Dumating na ang oras para sa teknolohiya ng cyber security upang makasabay sa mga kalaban. Ngayon na nakita natin ang napakaraming matagumpay na pag-atake ng maraming yugto, kailangan nating muling suriin ang paraan ng pag-uugnay namin ng mga signal na nakikita natin mula sa lahat ng mga tool sa seguridad sa aming mga kapaligiran. Nakatutulong ang ugnayan ngunit hindi palaging ipininta ang kumpletong larawan. Ano ang susunod na yugto sa pagtuklas at tugon?
Upang maunawaan ito, kailangan nating tingnan ang kasalukuyang mga balangkas na tumutulong sa mga koponan sa seguridad na ayusin ang kanilang pang-araw-araw na gawain. Ang Lockheed Martin Kill Chain ay isang tanyag na balangkas noong ang paglaganap ng malware ay ang pangunahing taktika. Napakaganda nito sa pag-outline ng iba't ibang mga yugto na pinagdaanan ng mga umaatake upang mai-deploy ang kanilang payload. Sumunod ay ang framework ng MITER ATT & CK. Pinamamahalaan ito ng maraming eksperto ngayon sapagkat mas malawak ito, na naglalarawan ng mga taktika at diskarte na lumaki sa katanyagan ng mga umaatake sa nakaraang ilang taon.
Ang problema sa malalaki at sopistikadong mga balangkas na ito ay napakahirap magsulat ng manu-manong mga patakaran upang asahan at maiugnay ang lahat ng mga signal mula sa iyong mga mapagkukunan ng pag-log. Ang dami ng mga log na kinokolekta at pinapanatili ay skyrocketing. Ito ay naging isang malaking hamon ng data para sa kahit na pinakamaliit ng mga kasosyo. Ano ang maaaring gawin upang malutas ang hamong ito?
Ang pagsasama ng platform ng seguridad at ang balangkas ay ang susi. Ngayon, maraming mga platform ang nagbibigay ng mga link sa MITER bilang bahagi ng kanilang intelligence intelligence, ngunit ito ay karaniwang pagkatapos ng katotohanan. Ang kailangan nating gawin ay upang ayusin at ipakita ang mga alerto sa framework na real-time. Dapat maging matagumpay ang mga umaatake sa maraming yugto ng balangkas upang makamit ang kanilang layunin. Kailangan lamang namin na matagumpay na itigil ang mga ito sa isa sa mga yugto. Ang mas maagang yugto, mas mababa ang magkakaroon upang malinis. Mayroong ilang mga pangunahing proseso na kailangan mo upang magawa ito.
Una, kailangan mo ng isang pamantayan at napayaman na hanay ng data. Hindi na namin nais ang mga analista na sinusubukan upang matukoy kung gaano mapanganib ang isang senyas hanggang sa matapos ang katotohanan - dapat ihambing ng solusyon ang lahat laban sa isang Threat Intelligence Platform at pagyamanin ang hanay ng data sa impormasyong iyon bago ang talaan ay nilikha. Kapag ang data ay nasa isang karaniwang format, ang isang bahagi ng AI / ML ay maaaring maiugnay ang mga signal mula sa maraming mga banta ng banta sa kapaligiran. Ang mga alerto ay nakaayos sa loob ng chain ng pumatay, na direktang mapa sa mga yugto ng framework ng pag-atake ng MITER. Kapag nakita ng isang analista ang alerto ay walang tanong kung paano ito uunahin.
Para sa mga kasosyo, ang pag-oorganisa at pamamahala ng daan-daang alerto sa loob ng isang araw ay isang ehersisyo na nangangailangan ng maraming oras at mapagkukunan. Ang solusyon ay dapat mayroong ML na nagbibigay ng karagdagang patong ng ugnayan, na naglalarawan sa mga pag-atake sa maraming yugto bilang mga insidente at nagbibigay sa bawat insidente ng isang marka ng panganib. Ito ay isang karagdagang patong ng ML na higit pa sa simpleng ugnayan ng alerto. Malaki ang maitutulong nito upang mabawasan ang dami ng oras. SOC Pinagsasama-sama ng mga analyst ang mga alerto para sa pagsusuri. Sa isip, ang solusyon ay dapat magbigay sa mga analyst ng kakayahang magdagdag o magtanggal ng mga alerto mula sa insidente at ibagay ang marka ng banta.
Ang Stellar Cyber ang unang nagbigay ng XDR-focused kill chain kasama ang ML-enhanced, incident-based alert management. Panahon na para gamitin ang ML automation para matukoy at mapigilan ang mga kalaban. Kung gusto mong matuto nang higit pa, mangyaring makipag-ugnayan sa brain@stellarcyber.ai
