Chegou a hora de a tecnologia de segurança cibernética acompanhar os adversários. Agora que vimos tantos ataques em vários estágios bem-sucedidos, precisamos reavaliar a maneira como correlacionamos os sinais que vemos de todas as ferramentas de segurança em nossos ambientes. A correlação é útil, mas nem sempre descreve o quadro completo. Qual é a próxima fase de detecção e resposta?
Para entender isso, precisamos examinar as estruturas atuais que ajudam as equipes de segurança a organizar suas tarefas diárias. A Lockheed Martin Kill Chain era uma estrutura muito popular quando a proliferação de malware era a tática primária. Foi muito bom delinear os diferentes estágios pelos quais os invasores passaram para implantar sua carga útil. Em seguida, veio a estrutura MITER ATT & CK. Isso é aproveitado por muitos especialistas hoje porque é mais abrangente, descrevendo as táticas e técnicas que cresceram em popularidade com os invasores nos últimos anos.
O problema com essas estruturas grandes e sofisticadas é que é muito difícil escrever regras manuais para antecipar e correlacionar todos os sinais de suas fontes de log. O volume de logs que estão sendo coletados e retidos está disparando. Isso se tornou um desafio de big data até mesmo para o menor dos parceiros. O que pode ser feito para resolver esse desafio?
A integração da plataforma de segurança e da estrutura é a chave. Hoje, muitas plataformas fornecem links para o MITER como parte de sua inteligência de ameaças, mas normalmente é após o fato. O que precisamos fazer é organizar e apresentar os alertas no framework em tempo real. Os invasores precisam ser bem-sucedidos em vários estágios da estrutura para atingir seu objetivo. Só precisamos ter sucesso em pará-los em um dos estágios. Quanto mais cedo for o estágio, menos haverá para limpar. Existem alguns processos-chave de que você precisa para fazer isso.
Primeiro, você precisa de um conjunto de dados padronizado e enriquecido. Não queremos mais analistas tentando determinar o quão perigoso é um sinal até depois do fato - a solução deve comparar tudo com uma plataforma de inteligência de ameaças e enriquecer o conjunto de dados com essas informações antes o registro é criado. Uma vez que os dados estão em um formato padrão, um componente AI / ML pode correlacionar sinais de vários vetores de ameaças no ambiente. Os alertas são organizados dentro da cadeia de eliminação, que mapeia diretamente para os estágios da estrutura de ataque MITER. Quando um analista vê o alerta, não há dúvida de como priorizá-lo.
Para os parceiros, organizar e gerenciar centenas de alertas ao longo do dia é uma tarefa que consome muito tempo e recursos. A solução deve contar com aprendizado de máquina (ML) que forneça uma camada adicional de correlação, representando ataques em múltiplos estágios como incidentes e atribuindo a cada incidente uma pontuação de risco. Essa é uma camada adicional de ML que vai além da simples correlação de alertas. Ela reduzirá significativamente o tempo necessário para isso. SOC Os analistas costumam agrupar alertas para análise. Idealmente, a solução deveria permitir que os analistas adicionassem ou excluíssem alertas do incidente e ajustassem a pontuação da ameaça.
A Stellar Cyber é a primeira a fornecer um XDRCadeia de eliminação focada em aprendizado de máquina, juntamente com gerenciamento de alertas baseado em incidentes e aprimorado por aprendizado de máquina. Chegou a hora de aproveitar a automação de aprendizado de máquina para detectar e deter os adversários. Se você quiser saber mais, entre em contato com brain@stellarcyber.ai
