Tutti gli MSSP gestiscono quotidianamente un numero schiacciante di avvisi, ma in che modo i partner di maggior successo gestiscono l'afflusso?
. MSSP l'industria ha visto un aumento significativo degli attacchi a MSP e Partner di MSSP quest'anno. Ciò ha portato a diversi nuovi attacchi a tutto da Strumenti RMM alle applicazioni. Abbiamo tutti a che fare con un numero schiacciante di avvisi ogni giorno, quindi come stanno gestendo questo i partner di maggior successo?
Inizia con la catena di uccisioni. Il framework più popolare oggi è il MITRA framework di attacco. Se riesci a guardare i tuoi avvisi attraverso questa lente, puoi iniziare a ridurre il tuo SOC Ridurre significativamente il carico di lavoro dei team. Iniziate con la fase di ricognizione. Perché iniziare da lì? Perché se riuscite a interrompere le connessioni prima che gli aggressori prendano piede, potete eliminare gran parte della caccia e della pulizia che il vostro team sta svolgendo oggi.
Un ottimo esempio è log4j. Questo è stato un grosso fastidio per l'ultimo mese o giù di lì. Molti attaccanti stanno sfruttando questo perché attualmente crea così tanto rumore. In un certo senso è stato amplificato attraverso il crowdsourcing da più gruppi di attacco: più aggressori lo utilizzano, più avvisi vedrai ad esso correlati.
Quelle scansioni iniziali non forniscono alcun carico utile, ma creano un sacco di lavoro per il tuo SOC. Se riesci a collegare la scansione alla comunicazione con una risorsa nella tua rete, puoi limitare la tua risposta alle minacce effettive per il tuo cliente. Questa è un'area in cui l'apprendimento automatico può aumentare notevolmente le tue possibilità di successo.
Sfruttando l'apprendimento automatico non supervisionato, puoi stabilire se una particolare macchina ha mai comunicato con un host esterno o se esegue una particolare applicazione come log4j. Ancora più importante, puoi anche rilevare se i dati vengono esfiltrati. Stellar Cyber ha sviluppato una piattaforma in grado di mapparlo su MITRA framework di attacco per identificare rapidamente questo comportamento, metterlo in scena nella kill chain e raccomandare una tattica di rimedio. Grazie a questo contesto, puoi adottare un approccio molto più mirato alla risposta e non dovrai acquistare o distribuire rilevamenti speciali da più fornitori.
Inoltre, se rilevi una connessione a un host dannoso noto, puoi terminare la connessione automaticamente sul firewall e sul dispositivo. Con le regole di caccia alle minacce automatizzate, puoi scegliere un rilevamento, impostare la condizione e il Piattaforma informatica stellare può avviare la risposta attraverso integrazioni con il tuo firewall e strumento EDR. In definitiva, questo realizza tre cose molto importanti:
- Riduci i tempi di rilevamento degli eventi effettivi.
- Disattiva il rumore.
- Automatizzare la risposta per ridurre il rischio.
Quando hai una piattaforma completamente integrata che esegue queste attività, è semplice. Se sei interessato a saperne di più, contatta Brian Stone a Stellar Cyber.
