Effectieve cyberbeveiliging begint en eindigt met data.
Omdat aanvallers hun ladingen binnen enkele seconden kunnen inzetten, kan het verschil betekenen tussen een geïsoleerde dreiging en een wijdverbreid compromis als u ervoor zorgt dat uw beveiligingsteam geen minuten of uren hoeft te wachten totdat hun beveiligingsplatform merkt dat er een aanval gaande is. Hoewel de meeste moderne cyberbeveiligingsproducten bedreigingen snel kunnen detecteren, zijn ontwerpkeuzes die vroeg in het productontwikkelingsproces worden gemaakt uiteindelijk van invloed op hun algehele prestaties, met name hoe het product omgaat met gegevensbeheer en -verwerking. In deze blog bespreek ik hoe AI-gestuurde detectie van bedreigingen zou kunnen werken bij elke aanpak, waarbij ik gebruik maak van een fictieve organisatie die met vijftig verschillende beveiligingsproducten en vijftig verschillende gegevensbronnen werkt om hun omgevingen te beveiligen.
Een korte kanttekening bij AI-gestuurde detectie van bedreigingen
Twee verschillende datamanagementbenaderingen
Schema-bij-lezen
Schema-on-Read is een aanpak voor gegevensbeheer waarbij de opname van onbewerkte gegevens plaatsvindt zonder een vooraf gedefinieerd schema toe te passen. Deze aanpak integreert veel verschillende gegevensbronnen sneller, omdat het niet nodig is om vooraf het gegevensbronformaat te begrijpen. In plaats daarvan worden de onbewerkte gegevens opgeslagen zoals ze zijn, en elk schema dat nodig is voor de verwerking vindt plaats tijdens het lezen zonder de onbewerkte gegevens te wijzigen. Veel data-ingenieurs geven de voorkeur aan Schema on Read, omdat het hen in staat stelt om:
- Neem gegevens sneller op omdat er geen voorafgaande structurering nodig is.
- Pas u aan situaties aan waarin gegevensformaten voortdurend veranderen.
- Verwerk een breed scala aan gegevensbronnen zonder hun schema te wijzigen.
Zoals bij elke technologie kleven er nadelen aan het hanteren van een Schema-on-Read-aanpak voor gegevensbeheer:
- De zoekprestaties lijden eronder
- Data Analytics vergt veel rekenkracht
- Een grotere neiging tot inconsistenties en fouten in de gegevens.
AI-gestuurde detectie van bedreigingen in een Schema-on-Read-wereld
Nu we de voor- en nadelen van Schema-on-Read hebben besproken. Laten we eens kijken hoe AI-gestuurde detectie van bedreigingen zou kunnen werken zonder schema voor de gegevens. Zoals eerder vermeld, identificeert AI-gestuurde detectie van bedreigingen afwijkingen ten opzichte van verwacht gedrag. Gegeven deze vereiste zou een op AI gebaseerd beveiligingsproduct complexe logica vereisen die is ontworpen om gegevens ‘on the fly’ te normaliseren en te verrijken over de opgeslagen gegevens in verschillende formaten. Elke record moet onmiddellijk worden verwerkt om te voorkomen dat er afwijkingen worden gemist. Het is niet moeilijk voor te stellen dat deze aanpak snel duur zou kunnen worden, omdat er voortdurend aanzienlijke verwerkingskracht en geheugen voor nodig zijn om de verwerkte gegevens voor verschillende AI-gestuurde detecties tijdelijk op te slaan. Dus hoewel het idee van het opnemen van onbewerkte gegevens goed klinkt en misschien ook van toepassing is op sommige niet-cyberbeveiligingstoepassingen met betrekking tot AI-gestuurde detectie van bedreigingen, kunnen de lopende kosten snel uit de hand lopen. De prijs kan ongelooflijk kostbaar en onvoorspelbaar worden als de gegevensopslag en AI-gestuurde detectie van verschillende leveranciers komen.
