à medida que o cíber segurança O cenário de ameaças está evoluindo, portanto, é a maneira como precisamos olhar para essas ameaças. O ritmo de novas violações é contínuo. Se você ler as notícias, será levado a acreditar que existe apenas uma tática principal que os invasores usam em um INCIDENTE contra seus alvos. Isso simplesmente não é o caso, e precisamos de uma nova maneira de descrever e rastrear esses eventos.
O termo ALERTA e EVENTO precisam ser claramente definidos. Hoje, as equipes de SOC usam muitas tecnologias diferentes para detectar ameaças. Muitos grandes clientes têm 30 ou mais tecnologias de segurança em sua arquitetura de defesa em profundidade. Cada uma dessas tecnologias gera seus próprios ALERTAS específicos. É o trabalho do Analista SOC para revisar esses alertas individuais e correlacioná-los e combiná-los em EVENTOS. É preciso um analista experiente para escrever regras para conectar os diferentes ALERTAS eles estão vendo dentro EVENTOS ou para desduplicar um grande número dos mesmos ALERTAS em um único EVENTO.
Os invasores sabem que este é um processo manual demorado. Eles aproveitam várias táticas para sobrecarregar os analistas do SOC com ALERTAS de suas ferramentas de segurança. Por exemplo, o invasor pode aproveitar uma exploração conhecida para gerar vários eventos de IDS. Se eles forem bem-sucedidos, isso criará uma grande distração para o SOC .
Enquanto lidam com esses eventos de IDS, os invasores podem já ter estabelecido uma posição segura no ambiente por meio de um login de força bruta em um de seus servidores críticos. Em seguida, eles podem varrer a rede interna desse servidor crítico. Se encontrarem outro servidor no ambiente com dados críticos em um banco de dados SQL, eles podem comprometê-lo e executar um comando SQL dump. Isso coloca todo o conteúdo do banco de dados em um arquivo que pode ser exfiltrado pelo túnel DNS que eles criam para um endereço IP externo.
Este é um exemplo muito simples do que acontece em um INCIDENTE. Vários eventos precisam ser correlacionados ao incidente. Aqui está uma hierarquia simples:
Com o grande número de ALERTAS, precisamos ver como podemos alavancar a tecnologia para ajudar na classificação e correlação para melhorar a eficácia do SOC. A inteligência artificial e o aprendizado de máquina aproveitados por meio desse conjunto de dados podem ser ferramentas muito poderosas.
- Aprendizado de máquina supervisionado - capaz de detectar arquivos, nomes de domínio e URLs não identificados anteriormente. Estes são os dados comumente encontrados em ALERTAS.
- Aprendizado de máquina não supervisionado - desenvolve linhas de base de comportamento normal para redes, dispositivos e usuários. Isso pode detectar EVENTOS dentro da rede do cliente, correlacionando e combinando ALERTAS.
- Aprendizado de máquina profundo - analisa o panorama de ameaças em todo o ambiente e procura conexões. Capaz de correlacionar EVENTOS para dentro INCIDENTES.
O Aprendizado de máquinas também pode ajudar a pontuar um evento ou incidente. Quando os analistas de segurança revisam os incidentes abertos, isso permite que eles escolham o incidente de maior prioridade e respondam imediatamente.
Alavancados corretamente, eles têm o potencial de identificar ameaças conectadas mais rapidamente para que o SOC O analista pode se concentrar na correção em vez de correlacionar alertas para detecção e passar de uma postura reativa para uma pró-ativa no processo.
