dati. Intorno ai livelli degli analisti, i team SOC richiedevano anche un gran numero di strumenti per estrarli e raggrupparli. Gli strumenti SIEM (Security Information and Event Management), i firewall e l'Endpoint Detection and Response (EDR) hanno tutti contribuito a elaborare questi dati e a trasformarli in informazioni significative.
L'intelligenza artificiale nelle operazioni di sicurezza è ora in grado di ingerire dati di sicurezza alla stessa velocità con cui vengono prodotti. Di conseguenza, il Machine Learning, e la sua più recente Generative AI, è responsabile della trasformazione di SecOps in un processo continuo, consentendo alle operazioni di sicurezza di tenere il passo con i cambiamenti IT e di sviluppo. Inoltre, poiché le piattaforme basate sull'intelligenza artificiale offrono maggiori opzioni di automazione che mai, l'evoluzione di SecOps viene spinta verso stack tecnologici semplificati, complessità ridotta e ROI più elevato.
Casi d'uso dell'intelligenza artificiale in SecOps
Rilevamento delle minacce con meno falsi positivi
I modelli di intelligenza artificiale prosperano su grandi set di dati: con l'intelligenza artificiale, le quantità di avvisi che un tempo avrebbero potuto sopraffare un team di sicurezza possono ora essere assimilate, sottoposte a riferimenti incrociati e utilizzate per rilevarne altri. Ciò è in netto contrasto con l'approccio tradizionale al rilevamento delle minacce, che semplicemente ammucchiava gli strumenti di sicurezza uno sopra l'altro.
Questa è la situazione una società finanziaria con sede negli Stati Uniti si era trovata in: gli analisti SOC erano tenuti a iniziare ogni operazione di sicurezza esaminando attentamente le enormi quantità di dati allegati a ogni avviso. E poiché l'azienda aveva più software di strumenti di sicurezza, dovevano identificare manualmente lo stesso avviso su ogni console e seguire individualmente ogni pista per determinare la validità di un avviso e il potenziale danno.
Poiché l'IA è in grado di ingerire tutti i dati grezzi di log, rete e dispositivo che vanno nel trigger di avviso di uno strumento, è quindi in grado di correlare quell'avviso con le azioni corrispondenti sulla rete, sul dispositivo o sull'account in questione. Il risultato è un numero molto inferiore di falsi avvisi e, in caso di un vero incidente di sicurezza, l'IA può collocare gli avvisi nel contesto di una catena di attacchi più ampia.
Risposta automatica agli incidenti
I playbook sono la pietra angolare delle capacità di risposta automatizzate: consentono ai team snelli come quelli di Dipartimento IT dell'Università di Zurigo per implementare rapidamente determinate capacità di monitoraggio e risposta in risposta ad avvisi specifici. Ad esempio, in caso di un incidente che colpisce gli endpoint di un reparto, il responsabile IT corrispondente può essere avvisato.
L'automazione può consentire ai team snelli di fornire una copertura 24 ore su 7, XNUMX giorni su XNUMX, anche se non hanno la manodopera per avere analisti reperibili in ogni momento. L'automazione è resa accessibile tramite playbook, che indicano esattamente quali passaggi di correzione lo strumento di intelligenza artificiale dovrebbe eseguire in risposta a determinati tipi di avvisi e incidenti.
Avvisi prioritari e rilevamento delle minacce tramite intelligenza artificiale
Poiché i modelli di intelligenza artificiale possono essere addestrati in base ad attacchi storici, e possono contenere una comprensione aggiornata dell'intero stack di asset di un'azienda, sono in grado di categorizzare gli avvisi in base al potenziale raggio di esplosione. Ciò riduce drasticamente il carico di lavoro sui processi SecOps manuali che altrimenti richiederebbero lunghe e faticose ore di lavoro per essere stabiliti.
La categorizzazione degli avvisi stava occupando molto tempo il tempo di un governo cittadino – in questo caso, ci si aspettava che ogni analista utilizzasse il proprio strumento di sicurezza. Ciò lasciava lacune significative che vettori di attacco complessi potevano potenzialmente sfruttare. Il triage assistito dall'intelligenza artificiale ha permesso loro di ridurre drasticamente il carico di lavoro manuale richiesto a ogni analista, consentendo a un analista di arrivare in fondo a un incidente entro 10 minuti, anziché diversi giorni.
Tuttavia, sapere esattamente dove e come implementare l'intelligenza artificiale in SecOps rappresenta spesso il primo ostacolo all'implementazione.
Best Practice per l'implementazione dell'intelligenza artificiale in SecOps
Definisci obiettivi misurabili per la distribuzione dell'intelligenza artificiale
Gli obiettivi SMART fanno girare il mondo, e l'attenzione alla misurabilità è fondamentale per definire e implementare con successo un nuovo strumento di intelligenza artificiale. Per estrarre il miglior ROI possibile, è meglio iniziare identificando quali processi SecOps stanno occupando la maggior parte del tempo dei tuoi analisti.
