AI SecOps: implementatie en best practices
Security Operations, of SecOps, is de culminatie van individuele processen die kwetsbaarheden en risico-intrusie in gevoelige bedrijfsmiddelen voorkomen. Dit verschilt enigszins van het Security Operations Center (SOC) – de organisatorische eenheid van mensen die beveiligingsincidenten monitort en voorkomt.
Dit onderscheid is belangrijk omdat SecOps beveiligingsprocessen wil integreren binnen de operationele pijplijn, terwijl traditionele SOC's beveiliging loskoppelen van IT, en beveiligingsprocessen in feite isoleren. Dit is de reden waarom moderne SOC's vaak SecOps implementeren, als een manier om bedreigingspreventie in evenwicht te brengen met speciale incidentresponsmogelijkheden.
Omdat SecOps naast de dagelijkse IT- en OT-workflows moet zitten – en niet in de weg mag zitten – is SecOps-automatisering een essentieel onderdeel van de strategie. Dit artikel bekijkt hoe AI SecOps zich ontwikkelt, use cases voor AI in SecOps en best practices voor het implementeren van AI in SecOps.
SIEM van de volgende generatie
Stellar Cyber Next-Generation SIEM, als een kritisch onderdeel binnen het Stellar Cyber Open XDR Platform...
Ervaar AI-aangedreven beveiliging in actie!
Ontdek de geavanceerde AI van Stellar Cyber voor onmiddellijke detectie en reactie op bedreigingen. Plan vandaag nog uw demo!
Inleiding tot AI SecOps
SecOps is een aanpak die aanzienlijke steun heeft gekregen binnen beveiligingsbewuste organisaties. De SecOps van elke organisatie moet zich aanpassen aan de unieke lay-out van digitale activa, infrastructuur en gevoelige gegevens van de organisatie, net zoals de onderneming groeit en zich aanpast aan marktveranderingen in de loop van de tijd. Omdat SecOps beveiligingsmaatregelen integreert in de gehele levenscyclus van IT-activiteiten, moet het ook beveiliging inbedden in elke fase van ontwikkeling en activiteiten.
Om dit te bereiken, vereist de SOC continu, diepgaand inzicht in de apparaten, netwerken en eindpunten van in wezen alle gebruikers – het is een verbijsterende hoeveelheid data. Een van de redenen dat SOC-teams traditioneel werden gescheiden van hun ontwikkelaars en IT-collega's, was om al deze data te beheren. Rond de lagen van analisten hadden SOC-teams ook een groot aantal tools nodig om deze te extraheren en te groeperen. Security Information and Event Management (SIEM)-tools, firewalls en Endpoint Detection and Response (EDR) hielpen allemaal bij het verwerken van deze data en het omzetten ervan in zinvolle informatie.
AI in beveiligingsoperaties kan nu beveiligingsgegevens opnemen met dezelfde snelheid als waarmee ze worden geproduceerd. Als gevolg hiervan is Machine Learning – en de nieuwere Generative AI – verantwoordelijk voor het omzetten van SecOps in een continu proces, waardoor beveiligingsoperaties gelijke tred kunnen houden met IT- en ontwikkelingsveranderingen. Bovendien, aangezien AI-gestuurde platforms meer automatiseringsopties bieden dan ooit tevoren, wordt de evolutie van SecOps geduwd in de richting van gestroomlijnde tech stacks, verminderde complexiteit en hogere ROI.
Gebruiksscenario's van AI in SecOps
Bedreigingsdetectie met minder vals-positieve resultaten
AI-modellen floreren op grote datasets: met AI kunnen de hoeveelheden waarschuwingen die ooit een beveiligingsteam konden overweldigen, nu worden opgenomen, kruisverwezen en gebruikt om anderen te detecteren. Dit staat in schril contrast met de traditionele aanpak van bedreigingsdetectie, waarbij beveiligingstools gewoon op elkaar werden gestapeld.
Dit is de situatie een in de VS gevestigd financieel bedrijf was terechtgekomen in: SOC-analisten moesten elke beveiligingsoperatie starten door de enorme hoeveelheden gegevens die aan elke waarschuwing waren gekoppeld, te doorzoeken. En omdat de onderneming meerdere beveiligingstoolingsoftware had, moesten ze handmatig dezelfde waarschuwing op elke console identificeren en elke lead individueel volgen om de geldigheid en mogelijke schade van een waarschuwing te bepalen.
