Wszyscy dostawcy usług MSSP codziennie radzą sobie z miażdżącą liczbą alertów – ale jak najskuteczniejsi partnerzy zarządzają napływem?
MSSPs przemysł odnotował znaczny wzrost ataków na MSP i Partnerzy MSSP W tym roku. Doprowadziło to do kilku nowych ataków na wszystko od Narzędzia RMM do aplikacji. Wszyscy codziennie mamy do czynienia z miażdżącą liczbą alertów – więc jak radzą sobie z tym najlepsi partnerzy?
Zacznij od łańcucha zabójstw. Najpopularniejszym obecnie frameworkiem jest MITRA ramy ataku. Jeśli spojrzysz na swoje alerty przez ten pryzmat, możesz zacząć ograniczać SOC Znacznie zmniejsza obciążenie zespołów. Zacznij od etapu rozpoznania. Po co zaczynać od tego? Bo jeśli uda ci się przerwać połączenia, zanim atakujący zdobędą przewagę, możesz wyeliminować znaczną część polowań i porządków, które twój zespół wykonuje dzisiaj.
Świetnym przykładem jest log4j. To było bardzo uciążliwe przez ostatni miesiąc. Wielu napastników wykorzystuje to, ponieważ obecnie generuje tak dużo hałasu. W pewnym sensie został on wzmocniony przez crowdsourcing przez wiele grup atakujących – im więcej atakujących go używa, tym więcej alertów z nim związanych.
Te wstępne skany nie dostarczają żadnego ładunku, ale generują mnóstwo pracy dla Ciebie SOC. Jeśli możesz połączyć skanowanie z komunikacją z zasobem w swojej sieci, możesz ograniczyć reakcję na rzeczywiste zagrożenia dla klienta. To obszar, w którym uczenie maszynowe może znacznie zwiększyć Twoje szanse na sukces.
Wykorzystując nienadzorowane uczenie maszynowe, możesz określić, czy dana maszyna kiedykolwiek komunikowała się z hostem zewnętrznym lub czy uruchomiła konkretną aplikację, taką jak log4j. Co ważniejsze, możesz również wykryć, czy dane są eksfiltrowane. Stellar Cyber opracował platformę, która może odwzorować to na MITRA platforma ataków, aby szybko zidentyfikować to zachowanie, umieścić je w łańcuchu zabijania i zalecić taktykę naprawczą. Uzbrojony w ten kontekst, możesz przyjąć znacznie bardziej ukierunkowane podejście do reagowania i nie będziesz musiał kupować ani wdrażać specjalnych wykryć od wielu dostawców.
Ponadto, jeśli wykryjesz połączenie ze znanym złośliwym hostem, możesz automatycznie zakończyć połączenie na zaporze i urządzeniu. Dzięki automatycznym regułom polowania na zagrożenia możesz wybrać wykrywanie, ustawić warunek i Stellar Cyber Platform może zainicjować odpowiedź poprzez integrację z zaporą sieciową i Narzędzie EDR. Ostatecznie realizuje to trzy bardzo ważne rzeczy:
- Skróć czas do wykrycia rzeczywistych zdarzeń.
- Wycisz hałas.
- Zautomatyzuj reakcję, aby zmniejszyć ryzyko.
Gdy masz w pełni zintegrowaną platformę wykonującą te zadania, jest to proste. Jeśli chcesz dowiedzieć się więcej, skontaktuj się z Briana Stonera w Stellar Cyber.
