Jak bezpieczeństwo cybernetyczne krajobraz zagrożeń ewoluuje, podobnie jak sposób, w jaki musimy patrzeć na te zagrożenia. Bęben nowych wyłomów jest ciągły. Jeśli przeczytasz wiadomości, zostaniesz przekonany, że istnieje tylko jedna główna taktyka, którą atakujący wykorzystują w INCIDENT przeciwko swoim celom. Po prostu tak nie jest i potrzebujemy nowego sposobu opisywania i śledzenia tych wydarzeń.
Termin ALERT oraz EVENT muszą być jasno zdefiniowane. Dzisiaj SOC Zespoły wykorzystują wiele różnych technologii do wykrywania zagrożeń. Wielu dużych klientów ma w swojej architekturze obrony głębokiej 30 lub więcej technologii bezpieczeństwa. Każda z tych technologii generuje własne, specyficzne ALERTY. To zadanie… SOC analityk aby przejrzeć te indywidualne alerty i skorelować je i połączyć w WYDARZENIA. Pisanie reguł, które łączą różne elementy, wymaga doświadczonego analityka ALERTS oni się przyglądają WYDARZENIA lub do deduplikacji dużej liczby tych samych ALERTÓW do jednego WYDARZENIA.
Atakujący wiedzą, że to proces manualny, czasochłonny. Wykorzystują wiele taktyk, aby przytłoczyć SOC analitycy z ALERTS z ich narzędzi bezpieczeństwa. Na przykład osoba atakująca może wykorzystać znany exploit do wygenerowania wielu zdarzeń IDS. Jeśli im się powiedzie, spowoduje to ogromne rozproszenie uwagi SOC zespół.
Podczas gdy mają do czynienia z tymi zdarzeniami IDS, napastnicy mogli już zdobyć przyczółek w środowisku poprzez brutalne logowanie do jednego z ich krytycznych serwerów. Następnie mogą przeskanować sieć wewnętrzną z tego krytycznego serwera. Jeśli znajdą inny serwer w środowisku z krytycznymi danymi w bazie danych SQL, mogą go złamać i uruchomić polecenie SQL dump. Spowoduje to umieszczenie całej zawartości bazy danych w pliku, który można eksfiltrować w utworzonym przez siebie tunelu DNS na zewnętrzny adres IP.
To jest bardzo prosty przykład tego, co dzieje się w pliku INCIDENT. Wiele zdarzeń musi być skorelowanych z incydentem. Oto prosta hierarchia:
Biorąc pod uwagę ogromną liczbę ALERTÓW, musimy zastanowić się, w jaki sposób możemy wykorzystać technologię, aby pomóc w klasyfikacji i korelacji w celu zwiększenia skuteczności SOCSztuczna inteligencja i uczenie maszynowe wykorzystane w tym zestawie danych mogą okazać się niezwykle potężnymi narzędziami.
- Nadzorowane uczenie maszynowe - w stanie wykryć wcześniej niezidentyfikowane pliki, nazwy domen i adresy URL. To są dane powszechnie spotykane w ALERTS.
- Uczenie maszynowe bez nadzoru - opracowuje podstawy normalnego zachowania sieci, urządzeń i użytkowników. Może to wykrywać WYDARZENIA w sieci klienta poprzez korelację i łączenie ALERTS.
- Głębokie uczenie maszynowe - przygląda się krajobrazowi zagrożeń w całym środowisku i szuka powiązań. Potrafi korelować WYDARZENIA najnowszych INCYDENTY.
Nauczanie maszynowe może również pomóc w ocenie zdarzenia lub incydentu. Kiedy analitycy bezpieczeństwa przeglądają otwarte incydenty, pozwala im to wybrać incydent o najwyższym priorytecie i natychmiast zareagować.
Prawidłowo lewarowane mają potencjał do szybszej identyfikacji powiązanych zagrożeń, więc SOC Analityk może skupić się na naprawie, a nie skorelowaniu alertów w celu wykrycia i przejść z reaktywnej postawy do proaktywnej w trakcie procesu.
