Waarschuwingen, gebeurtenissen, incidenten: waar moet uw beveiligingsteam zich op richten?

Waarschuwingen, gebeurtenissen, incidenten: waar moet uw beveiligingsteam zich op concentreren

Aangezien de internetveiligheid dreigingslandschap evolueert, dus ook de manier waarop we naar die dreigingen moeten kijken. De drumbeat van nieuwe inbreuken is continu. Als je het nieuws leest, zou je denken dat er maar één belangrijke tactiek is die de aanvallers gebruiken in een INCIDENT tegen hun doelen. Dat is gewoon niet het geval, en we hebben een nieuwe manier nodig om deze gebeurtenissen te beschrijven en te volgen.

De term ALERT en EVENT moeten duidelijk worden gedefinieerd. Tegenwoordig gebruiken SOC-teams veel verschillende technologieën om bedreigingen te detecteren. Veel grote klanten hebben 30 of meer beveiligingstechnologieën in hun verdediging in de diepte. Elk van deze technologieën genereert zijn eigen specifieke ALERTS. Het is de taak van de SOC-analist om deze individuele waarschuwingen te bekijken en te correleren en te combineren tot EVENEMENTEN. Er is een ervaren analist voor nodig om regels te schrijven om de verschillende dingen met elkaar te verbinden ALERTS ze zien in EVENEMENTEN of om een ​​groot aantal van dezelfde ALERTS te ontdubbelen naar een enkel GEBEURTENIS.

Aanvallers weten dat dit een handmatig tijdrovend proces is. Ze gebruiken meerdere tactieken om de SOC-analisten mee te overweldigen ALERTS van hun beveiligingshulpmiddelen. De aanvaller kan bijvoorbeeld een bekende exploit gebruiken om talloze IDS-gebeurtenissen te genereren. Als ze succesvol zijn, zorgt dit voor een enorme afleiding voor de SOC team.

Terwijl ze te maken hebben met deze IDS-gebeurtenissen, hebben de aanvallers mogelijk al voet aan de grond in de omgeving door zich met brute kracht in te loggen op een van hun kritieke servers. Vervolgens kunnen ze het interne netwerk scannen vanaf die kritieke server. Als ze een andere server in de omgeving vinden met kritieke gegevens in een SQL-database, kunnen ze deze in gevaar brengen en een SQL-dumpopdracht uitvoeren. Dit zet de volledige inhoud van de database in een bestand dat kan worden geëxfiltreerd via de DNS-tunnel die ze maken naar een extern IP-adres.

Dit is een heel eenvoudig voorbeeld van wat er gebeurt in een INCIDENT. Meerdere gebeurtenissen moeten in verband worden gebracht met het incident. Hier is een eenvoudige hiërarchie:

Met het enorme aantal ALERTS moeten we kijken hoe we technologie kunnen gebruiken om te helpen bij de classificatie en correlatie om de effectiviteit van het SOC te verbeteren. Kunstmatige intelligentie en machine learning die in deze dataset worden gebruikt, kunnen zeer krachtige tools zijn.

  • Machinaal leren onder toezicht - in staat om voorheen niet-geïdentificeerde bestanden, domeinnamen en URL's te detecteren. Dit zijn de gegevens die gewoonlijk worden aangetroffen in ALERTS.
  • Machine learning zonder toezicht - ontwikkelt basislijnen van normaal gedrag voor netwerken, apparaten en gebruikers. Dit kan GEBEURTENISSEN binnen het klantennetwerk detecteren door te correleren en te combineren ALERTS.
  • Diep machinaal leren - kijkt naar het landschap van dreigingen in de hele omgeving en zoekt naar verbanden. In staat om te correleren EVENEMENTEN in INCIDENTEN.

Het machine learning kan ook helpen bij het scoren van een evenement of incident. Wanneer de beveiligingsanalisten openstaande incidenten beoordelen, kunnen ze het incident met de hoogste prioriteit kiezen en onmiddellijk reageren.

Als ze correct worden gebruikt, hebben ze het potentieel om verbonden bedreigingen sneller te identificeren, zodat de SOC Analisten kunnen zich concentreren op herstel in plaats van waarschuwingen te correleren voor detectie en van een reactieve houding naar een proactieve houding in het proces gaan.