Potrebbe trattarsi di uno strumento specifico, come un SIEM, o di una metrica più ampia, come il tempo medio di risposta (MTTR). Potrebbe essere un passaggio nel flusso di lavoro che gli analisti o il personale IT devono seguire dopo che un avviso raggiunge la loro casella di posta; il punto importante è identificare con precisione quale componente sta causando il rallentamento maggiore. Questo processo creerà un quadro esatto del ruolo che uno strumento di intelligenza artificiale dovrà ricoprire: se un punto dolente importante ruota attorno alla scoperta di asset, allora un'integrazione del firewall di intelligenza artificiale forse non è la priorità più grande.
È anche meglio iniziare a fare di questo uno sforzo collaborativo. Coinvolgere i C-level e altri decisori esecutivi è fondamentale per ottenere un cambiamento duraturo e possono aiutare l'IT e la sicurezza a immaginare i cambiamenti organizzativi richiesti.
Integra l'intelligenza artificiale nei tuoi strumenti e flussi di lavoro esistenti
Le tecnologie AI prosperano in ambienti ricchi di dati, ma devono essere in grado di estrarre tali dati da qualche parte. Le integrazioni personalizzate possono essere difficili e richiedere molto tempo, quindi quando si esaminano soluzioni basate su AI, valutare la loro capacità di integrarsi con gli strumenti correnti. È estremamente raro che un'organizzazione debba mai partire da zero. A volte, se il tuo SIEM, EDR o firewall è già attivo e funzionante e i rallentamenti derivano dalle risorse limitate degli analisti stessi, è meglio integrare il tuo SIEM con AI, piuttosto che effettuare una sostituzione.
In questo, non dimenticare che l'IA richiede molti dati di sicurezza. Se stai creando un set di dati da zero, dovrai investire nella creazione di un'infrastruttura dati solida e resiliente, abbinata a rigidi protocolli di governance. Un'infrastruttura solida richiede l'implementazione di soluzioni di archiviazione sicure, l'ottimizzazione delle capacità di elaborazione dei dati e l'istituzione di sistemi di trasmissione dati efficienti per supportare il rilevamento e la risposta alle minacce in tempo reale. D'altro canto, un prodotto di terze parti gestisce tutti questi dati per te, ma assicurati di fidarti del fornitore.
Ottimizzare il team SecOps per utilizzare un sistema basato sull'intelligenza artificiale
Sebbene lo strumento AI debba essere flessibile, deve apportare alcune modifiche al lavoro quotidiano degli analisti: è lì per questo. I team interessati devono sapere quali cambiamenti ciò comporterà e come dovrebbero apparire i propri flussi di lavoro. Poiché SecOps richiede già una formazione completa sulle operazioni di sicurezza, dovrebbero già avere familiarità con i framework di policy e procedure. Allo stesso modo, l'aggiornamento AI deve suddividere i processi in azioni misurabili e linee guida chiare.
Detto questo, considerate le competenze e l'esperienza degli attuali membri di SecOps: se ci sono nuovi membri del team che si stanno ancora guadagnando i gradi, considerate di scegliere strumenti di intelligenza artificiale accessibili e che li guidino attraverso le azioni automatizzate o i processi di allerta che hanno eseguito. Ciò consente loro di costruire la propria sicurezza quando affrontano le minacce. La trasparenza crea anche più fiducia tra il team umano e il motore di analisi dell'intelligenza artificiale, consentendo al contempo di perfezionare il giudizio dell'intelligenza artificiale nel tempo.
Costruisci manuali
I playbook sono il fondamento dell'implementazione della sicurezza dell'intelligenza artificiale e, sebbene uno strumento di intelligenza artificiale possa includerne alcuni predefiniti, è buona norma crearne o modificarne uno proprio, in base al caso d'uso specifico di cui si ha bisogno.
Ad esempio, se un team gestisce molte comunicazioni e-mail esterne, è importante creare alcuni playbook per gestire specificamente la minaccia di phishing e-mail. In questo caso, una piattaforma AI centrale rileva la grammatica sospetta o i metadati di un'e-mail di phishing, che quindi attiva il playbook associato. In questo caso, il playbook isola automaticamente l'e-mail, o l'endpoint stesso se ci sono prove di compromissione, e quindi attiva una reimpostazione della password. Viene inviato un messaggio all'amministratore della sicurezza corrispondente, che riceve tutte queste informazioni raggruppate in un avviso. I playbook di cui ha bisogno il tuo modello AI dipendono dalla configurazione e dalle responsabilità della tua organizzazione.
Nel complesso, queste best practice SecOps basate sull'intelligenza artificiale garantiscono una transizione graduale verso SecOps basate sull'intelligenza artificiale, offrendo al contempo il massimo ROI.