Omdat AI alle onbewerkte log-, netwerk- en apparaatgegevens kan verwerken die in de waarschuwingstrigger van een tool terechtkomen, kan het die waarschuwing vervolgens correleren met bijbehorende acties op het betreffende netwerk, apparaat of account. Het resultaat is veel minder valse waarschuwingen – en in het geval van een echt beveiligingsincident – kan AI waarschuwingen plaatsen in de context van een bredere aanvalsketen.
Geautomatiseerde respons op incidenten
Playbooks vormen de hoeksteen van geautomatiseerde responsmogelijkheden – ze stellen slanke teams in staat, zoals die van de IT-afdeling van de Universiteit van Zürich om snel bepaalde monitoring- en responsmogelijkheden te implementeren als reactie op specifieke waarschuwingen. Bijvoorbeeld, in het geval van een incident dat de eindpunten van een afdeling treft, kan de corresponderende IT-manager op de hoogte worden gebracht.
Automatisering kan ervoor zorgen dat lean teams 24/7 dekking kunnen bieden, zelfs als ze niet de mankracht hebben om altijd analisten op afroep beschikbaar te hebben. Automatisering wordt toegankelijk gemaakt via playbooks, die precies aangeven welke herstelstappen de AI-tool moet nemen als reactie op bepaalde soorten waarschuwingen en incidenten.
Geprioriteerde waarschuwingen en AI-ondersteunde detectie van bedreigingen
Omdat AI-modellen kunnen worden getraind op basis van historische aanvallen – en een actueel inzicht kunnen hebben in de gehele stack van assets van een onderneming – kunnen ze waarschuwingen categoriseren op basis van de potentiële explosieradius. Dit vermindert drastisch de last van handmatige SecOps-processen die anders lange, zware werkuren zouden vergen om op te zetten.
Het categoriseren van waarschuwingen nam veel tijd in beslag de tijd van één stadsbestuur – in dit geval werd van elke analist verwacht dat hij zijn eigen beveiligingstool zou gebruiken. Dit liet aanzienlijke gaten achter die complexe aanvalsvectoren mogelijk konden exploiteren. AI-ondersteunde triage stelde hen in staat om de handmatige werklast die van elke analist werd gevraagd drastisch te verminderen, waardoor een analist binnen 10 minuten de kern van een incident kon achterhalen, in plaats van meerdere dagen.
Weten waar en hoe AI in SecOps moet worden geïmplementeerd, is echter vaak de eerste horde die moet worden genomen.
Best practices voor het implementeren van AI in SecOps
Definieer meetbare doelen voor uw AI-implementatie
SMART-doelen laten de wereld draaien – en de focus op meetbaarheid is de sleutel tot het definiëren en succesvol implementeren van een nieuwe AI-tool. Om de best mogelijke ROI te behalen, is het het beste om te beginnen met het identificeren van welke SecOps-processen het grootste deel van de tijd van uw analisten in beslag nemen.
Dit kan een specifieke tool zijn, zoals een SIEM, of een bredere metriek, zoals mean time to respond (MTTR). Het kan een stap in de workflow zijn die analisten of IT-personeel moeten volgen nadat een waarschuwing hun inbox heeft bereikt; het belangrijkste punt is om precies te identificeren welk onderdeel de grootste vertraging veroorzaakt. Dit proces zal een beeld schetsen van welke rol een AI-tool precies moet vervullen: als een groot pijnpunt draait om asset discovery, dan is een AI-firewallintegratie misschien niet de grootste prioriteit.
Het is ook het beste om dit een gezamenlijke inspanning te maken. Het betrekken van C-levels en andere uitvoerende besluitvormers is essentieel om langdurige verandering te bereiken, en zij kunnen IT en security helpen om de vereiste organisatorische veranderingen in beeld te brengen.
Integreer AI in uw bestaande tools en workflows
AI-technologieën floreren in datarijke omgevingen, maar ze moeten die data ergens vandaan kunnen halen. Aangepaste integraties kunnen lastig en tijdrovend zijn, dus beoordeel bij het bekijken van AI-gebaseerde oplossingen hun vermogen om te integreren met uw huidige tools. Het komt maar zelden voor dat een organisatie helemaal opnieuw moet beginnen. Soms, als uw SIEM, EDR of firewall al prima draait en de vertragingen komen door de beperkte middelen van de analisten zelf, is het beter om uw SIEM aan te vullen met AI in plaats van een vervanging uit te voeren.
