Aangezien de internetveiligheid dreigingslandschap evolueert, dus ook de manier waarop we naar die dreigingen moeten kijken. De drumbeat van nieuwe inbreuken is continu. Als je het nieuws leest, zou je denken dat er maar één belangrijke tactiek is die de aanvallers gebruiken in een INCIDENT tegen hun doelen. Dat is gewoon niet het geval, en we hebben een nieuwe manier nodig om deze gebeurtenissen te beschrijven en te volgen.
De term ALERT en EVENT moeten duidelijk worden gedefinieerd. Vandaag SOC Teams gebruiken veel verschillende technologieën om bedreigingen te detecteren. Veel grote klanten hebben 30 of meer beveiligingstechnologieën in hun gelaagde beveiligingsarchitectuur. Elk van deze technologieën genereert zijn eigen specifieke waarschuwingen. Het is de taak van de SOC analist om deze individuele waarschuwingen te bekijken en te correleren en te combineren tot EVENEMENTEN. Er is een ervaren analist voor nodig om regels te schrijven om de verschillende dingen met elkaar te verbinden ALERTS ze zien in EVENEMENTEN of om een groot aantal van dezelfde ALERTS te ontdubbelen naar een enkel GEBEURTENIS.
Aanvallers weten dat dit een handmatig en tijdrovend proces is. Ze gebruiken verschillende tactieken om de aanvallers te overweldigen. SOC analisten met ALERTS van hun beveiligingshulpmiddelen. De aanvaller kan bijvoorbeeld een bekende exploit gebruiken om talloze IDS-gebeurtenissen te genereren. Als ze succesvol zijn, zorgt dit voor een enorme afleiding voor de SOC team.
Terwijl ze te maken hebben met deze IDS-gebeurtenissen, hebben de aanvallers mogelijk al voet aan de grond in de omgeving door zich met brute kracht in te loggen op een van hun kritieke servers. Vervolgens kunnen ze het interne netwerk scannen vanaf die kritieke server. Als ze een andere server in de omgeving vinden met kritieke gegevens in een SQL-database, kunnen ze deze in gevaar brengen en een SQL-dumpopdracht uitvoeren. Dit zet de volledige inhoud van de database in een bestand dat kan worden geëxfiltreerd via de DNS-tunnel die ze maken naar een extern IP-adres.
Dit is een heel eenvoudig voorbeeld van wat er gebeurt in een INCIDENT. Meerdere gebeurtenissen moeten in verband worden gebracht met het incident. Hier is een eenvoudige hiërarchie:
Gezien het enorme aantal waarschuwingen moeten we bekijken hoe we technologie kunnen inzetten om te helpen bij de classificatie en correlatie, om zo de effectiviteit te verbeteren. SOCKunstmatige intelligentie en machinaal leren, toegepast op deze dataset, kunnen zeer krachtige instrumenten zijn.
- Machinaal leren onder toezicht - in staat om voorheen niet-geïdentificeerde bestanden, domeinnamen en URL's te detecteren. Dit zijn de gegevens die gewoonlijk worden aangetroffen in ALERTS.
- Machine learning zonder toezicht - ontwikkelt basislijnen van normaal gedrag voor netwerken, apparaten en gebruikers. Dit kan GEBEURTENISSEN binnen het klantennetwerk detecteren door te correleren en te combineren ALERTS.
- Diep machinaal leren - kijkt naar het landschap van dreigingen in de hele omgeving en zoekt naar verbanden. In staat om te correleren EVENEMENTEN om in INCIDENTEN.
De machine learning kan ook helpen bij het scoren van een evenement of incident. Wanneer de beveiligingsanalisten openstaande incidenten beoordelen, kunnen ze het incident met de hoogste prioriteit kiezen en onmiddellijk reageren.
Als ze correct worden gebruikt, hebben ze het potentieel om verbonden bedreigingen sneller te identificeren, zodat de SOC Analisten kunnen zich concentreren op herstel in plaats van waarschuwingen te correleren voor detectie en van een reactieve houding naar een proactieve houding in het proces gaan.
