Lahat ng MSSP ay humaharap sa napakaraming alerto araw-araw – ngunit paano pinangangasiwaan ng pinakamatagumpay na kasosyo ang pagdagsa?
Ang MSSP industriya ay nakakita ng isang makabuluhang pagtaas sa mga pag-atake sa MSP at Mga kasosyo sa MSSP ngayong taon. Ito ay humantong sa ilang mga bagong pag-atake sa lahat mula sa Mga tool sa RMM sa mga aplikasyon. Lahat tayo ay nakikitungo sa napakaraming alerto araw-araw – kaya paano ito pinamamahalaan ng pinakamatagumpay na mga kasosyo?
Magsimula sa kill chain. Ang pinakasikat na balangkas ngayon ay ang Mitre balangkas ng pag-atake. Kung titingnan mo ang iyong mga alerto gamit ang lente na ito, maaari mong simulan ang pagbabawas ng iyong SOC malaki ang magiging epekto nito sa workload ng mga koponan. Magsimula sa yugto ng pagmamanman. Bakit doon magsisimula? Dahil kung mapupuputol mo ang mga koneksyon bago pa man makalusot ang mga umaatake, maaalis mo ang karamihan sa pangangaso at paglilinis na ginagawa ng iyong koponan ngayon.
Ang isang magandang halimbawa ay log4j. Ito ay isang malaking istorbo para sa nakaraang buwan o higit pa. Maraming mga umaatake ang gumagamit nito dahil sa kasalukuyan ay lumilikha ito ng napakaraming ingay. Sa paraang pinalaki ito sa pamamagitan ng crowdsourcing ng maraming grupo ng pag-atake – kapag mas maraming umaatake ang gumagamit nito, mas maraming alerto ang makikita mong nauugnay dito.
Ang mga paunang pag-scan na iyon ay hindi naghahatid ng anumang payload, ngunit gumagawa sila ng isang toneladang trabaho para sa iyo SOC. Kung maaari mong ikonekta ang pag-scan sa pakikipag-ugnayan sa isang asset sa iyong network, maaari mong limitahan ang iyong tugon sa mga aktwal na banta sa iyong customer. Ito ay isang lugar kung saan ang machine learning ay maaaring makabuluhang mapabuti ang iyong pagkakataon para sa tagumpay.
Gamit ang hindi pinangangasiwaang machine learning, maaari mong i-baseline kung ang isang partikular na makina ay nakipag-ugnayan na sa isang external na host o nagpatakbo ng isang partikular na application tulad ng log4j. Higit sa lahat, maaari mo ring makita kung ang data ay na-exfiltrate. Ang Stellar Cyber ay nakabuo ng isang platform na makakapagmapa nito sa Mitre balangkas ng pag-atake upang mabilis na matukoy ang gawi na ito, ilagay ito sa kill chain, at magrekomenda ng taktika sa remediation. Gamit ang kontekstong ito, maaari kang gumamit ng mas naka-target na diskarte sa pagtugon at hindi mo na kakailanganing bumili o mag-deploy ng mga espesyal na detection mula sa maraming vendor.
Bilang karagdagan, kung nakakita ka ng koneksyon sa isang kilalang nakakahamak na host, maaari mong awtomatikong wakasan ang koneksyon sa firewall at sa device. Gamit ang mga automated na panuntunan sa pangangaso ng pagbabanta, maaari kang pumili ng pagtuklas, itakda ang kundisyon, at ang Stellar Cyber Platform maaaring simulan ang tugon sa pamamagitan ng mga pagsasama sa iyong firewall at EDR tool. Sa huli, nagagawa nito ang tatlong napakahalagang bagay:
- Bawasan ang oras sa pagtuklas ng mga aktwal na kaganapan.
- Alisin ang ingay.
- I-automate ang pagtugon upang mabawasan ang panganib.
Kapag mayroon kang ganap na pinagsama-samang platform na gumaganap sa mga gawaing ito, ito ay simple. Kung interesado kang matuto nang higit pa, mangyaring makipag-ugnayan sa Brian Stoner sa Stellar Cyber.
