으로 사이버 보안 위협 환경이 진화하고 있으므로 이러한 위협을 살펴볼 필요가 있습니다. 새로운 침해의 드럼 비트는 계속됩니다. 뉴스를 읽으면 공격자가 활용하는 주요 전술이 하나 뿐이라고 믿게됩니다. 인시던트 그들의 목표에 대해. 이는 사실이 아니며 이러한 이벤트를 설명하고 추적하는 새로운 방법이 필요합니다.
용어 경보 그리고 이달의 이벤트 명확하게 정의되어야합니다. 오늘날 SOC 팀은 다양한 기술을 사용하여 위협을 탐지합니다. 많은 대규모 고객이 심층 방어 아키텍처에 30 개 이상의 보안 기술을 보유하고 있습니다. 이러한 모든 기술은 고유 한 경고를 생성합니다. 그것은 SOC 분석가 이러한 개별 경고를 검토하고 서로 연관시키고 결합하여 이벤트. 경험 많은 분석가가 서로 다른 경고 그들은보고있다 이벤트 또는 하나의 EVENT에 많은 수의 동일한 ALERTS를 중복 제거합니다.
공격자들은 이것이 수동적 인 시간 소모적 인 프로세스임을 알고 있습니다. 그들은 여러 전술을 활용하여 SOC 분석가를 압도합니다. 경고 보안 도구에서. 예를 들어, 공격자는 알려진 익스플로잇을 활용하여 수많은 IDS 이벤트를 생성 할 수 있습니다. 그들이 성공한다면, 이것은 SOC 팀.
이러한 IDS 이벤트를 처리하는 동안 공격자는 중요한 서버 중 하나에 대한 무차별 강제 로그인을 통해 환경에 이미 발판을 마련했을 수 있습니다. 다음으로 중요한 서버에서 내부 네트워크를 스캔 할 수 있습니다. SQL 데이터베이스에서 중요한 데이터가있는 환경에서 다른 서버를 찾으면이를 손상시키고 SQL 덤프 명령을 실행할 수 있습니다. 이렇게하면 데이터베이스의 전체 내용이 외부 IP 주소로 생성되는 DNS 터널을 통해 유출 될 수있는 파일에 저장됩니다.
이것은에서 일어나는 일에 대한 아주 간단한 예입니다. 인시던트. 여러 이벤트가 사건과 연관되어야합니다. 다음은 간단한 계층 구조입니다.
엄청난 수의 ALERTS를 통해 SOC의 효율성을 개선하기 위해 분류 및 상관 관계를 지원하는 기술을 활용하는 방법을 살펴 봐야합니다. 이 데이터 세트에서 활용되는 인공 지능 및 기계 학습은 매우 강력한 도구가 될 수 있습니다.
- 감독 된 기계 학습 – 이전에 식별되지 않은 파일, 도메인 이름 및 URL을 감지 할 수 있습니다. 이것은 일반적으로 발견되는 데이터입니다 경고.
- 비지도 머신 러닝 – 네트워크, 장치 및 사용자에 대한 정상적인 동작의 기준선을 개발합니다. 이것은 상호 연관시키고 결합하여 고객 네트워크 내의 이벤트를 감지 할 수 있습니다. 경고.
- 딥 머신 러닝 – 전체 환경의 위협 환경을보고 연결을 찾습니다. 상관 관계가 있음 이벤트 으로 사건.
The 기계 학습 이벤트 또는 사건의 점수를 매길 수도 있습니다. 보안 분석가가 미해결 사고를 검토 할 때 가장 우선 순위가 높은 사고를 선택하고 즉시 대응할 수 있습니다.
올바르게 활용하면 연결된 위협을 더 빨리 식별 할 수 있으므로 SOC 분석가는 탐지를 위해 경보를 상호 연관시키는 것보다 문제 해결에 집중할 수 있으며 프로세스에서 사후 대응 자세에서 사전 대응 자세로 이동할 수 있습니다.