Vergeet hierbij niet dat AI veel beveiligingsgegevens vereist. Als u een dataset vanaf nul bouwt, moet u investeren in het bouwen van een robuuste en veerkrachtige data-infrastructuur, gekoppeld aan strikte governance-protocollen. Een sterke infrastructuur vereist het implementeren van veilige opslagoplossingen, het optimaliseren van gegevensverwerkingsmogelijkheden en het opzetten van efficiënte gegevensoverdrachtsystemen ter ondersteuning van realtime bedreigingsdetectie en -respons. Aan de andere kant beheert een product van derden al deze gegevens voor u, maar zorg ervoor dat u de provider vertrouwt.
Stem het SecOps-team af op het gebruik van een AI-gestuurd systeem
Hoewel de AI-tool flexibel moet zijn, moet deze wel wat veranderingen aanbrengen in het dagelijkse werk van analisten. Daar is het voor. De teams die worden beïnvloed, moeten weten welke veranderingen dit met zich meebrengt en hoe hun eigen workflows eruit moeten zien. Omdat SecOps al uitgebreide training in beveiligingsoperaties vereist, moeten ze al bekend zijn met beleids- en procedurekaders. Op dezelfde manier moet de AI-update processen opsplitsen in meetbare acties en duidelijke richtlijnen.
Dat gezegd hebbende, denk aan de vaardigheden en ervaring van de huidige SecOps-leden. Als er nieuwere teamleden zijn die nog steeds hun strepen verdienen, overweeg dan om AI-tooling te kiezen die benaderbaar is en hen door de geautomatiseerde acties of waarschuwingsprocessen leidt die het deed. Dit stelt hen in staat om hun eigen vertrouwen op te bouwen bij het aanpakken van bedreigingen. Transparantie bouwt ook meer vertrouwen op tussen het menselijke team en de AI-analyse-engine, terwijl het ook mogelijk maakt om het oordeel van de AI in de loop van de tijd te verfijnen.
Maak draaiboeken
Playbooks vormen de basis voor de implementatie van AI-beveiliging. Hoewel AI-tools mogelijk over een aantal vooraf vastgestelde playbooks beschikken, is het raadzaam om uw eigen playbook te bouwen of aan te passen, afhankelijk van het specifieke gebruiksscenario dat u nodig hebt.
Als een team bijvoorbeeld veel externe e-mailcommunicaties heeft, is het belangrijk om een aantal playbooks te maken die specifiek de dreiging van e-mailphishing aanpakken. In dit geval detecteert een centraal AI-platform de verdachte grammatica of metadata van een phishing-e-mail, die vervolgens het bijbehorende playbook activeert. In dit geval isoleert het playbook automatisch de e-mail – of het eindpunt zelf als er bewijs is van een inbreuk – en activeert vervolgens een wachtwoordreset. Er wordt een bericht verzonden naar de bijbehorende beveiligingsbeheerder, die al die informatie verpakt in één waarschuwing ontvangt. De playbooks die uw AI-model nodig heeft, zijn afhankelijk van de eigen instellingen en verantwoordelijkheden van uw organisatie.
Gezamenlijk zorgen deze AI-gestuurde SecOps best practices voor een soepele overgang naar AI-gestuurde SecOps, terwijl ze een maximale ROI opleveren.
Hoe Stellar Cyber AI SecOps verbetert
Geautomatiseerde incidentdetectie
Stellar Cyber maakt een einde aan de afhankelijkheid van handmatige dreigingsdetectie en op regels gebaseerde dreigingsidentificatie met meerdere lagen van AI.
De eerste van deze AI's is gericht op detectie: het beveiligingsonderzoeksteam van Stellar Cyber creëert en traint supervised modellen met behulp van een mix van openbaar beschikbare en intern gegenereerde datasets. Zero-day en onbekende bedreigingen zijn detecteerbaar via parallelle, niet-supervised machine learning-modellen. Deze modellen stellen een basislijn vast van netwerk- en gebruikersgedrag gedurende meerdere weken. Zodra datasignalen zijn opgenomen, correleert een op GraphML gebaseerde AI detecties en andere datasignalen, waarbij automatisch gerelateerde datapunten worden gekoppeld om analisten te helpen. Het evalueert de verbindingssterkte tussen verschillende gebeurtenissen door eigenschappen, timing en gedragspatronen te analyseren.
