Як кібербезпека Ландшафт загроз змінюється, як і те, як нам потрібно дивитися на ці загрози. Барабанний бій нових порушень невпинний. Якщо ви читаєте новини, вас можуть змусити повірити, що існує лише одна основна тактика, яку зловмисники використовують у ІНЦИДЕНТ проти своїх цілей. Це просто не так, і нам потрібен новий спосіб опису та відстеження цих подій.
Термін ALERT та EVENT потрібно чітко визначити. Сьогодні SOC Команди використовують багато різних технологій для виявлення загроз. Багато великих клієнтів мають 30 або більше технологій безпеки в своїй архітектурі глибоко ешелонованого захисту. Кожна з цих технологій генерує власні специфічні ПОПЕРЕДЖЕННЯ. Це завдання... SOC аналітик переглянути ці окремі сповіщення, зіставити їх та об’єднати в ПОДІЇПотрібен досвідчений аналітик, щоб написати правила, що пов'язують різні ПОСИЛАННЯ вони дивляться в ПОДІЇ або для дедуплікації великої кількості однакових ПОПЕРЕДЖЕНЬ для однієї ПОДІЇ.
Зловмисники знають, що це трудомісткий ручний процес. Вони використовують різні тактики, щоб перевантажити SOC аналітики з ПОСИЛАННЯ від своїх інструментів безпеки. Наприклад, зловмисник може використати відомий експлойт для генерації численних подій IDS. Якщо їм це вдасться, це створить величезну перешкоду для SOC .
Поки зловмисники мають справу з цими подіями IDS, вони, можливо, вже закріпилися в середовищі за допомогою входу в систему методом грубої сили на одному зі своїх критичних серверів. Далі вони можуть просканувати внутрішню мережу з цього критичного сервера. Якщо вони знайдуть інший сервер у середовищі з критичними даними в базі даних SQL, вони можуть скомпрометувати її та виконати команду SQL dump. Це поміщає весь вміст бази даних у файл, який можна витягти через створений ними DNS-тунель до зовнішньої IP-адреси.
Це дуже простий приклад того, що відбувається в ІНЦИДЕНТЗ інцидентом потрібно пов'язати кілька подій. Ось проста ієрархія:
З огляду на величезну кількість ПОПЕРЕДЖЕНЬ, нам потрібно розглянути, як ми можемо використовувати технології для допомоги в класифікації та кореляції з метою підвищення ефективності SOCШтучний інтелект та машинне навчання, що використовуються в цьому наборі даних, можуть бути дуже потужними інструментами.
- Машинне навчання під керівництвом – здатний виявляти раніше неідентифіковані файли, доменні імена та URL-адреси. Це дані, які зазвичай зустрічаються в ПОСИЛАННЯ.
- Машинне навчання без нагляду – розробляє базові показники нормальної поведінки для мереж, пристроїв та користувачів. Це може виявляти ПОДІЇ в мережі клієнта шляхом кореляції та комбінування ПОСИЛАННЯ.
- Глибоке машинне навчання – аналізує ландшафт загроз у всьому середовищі та шукає зв’язки. Здатний співвідносити ПОДІЇ в Інциденти.
Команда навчання за допомогою машини також може допомогти оцінити подію чи інцидент. Коли аналітики безпеки переглядають відкриті інциденти, це дозволяє їм вибрати інцидент з найвищим пріоритетом та негайно відреагувати.
За правильного використання вони мають потенціал для швидшого виявлення пов'язаних загроз, тому SOC Аналітик може зосередитися на виправленні недоліків, а не на співвіднесенні сповіщень для виявлення, і в процесі перейти від реактивної позиції до проактивної.