Come Stellar Cyber migliora le operazioni di sicurezza AI
Rilevamento automatico degli incidenti
Stellar Cyber elimina la dipendenza dal rilevamento manuale delle minacce e dall'identificazione delle minacce basata su regole con più livelli di intelligenza artificiale.
La prima di queste IA è focalizzata sul rilevamento: il team di ricerca sulla sicurezza di Stellar Cyber crea e addestra modelli supervisionati utilizzando un mix di set di dati disponibili al pubblico e generati internamente. Le minacce zero-day e sconosciute sono rilevabili tramite modelli paralleli di apprendimento automatico non supervisionato. Questi modelli stabiliscono una linea di base del comportamento della rete e dell'utente nell'arco di diverse settimane. Una volta che i segnali di dati vengono ingeriti, un'IA basata su GraphML correla i rilevamenti e altri segnali di dati, collegando automaticamente i punti dati correlati per assistere gli analisti. Valuta la forza della connessione tra diversi eventi analizzando proprietà, tempistiche e modelli comportamentali.
Altre forme di AI si basano su queste capacità di scoperta di base. Offrono più accessibilità e capacità di risposta alle organizzazioni basate su Stellar Cyber.
Rendere SecOps accessibile
Tutti i dati di sicurezza in tempo reale di un'organizzazione sono rappresentati in due formati principali: il primo nella kill chain situata sulla dashboard e il secondo tramite Copilot.
La dashboard XDR Kill Chain funge da homepage predefinita per Stellar Cyber, offrendo una visione centralizzata del rischio complessivo e delle minacce rilevate. Consente valutazioni rapide fornendo drilldown su incidenti attivi, asset ad alto rischio e tattiche di attacco. Questo approccio semplificato aiuta i team di sicurezza a stabilire le priorità per i problemi critici, indipendentemente dai loro singoli punti focali che possono poi essere ulteriormente approfonditi.
Copilot AI, d'altro canto, è un investigatore basato su LLM che accelera i progetti di analisi delle minacce degli analisti stessi fornendo risposte immediate alle query. Ciò lo rende perfetto per il rapido recupero e spiegazione dei dati, integrando ulteriormente lo strumento nei progetti SecOps.
Visibilità omni-superficie
Stellar cyber ingerisce log e dati di sicurezza tramite diversi tipi di sensori. I sensori di rete e di sicurezza raccolgono metadati da switch fisici e virtuali, aggregando i log per una visibilità completa. La sua Deep Packet Inspection (DPI) analizza i payload a ritmo sostenuto. I sensori del server, d'altro canto, sono in grado di raccogliere dati dai server Linux e Windows, catturando traffico di rete, comandi, processi, file e attività delle applicazioni. Aspettatevi la piena compatibilità da Windows 98 in poi e distribuzioni Linux come Ubuntu, CoreOS e Debian.
La piattaforma è disponibile ovunque sia necessaria la visibilità: basata su cloud, ibrida o completamente on-premise, oppure basata su tenant, Stellar Cyber incorpora dati da qualsiasi luogo.
Risposta avanzata AI
Le capacità di risposta di Stellar Cyber estendono l'integrazione dello strumento con gli strumenti di sicurezza esistenti: anziché limitarsi ad acquisire dati, Stellar può intraprendere azioni automaticamente tramite gli stessi strumenti.
Poiché Stellar è focalizzato su un'implementazione rapida, viene fornito con 40 playbook di threat hunting predefiniti che coprono l'intera superficie di attacco, come errori di accesso a Windows, analisi DNS e Microsoft 365. Ciò rende il rilevamento e la risposta alle minacce più accessibili, anche per i team senza una profonda competenza in materia di sicurezza.
Stellar Cyber si integra perfettamente con firewall, sicurezza degli endpoint, strumenti di gestione di identità e accessi, sistemi di ticketing e app di messaggistica per scalare le operazioni di sicurezza. Per esigenze di orchestrazione più avanzate, supporta l'integrazione con le principali piattaforme SOAR per una risposta alle minacce semplificata ed efficiente. Le aziende basate su Stellar Cyber godono di un controllo granulare sui trigger, sulle condizioni e sull'output di ogni playbook, consentendo loro di seguire da vicino e ordinatamente le best practice SecOps. I playbook possono essere distribuiti a livello globale o per tenant.
Esplora Stellar Cyber AI SecOps
La piattaforma di Stellar Cyber semplifica l'adozione dell'AI in SecOps concentrandosi su un'implementazione rapida. Consente alle aziende di ottenere operazioni di sicurezza più efficaci ed efficienti senza un processo di implementazione lungo o bloccato dal fornitore. Le sue capacità di automazione sono disponibili out of the box, per esplorare l'ambiente e le capacità di Stellar Cyber, programma una demo.