Schema bij schrijven
In tegenstelling tot Schema on Read doet Schema on Write ETL (Extract, Transform, Load), dat vooraf een bepaalde structuur (schema) op gegevens toepast, de opgenomen gegevens transformeert en valideert voordat deze naar een gegevensarchief worden geschreven. Zoals je zou verwachten, zijn de voordelen van Schema on Write:
- Verhoogde gegevensintegriteit en minimaliseer de inconsistentie ervan
- Snel en efficiënt zoeken
- Gemakkelijke en snelle data-analyse
Om eerlijk te zijn, zijn er verschillende beperkingen als het gaat om Schema-on-Write-benaderingen van gegevensbeheer:
- Wijzigingen in de gegevensindelingen van gegevensbronnen kunnen updates van het schema vereisen.
- Het gegevensschema moet worden bijgewerkt om ruimte te bieden aan nieuwe gegevensbronnen.
AI-gestuurde detectie van bedreigingen in een Schema-on-Read-wereld
Nu we de voor- en nadelen van Schema-on-Write hebben geïdentificeerd, gaan we nu kijken naar AI-gestuurde detectie van bedreigingen, waarbij dataschema's worden toegepast voordat er naar een database wordt geschreven. We gaan ervan uit dat we met dezelfde organisatie samenwerken met vijftig verschillende beveiligingsproducten om hun omgeving te beschermen. Gegevenstransformaties vinden plaats voordat ze in een database worden geladen bij het aggregeren van gegevens in een schema-on-write beveiligingsplatform. Tijdens deze voorbewerking worden alle gegevens genormaliseerd en verrijkt met gegevens uit andere bronnen. Door AI aangestuurde mogelijkheden voor detectie van bedreigingen werken nu met een schone dataset in een standaardformaat met context, waardoor een verscheidenheid aan basislijnen wordt gecreëerd en afwijkingen snel, efficiënt en nauwkeurig worden geïdentificeerd. Het detecteren van gecompromitteerde inloggegevens vanaf een ongebruikelijke fysieke locatie kan bijvoorbeeld eenvoudig worden geoptimaliseerd, omdat de geografische locatie tijdens het verrijkingsproces aan de gegevens is toegevoegd voordat deze naar de database wordt geschreven. Op dezelfde manier kunnen bijvoorbeeld alle IP-adressen worden verrijkt met locatie-informatie dankzij het normalisatieproces, waardoor ongebruikelijke gebruikersactiviteit gemakkelijk kan worden gedetecteerd.
Wat is de juiste keuze voor u?
Als je denkt aan een duurzaam concurrentievoordeel ten opzichte van aanvallers, is een datamanagementaanpak misschien niet het eerste dat in je opkomt, maar dat zou wel zo moeten zijn. Hoewel er voor- en nadelen zitten aan elke hierboven besproken benadering van gegevensbeheer, moet u uiteindelijk de impact van een strategie voor productgegevensbeheer op uw doelstellingen afwegen voordat u deze adopteert. Dit heeft namelijk enorme gevolgen voor de kosten, uw vermogen om bedreigingen op te sporen via effectieve zoeken, en uw vermogen om uw eigen AI-gestuurde of zelfs handmatige regels voor bedreigingsdetectie te ontwikkelen.
Stellar Cyber is gebouwd op een Schema-on-Write data management-aanpak, waardoor onze klanten effectieve en nauwkeurige AI-gestuurde dreigingsdetectieresultaten, snelle dreigingsopsporing en flexibele ontwikkelingsmogelijkheden voor hun dreigingsanalyse krijgen. Bovendien kunnen organisaties, door gebruik te maken van de Bring Your Own Data Lake (BYODL)-functionaliteit van ons platform, aanzienlijke kostenbesparingen realiseren door alleen de resultaten in hun eigen data lake of bestaande data lake op te slaan. SIEMOm meer te weten te komen over hoe Stellar Cyber werkt om onze interactie met uw gegevens te optimaliseren, Neem vandaag nog contact met ons op voor een persoonlijk adviesgesprek.
