Bilang cybersecurity nagbabago ang tanawin ng banta sa gayon ay ang paraan na kailangan nating tingnan ang mga banta na iyon. Ang drumbeat ng mga bagong paglabag ay patuloy. Kung nabasa mo ang balita, mapaniwala ka na mayroon lamang isang pangunahing taktika na pinakinabangan ng mga umaatake sa isang PANGYAYARI laban sa kanilang mga target. Hindi lang iyon ang kaso, at kailangan namin ng isang bagong paraan upang ilarawan at subaybayan ang mga kaganapang ito.
Ang terminong ALERTO at EVENT kailangang malinaw na tukuyin. Ngayon SOC Gumagamit ang mga koponan ng maraming iba't ibang teknolohiya upang matukoy ang mga banta. Maraming malalaking customer ang may 30 o higit pang mga teknolohiya sa seguridad sa kanilang arkitektura ng depensa. Ang bawat isa sa mga teknolohiyang iyon ay bumubuo ng kani-kanilang mga partikular na ALERTO. Trabaho ito ng SOC analyst upang suriin ang mga indibidwal na alerto at iugnay at pagsamahin ang mga ito sa KAGANAPAN. Ito ay tumatagal ng isang bihasang analyst upang magsulat ng mga patakaran upang ikonekta ang iba't ibang MGA ALERTO nakikita nila KAGANAPAN o upang madagdagan ang malaking bilang ng parehong mga ALERTS sa isang solong PANGYAYARI.
Alam ng mga umaatake na ito ay isang manu-manong proseso na umuubos ng oras. Gumagamit sila ng maraming taktika upang malampasan ang SOC mga analyst na may MGA ALERTO mula sa kanilang mga security tool. Halimbawa, ang magsasalakay ay maaaring makinabang ng isang kilalang pagsasamantala upang makabuo ng maraming mga kaganapan sa IDS. Kung matagumpay ang mga ito, lumilikha ito ng isang malaking kaguluhan ng isip para sa SOC koponan.
Habang nakikipag-usap sila sa mga kaganapan sa IDS, ang mga umaatake ay maaaring nagtaguyod ng isang talampakan sa kapaligiran sa pamamagitan ng isang brute force login sa isa sa kanilang mga kritikal na server. Susunod na maaari nilang i-scan ang panloob na network mula sa kritikal na server. Kung nakakita sila ng isa pang server sa kapaligiran na may kritikal na data sa isang database ng SQL maaari nilang ikompromiso ito at magpatakbo ng isang SQL dump command. Inilalagay nito ang buong nilalaman ng database sa isang file na maaaring ma-exfiltrate sa DNS tunnel na nilikha nila sa isang panlabas na IP address.
Ito ay isang napaka-simpleng halimbawa ng kung ano ang nangyayari sa isang PANGYAYARI. Ang maramihang mga kaganapan ay kailangang maiugnay sa insidente. Narito ang isang simpleng hierarchy:
Dahil sa dami ng mga ALERTO, kailangan nating tingnan kung paano natin magagamit ang teknolohiya upang makatulong sa klasipikasyon at ugnayan upang mapabuti ang bisa ng SOCAng Artificial Intelligence at Machine Learning na ginagamit sa data set na ito ay maaaring maging isang napakalakas na kagamitan.
- Pinangangasiwaang Pag-aaral ng Makina - Nakakita ng dati nang hindi nakilalang mga file, mga pangalan ng domain, at mga URL. Ito ang data na karaniwang matatagpuan sa MGA ALERTO.
- Hindi suportadong Pag-aaral ng Makina - bubuo ng mga baseline ng normal na pag-uugali para sa mga network, aparato, at mga gumagamit. Mahahanap nito ang mga PANGYAYARI sa loob ng network ng customer sa pamamagitan ng pag-uugnay at pagsasama MGA ALERTO.
- Malalim na Pag-aaral ng Makina - Tumitingin sa tanawin ng mga banta sa buong kapaligiran at naghahanap ng mga koneksyon. Nakapag-ugnay KAGANAPAN sa INSIDENTE.
Ang Pag-aaral ng machine maaari ring makatulong na puntos ang isang kaganapan o isang insidente. Kapag sinuri ng mga security analista ang mga bukas na insidente, pinapayagan silang pumili ng pinakamataas na insidente ng priyoridad, at agad na tumugon.
Pinamamahalaan nang tama mayroon silang potensyal na makilala ang mga nakakonektang banta nang mas mabilis kaya ang SOC Maaaring tumuon ang analyst sa remediation kaysa sa pag-uugnay ng mga alerto para sa pagtuklas at ilipat mula sa isang reaktibo na paninindigan sa isang maagap na proseso.
