ในฐานะที่เป็น โลกไซเบอร์ ภูมิทัศน์ของภัยคุกคามกำลังพัฒนาดังนั้นจึงเป็นวิธีที่เราต้องพิจารณาภัยคุกคามเหล่านั้น เสียงกลองของการละเมิดใหม่เป็นไปอย่างต่อเนื่อง หากคุณอ่านข่าวคุณจะต้องเชื่อว่ามีกลยุทธ์หลักเพียงอย่างเดียวที่ผู้โจมตีใช้ประโยชน์จากไฟล์ เหตุการณ์ กับเป้าหมายของพวกเขา ไม่ได้เป็นเช่นนั้นและเราต้องการวิธีใหม่ในการอธิบายและติดตามเหตุการณ์เหล่านี้
ระยะ ALERT และ EVENT จำเป็นต้องมีการกำหนดให้ชัดเจน ในปัจจุบัน SOC ทีมงานใช้เทคโนโลยีที่หลากหลายในการตรวจจับภัยคุกคาม ลูกค้ารายใหญ่หลายรายมีเทคโนโลยีด้านความปลอดภัยมากกว่า 30 รายการในสถาปัตยกรรมป้องกันเชิงลึกของตน เทคโนโลยีแต่ละรายการจะสร้างการแจ้งเตือนเฉพาะของตนเอง หน้าที่ของ... SOC นักวิเคราะห์ เพื่อตรวจสอบการแจ้งเตือนแต่ละรายการและเชื่อมโยงและรวมเข้าด้วยกัน กิจกรรม. นักวิเคราะห์ที่มีประสบการณ์ต้องใช้เวลาในการเขียนกฎเพื่อเชื่อมโยงสิ่งที่แตกต่างกัน การแจ้งเตือน พวกเขากำลังมองเห็น กิจกรรม หรือลบการแจ้งเตือนที่ซ้ำกันจำนวนมากให้เป็นเหตุการณ์เดียว
ผู้โจมตีรู้ว่านี่เป็นกระบวนการที่ต้องใช้แรงงานคนและใช้เวลานาน พวกเขาจึงใช้กลยุทธ์หลายอย่างเพื่อเอาชนะระบบ SOC นักวิเคราะห์กับ การแจ้งเตือน จากเครื่องมือรักษาความปลอดภัย ตัวอย่างเช่นผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่ที่ทราบเพื่อสร้างเหตุการณ์ IDS จำนวนมาก หากพวกเขาประสบความสำเร็จสิ่งนี้จะสร้างความว้าวุ่นใจให้กับไฟล์ SOC ทีม
ในขณะที่พวกเขากำลังจัดการกับเหตุการณ์ IDS เหล่านี้ผู้โจมตีอาจตั้งหลักในสภาพแวดล้อมผ่านการเข้าสู่ระบบเดรัจฉานไปยังเซิร์ฟเวอร์ที่สำคัญของตน ถัดไปพวกเขาสามารถสแกนเครือข่ายภายในจากเซิร์ฟเวอร์ที่สำคัญนั้นได้ หากพบเซิร์ฟเวอร์อื่นในสภาพแวดล้อมที่มีข้อมูลสำคัญในฐานข้อมูล SQL พวกเขาสามารถบุกรุกและเรียกใช้คำสั่งดัมพ์ SQL สิ่งนี้ทำให้เนื้อหาทั้งหมดของฐานข้อมูลเป็นไฟล์ที่สามารถ exfiltrated ผ่านช่องสัญญาณ DNS ที่สร้างไปยังที่อยู่ IP ภายนอก
นี่เป็นตัวอย่างง่ายๆของสิ่งที่เกิดขึ้นในไฟล์ เหตุการณ์. หลายเหตุการณ์จำเป็นต้องมีความสัมพันธ์กับเหตุการณ์นั้น นี่คือลำดับชั้นง่ายๆ:
ด้วยจำนวนการแจ้งเตือนที่มากมายมหาศาล เราจำเป็นต้องพิจารณาว่าเราจะใช้เทคโนโลยีเพื่อช่วยในการจำแนกและเชื่อมโยงข้อมูลอย่างไร เพื่อเพิ่มประสิทธิภาพของระบบ SOCปัญญาประดิษฐ์และการเรียนรู้ของเครื่องที่นำมาใช้กับชุดข้อมูลนี้สามารถเป็นเครื่องมือที่มีประสิทธิภาพอย่างมาก
- การเรียนรู้ของเครื่องภายใต้การดูแล - สามารถตรวจจับไฟล์ชื่อโดเมนและ URL ที่ไม่ได้ระบุไว้ก่อนหน้านี้ นี่คือข้อมูลที่พบได้ทั่วไปใน การแจ้งเตือน.
- การเรียนรู้ของเครื่องที่ไม่ได้รับการดูแล - พัฒนาพื้นฐานของพฤติกรรมปกติสำหรับเครือข่ายอุปกรณ์และผู้ใช้ สิ่งนี้สามารถตรวจจับเหตุการณ์ภายในเครือข่ายลูกค้าได้โดยการเชื่อมโยงและรวมเข้าด้วยกัน การแจ้งเตือน.
- การเรียนรู้ของเครื่องลึก - ดูภูมิทัศน์ของภัยคุกคามในสภาพแวดล้อมทั้งหมดและค้นหาการเชื่อมต่อ สามารถที่จะเชื่อมโยง กิจกรรม เข้าไป อุบัติการณ์.
การขอ การเรียนรู้เครื่อง ยังสามารถช่วยให้คะแนนเหตุการณ์หรือเหตุการณ์ เมื่อนักวิเคราะห์ด้านความปลอดภัยตรวจสอบเหตุการณ์ที่เปิดอยู่สิ่งนี้จะช่วยให้พวกเขาสามารถเลือกเหตุการณ์ที่มีลำดับความสำคัญสูงสุดและตอบสนองได้ทันที
ใช้ประโยชน์อย่างถูกต้องพวกเขามีศักยภาพในการระบุภัยคุกคามที่เชื่อมต่อได้เร็วขึ้นดังนั้น SOC นักวิเคราะห์สามารถมุ่งเน้นไปที่การแก้ไขมากกว่าการแจ้งเตือนที่สัมพันธ์กันสำหรับการตรวจจับและย้ายจากท่าทางที่มีปฏิกิริยาไปสู่การแจ้งเตือนเชิงรุกในกระบวนการ
