MSSP's krijgen dagelijks een verpletterend aantal waarschuwingen te verwerken, maar hoe beheren de meest succesvolle partners de toestroom?
De MSSP industrie heeft een significante toename gezien van aanvallen op MSP en MSSP-partners dit jaar. Dit heeft geleid tot verschillende nieuwe aanvallen op alles van RMM-tools naar toepassingen. We hebben allemaal dagelijks te maken met een verpletterend aantal waarschuwingen - dus hoe gaan de meest succesvolle partners hiermee om?
Begin met de kill-keten. Het meest populaire raamwerk van vandaag is de MITRE aanvalsraamwerk. Als u uw waarschuwingen vanuit dit perspectief bekijkt, kunt u beginnen met het verminderen van uw SOC De werkdruk van teams aanzienlijk verlagen. Begin met de verkenningsfase. Waarom daarmee beginnen? Omdat als je de verbindingen kunt verbreken voordat de aanvallers voet aan de grond krijgen, je een groot deel van het speurwerk en de opruimacties die je team nu uitvoert, kunt elimineren.
Een goed voorbeeld is log4j. Dit is een grote overlast voor de laatste maand of zo. Veel aanvallers maken hier gebruik van omdat het momenteel zoveel lawaai maakt. In zekere zin is het versterkt door middel van crowdsourcing door meerdere aanvalsgroepen - hoe meer aanvallers het gebruiken, hoe meer waarschuwingen ermee verband houden.
Die eerste scans leveren geen nuttige lading op, maar ze scheppen wel een hoop werk voor je SOC. Als u de scan kunt koppelen aan communicatie met een asset in uw netwerk, kunt u uw reactie op daadwerkelijke bedreigingen voor uw klant beperken. Dit is een gebied waar machine learning uw kans op succes aanzienlijk kan vergroten.
Door gebruik te maken van machine learning zonder toezicht, kunt u bepalen of een bepaalde machine ooit heeft gecommuniceerd met een externe host of een bepaalde toepassing heeft uitgevoerd, zoals log4j. Wat nog belangrijker is, u kunt ook detecteren of gegevens worden geëxfiltreerd. Stellar Cyber heeft een platform ontwikkeld dat dit in kaart kan brengen bij de MITRE aanvalsframework om dit gedrag snel te identificeren, het in de kill-keten te plaatsen en een hersteltactiek aan te bevelen. Gewapend met deze context kunt u veel gerichter reageren en hoeft u geen speciale detecties van meerdere leveranciers aan te schaffen of in te zetten.
Als u bovendien een verbinding met een bekende kwaadwillende host detecteert, kunt u de verbinding automatisch beëindigen op de firewall en op het apparaat. Met geautomatiseerde regels voor het opsporen van bedreigingen kunt u een detectie kiezen, de voorwaarde instellen en de Stellair cyberplatform kan de reactie initiëren via integraties met uw firewall en EDR-tool. Uiteindelijk worden hiermee drie zeer belangrijke dingen bereikt:
- Verminder de tijd die nodig is om daadwerkelijke gebeurtenissen te detecteren.
- Stem het geluid af.
- Automatiseer de reactie om het risico te verminderen.
Als u een volledig geïntegreerd platform heeft dat deze taken uitvoert, is dat eenvoudig. Als je meer wilt weten, neem dan contact op met: Brian Steener bij Stellar Cyber.