Andere vormen van AI zijn gebaseerd op deze kernontdekkingsmogelijkheden. Ze brengen meer toegankelijkheid en responsmogelijkheden naar Stellar Cyber-powered organisaties.
Maak SecOps toegankelijk
Alle realtime beveiligingsgegevens van een organisatie worden in twee belangrijke formaten weergegeven: de eerste in de kill chain op het dashboard en de tweede via de Copilot.
Het XDR Kill Chain-dashboard fungeert als de standaardhomepage voor Stellar Cyber en biedt een gecentraliseerd overzicht van het algehele risico en gedetecteerde bedreigingen. Het maakt snelle beoordelingen mogelijk door drilldowns te bieden in actieve incidenten, risicovolle activa en aanvalstactieken. Deze gestroomlijnde aanpak helpt beveiligingsteams om kritieke problemen te prioriteren, ongeacht hun individuele aandachtspunten die vervolgens verder kunnen worden uitgediept.
Copilot AI is daarentegen een LLM-gebaseerde onderzoeker die de eigen dreigingsanalyseprojecten van analisten versnelt door direct te reageren op vragen. Dit maakt het perfect voor snelle gegevensopvraging en -uitleg, waardoor de tool verder wordt geïntegreerd in SecOps-projecten.
Omni-oppervlakte zichtbaarheid
Stellar cyber ingest logs en beveiligingsgegevens via meerdere typen sensoren. De netwerk- en beveiligingssensoren verzamelen metadata van fysieke en virtuele switches terwijl logs worden samengevoegd voor uitgebreide zichtbaarheid. De Deep Packet Inspection (DPI) analyseert payloads op tempo. Serversensoren kunnen daarentegen gegevens verzamelen van Linux- en Windows-servers, waarbij netwerkverkeer, opdrachten, processen, bestanden en applicatieactiviteit worden vastgelegd. Verwacht volledige compatibiliteit van Windows 98 en Linux-distributies zoals Ubuntu, CoreOS en Debian.
Het platform is overal inzetbaar waar zichtbaarheid nodig is: of het nu cloudgebaseerd, hybride of volledig on-premises is – of op basis van een tenant – Stellar Cyber integreert gegevens van overal.
Geavanceerde respons-AI
Dankzij de responsmogelijkheden van Stellar Cyber kan de tool beter worden geïntegreerd met bestaande beveiligingstools. In plaats van alleen gegevens te verwerken, kan Stellar ook automatisch actie ondernemen via diezelfde tools.
Omdat Stellar zich richt op snelle implementatie, wordt het geleverd met 40 vooraf gebouwde playbooks voor het opsporen van bedreigingen die het volledige aanvalsoppervlak bestrijken, zoals mislukte Windows-aanmeldingen, DNS-analyse en Microsoft 365. Dit maakt het detecteren en reageren op bedreigingen toegankelijker, zelfs voor teams zonder diepgaande beveiligingsexpertise.
Stellar Cyber integreert naadloos met firewalls, endpoint security, identiteits- en toegangsbeheertools, ticketsystemen en berichtenapps om beveiligingsbewerkingen te schalen. Voor geavanceerdere orkestratiebehoeften ondersteunt het integratie met toonaangevende SOAR-platforms voor gestroomlijnde en efficiënte respons op bedreigingen. Stellar Cyber-aangedreven ondernemingen genieten van gedetailleerde controle over de triggers, voorwaarden en output van elk playbook, waardoor ze de best practices van SecOps nauwgezet en netjes kunnen volgen. Playbooks kunnen wereldwijd of per tenant worden geïmplementeerd.
Ontdek Stellar Cyber AI SecOps
Stellar Cyber's platform vereenvoudigt de adoptie van AI in SecOps door zich te richten op snelle implementatie. Het stelt ondernemingen in staat om effectievere, efficiëntere beveiligingsoperaties te bereiken zonder een langdradig of door leveranciers geblokkeerd implementatieproces. De automatiseringsmogelijkheden zijn direct beschikbaar – om de omgeving en mogelijkheden van Stellar Cyber te verkennen, een demo plannen.
