Todos os MSSPs lidam com um número esmagador de alertas diariamente – mas como os parceiros mais bem-sucedidos estão gerenciando o influxo?
O MSSPs indústria tem visto um aumento significativo nos ataques ao MSP e Parceiros MSSP este ano. Isso levou a vários novos ataques a tudo, desde Ferramentas RMM aos aplicativos. Todos nós lidamos com um número esmagador de alertas diariamente – então, como os parceiros mais bem-sucedidos estão gerenciando isso?
Comece com a cadeia de morte. O framework mais popular hoje é o MITRE estrutura de ataque. Se você conseguir analisar seus alertas sob essa perspectiva, poderá começar a reduzir sua SOC A carga de trabalho das equipes diminui significativamente. Comece com a fase de reconhecimento. Por que começar por aí? Porque se você conseguir cortar as conexões antes que os atacantes ganhem terreno, poderá eliminar grande parte da busca e da limpeza que sua equipe realiza atualmente.
Um ótimo exemplo é log4j. Isso tem sido um grande incômodo para o último mês ou assim. Muitos invasores estão aproveitando isso porque atualmente isso cria muito barulho. De certa forma, ele foi amplificado por meio de crowdsourcing por vários grupos de ataque – quanto mais invasores o usarem, mais alertas você verá relacionados a ele.
Essas varreduras iniciais não fornecem nenhuma carga útil, mas criam muito trabalho para o seu SOC. Se você puder conectar a varredura à comunicação com um ativo em sua rede, poderá limitar sua resposta a ameaças reais ao seu cliente. Essa é uma área em que o aprendizado de máquina pode melhorar significativamente suas chances de sucesso.
Aproveitando o aprendizado de máquina não supervisionado, você pode definir se uma determinada máquina já se comunicou com um host externo ou executou um aplicativo específico como log4j. Mais importante, você também pode detectar se os dados estão sendo exfiltrados. Stellar Cyber desenvolveu uma plataforma que pode mapear isso para o MITRE estrutura de ataque para identificar rapidamente esse comportamento, colocá-lo na cadeia de eliminação e recomendar uma tática de correção. Armado com esse contexto, você pode adotar uma abordagem muito mais direcionada para responder e não precisará comprar ou implantar detecções especiais de vários fornecedores.
Além disso, se você detectar uma conexão com um host malicioso conhecido, poderá encerrar a conexão automaticamente no firewall e no dispositivo. Com regras automatizadas de caça a ameaças, você pode escolher uma detecção, definir a condição e o Plataforma cibernética estelar pode iniciar a resposta por meio de integrações com seu firewall e Ferramenta EDR. Em última análise, isso realiza três coisas muito importantes:
- Reduza o tempo de detecção de eventos reais.
- Sintonize o ruído.
- Automatize a resposta para reduzir o risco.
Quando você tem uma plataforma totalmente integrada executando essas tarefas, é simples. Caso tenha interesse em saber mais, entre em contato Brian Stoner na Stellar Cyber.
