การแจ้งเตือนเหตุการณ์เหตุการณ์ที่เกิดขึ้น: ทีมรักษาความปลอดภัยของคุณควรมุ่งเน้นไปที่ใด?

การแจ้งเตือนเหตุการณ์เหตุการณ์ที่เกิดขึ้น: ทีมรักษาความปลอดภัยของคุณควรมุ่งเน้นไปที่ใด

ในฐานะที่เป็น โลกไซเบอร์ ภูมิทัศน์ของภัยคุกคามกำลังพัฒนาดังนั้นจึงเป็นวิธีที่เราต้องพิจารณาภัยคุกคามเหล่านั้น เสียงกลองของการละเมิดใหม่เป็นไปอย่างต่อเนื่อง หากคุณอ่านข่าวคุณจะต้องเชื่อว่ามีกลยุทธ์หลักเพียงอย่างเดียวที่ผู้โจมตีใช้ประโยชน์จากไฟล์ เหตุการณ์ กับเป้าหมายของพวกเขา ไม่ได้เป็นเช่นนั้นและเราต้องการวิธีใหม่ในการอธิบายและติดตามเหตุการณ์เหล่านี้

ระยะ ALERT และ เหตุการณ์ จำเป็นต้องกำหนดไว้อย่างชัดเจน ปัจจุบันทีม SOC ใช้เทคโนโลยีต่างๆมากมายเพื่อตรวจจับภัยคุกคาม ลูกค้ารายใหญ่จำนวนมากมีเทคโนโลยีความปลอดภัย 30 หรือมากกว่าในการป้องกันในสถาปัตยกรรมเชิงลึก ทุกเทคโนโลยีเหล่านี้สร้างการแจ้งเตือนเฉพาะของตนเอง มันเป็นงานของ นักวิเคราะห์ SOC เพื่อตรวจสอบการแจ้งเตือนแต่ละรายการและเชื่อมโยงและรวมเข้าด้วยกัน งาน. นักวิเคราะห์ที่มีประสบการณ์ต้องใช้เวลาในการเขียนกฎเพื่อเชื่อมโยงสิ่งที่แตกต่างกัน การแจ้งเตือน พวกเขากำลังมองเห็น งาน หรือลบการแจ้งเตือนที่ซ้ำกันจำนวนมากให้เป็นเหตุการณ์เดียว

ผู้โจมตีทราบดีว่านี่เป็นกระบวนการที่ต้องใช้เวลานาน พวกเขาใช้กลยุทธ์หลายอย่างเพื่อเอาชนะนักวิเคราะห์ SOC ด้วย การแจ้งเตือน จากเครื่องมือรักษาความปลอดภัย ตัวอย่างเช่นผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่ที่ทราบเพื่อสร้างเหตุการณ์ IDS จำนวนมาก หากพวกเขาประสบความสำเร็จสิ่งนี้จะสร้างความว้าวุ่นใจให้กับไฟล์ SOC ทีม

ในขณะที่พวกเขากำลังจัดการกับเหตุการณ์ IDS เหล่านี้ผู้โจมตีอาจตั้งหลักในสภาพแวดล้อมผ่านการเข้าสู่ระบบเดรัจฉานไปยังเซิร์ฟเวอร์ที่สำคัญของตน ถัดไปพวกเขาสามารถสแกนเครือข่ายภายในจากเซิร์ฟเวอร์ที่สำคัญนั้นได้ หากพบเซิร์ฟเวอร์อื่นในสภาพแวดล้อมที่มีข้อมูลสำคัญในฐานข้อมูล SQL พวกเขาสามารถบุกรุกและเรียกใช้คำสั่งดัมพ์ SQL สิ่งนี้ทำให้เนื้อหาทั้งหมดของฐานข้อมูลเป็นไฟล์ที่สามารถ exfiltrated ผ่านช่องสัญญาณ DNS ที่สร้างไปยังที่อยู่ IP ภายนอก

นี่เป็นตัวอย่างง่ายๆของสิ่งที่เกิดขึ้นในไฟล์ เหตุการณ์. หลายเหตุการณ์จำเป็นต้องมีความสัมพันธ์กับเหตุการณ์นั้น นี่คือลำดับชั้นง่ายๆ:

ด้วยจำนวนการแจ้งเตือนที่แท้จริงเราต้องพิจารณาว่าเราสามารถใช้ประโยชน์จากเทคโนโลยีเพื่อช่วยในการจำแนกประเภทและความสัมพันธ์เพื่อปรับปรุงประสิทธิภาพของ SOC ได้อย่างไร ปัญญาประดิษฐ์และการเรียนรู้ของเครื่องที่ใช้ประโยชน์จากชุดข้อมูลนี้อาจเป็นเครื่องมือที่มีประสิทธิภาพมาก

  • การเรียนรู้ของเครื่องภายใต้การดูแล - สามารถตรวจจับไฟล์ชื่อโดเมนและ URL ที่ไม่ได้ระบุไว้ก่อนหน้านี้ นี่คือข้อมูลที่พบได้ทั่วไปใน การแจ้งเตือน.
  • การเรียนรู้ของเครื่องที่ไม่ได้รับการดูแล - พัฒนาพื้นฐานของพฤติกรรมปกติสำหรับเครือข่ายอุปกรณ์และผู้ใช้ สิ่งนี้สามารถตรวจจับเหตุการณ์ภายในเครือข่ายลูกค้าได้โดยการเชื่อมโยงและรวมเข้าด้วยกัน การแจ้งเตือน.
  • การเรียนรู้ของเครื่องลึก - ดูภูมิทัศน์ของภัยคุกคามในสภาพแวดล้อมทั้งหมดและค้นหาการเชื่อมต่อ สามารถที่จะเชื่อมโยง งาน เข้าไป อุบัติการณ์.

พื้นที่ปลูก การเรียนรู้เครื่อง ยังสามารถช่วยให้คะแนนเหตุการณ์หรือเหตุการณ์ เมื่อนักวิเคราะห์ด้านความปลอดภัยตรวจสอบเหตุการณ์ที่เปิดอยู่สิ่งนี้จะช่วยให้พวกเขาสามารถเลือกเหตุการณ์ที่มีลำดับความสำคัญสูงสุดและตอบสนองได้ทันที

ใช้ประโยชน์อย่างถูกต้องพวกเขามีศักยภาพในการระบุภัยคุกคามที่เชื่อมต่อได้เร็วขึ้นดังนั้น SOC นักวิเคราะห์สามารถมุ่งเน้นไปที่การแก้ไขมากกว่าการแจ้งเตือนที่สัมพันธ์กันสำหรับการตรวจจับและย้ายจากท่าทางที่มีปฏิกิริยาไปสู่การแจ้งเตือนเชิงรุกในกระบวนการ