Постачальники послуг з управління послугами щодня обробляють величезну кількість сповіщень, але як найуспішніші партнери керують цим напливом?
Команда MSSP у галузі спостерігається значне зростання атак на постачальників керованих послуг (MSP) та Партнери MSSP цього року. Це призвело до кількох нових атак на все, починаючи від Інструменти RMM до програм. Ми всі щодня маємо справу з величезною кількістю сповіщень – тож як найуспішніші партнери справляються з цим?
Почніть з ланцюжка знищень. Найпопулярнішим фреймворком сьогодні є МІТР фреймворк атаки. Якщо ви можете подивитися на свої сповіщення крізь цю призму, ви можете почати зменшувати SOC значно зменшити навантаження команд. Почніть з етапу розвідки. Навіщо починати звідти? Тому що, якщо ви зможете перервати зв'язки до того, як зловмисники закріпляться, ви зможете позбутися більшої частини полювання та очищення, які ваша команда виконує сьогодні.
Чудовий приклад log4jЦе було великою проблемою протягом останнього місяця чи близько того. Багато зловмисників використовують це, бо зараз це створює багато шуму. Певним чином це посилюється завдяки краудсорсингу кількома атакуючими групами – чим більше зловмисників це використовує, тим більше сповіщень, пов’язаних із цим, ви побачите.
Ці початкові сканування не додають жодного корисного навантаження, але створюють купу роботи для вас. SOCЯкщо ви можете пов’язати сканування зі зв’язком з активом у вашій мережі, ви можете обмежити свою реакцію на реальні загрози для вашого клієнта. Це та сфера, де машинне навчання може значно підвищити ваші шанси на успіх.
Використовуючи машинне навчання без учителя, ви можете визначити, чи певна машина коли-небудь спілкувалася із зовнішнім хостом або запускала певну програму, таку як log4jЩо ще важливіше, ви також можете виявити, чи відбувається викрадання даних. Stellar Cyber розробила платформу, яка може зіставити це з МІТР фреймворк атаки, щоб швидко виявити таку поведінку, включити її до ланцюжка знищення та рекомендувати тактику виправлення. Озброївшись цим контекстом, ви можете застосувати набагато цілеспрямованіший підхід до реагування, і вам не потрібно буде купувати або розгортати спеціальні засоби виявлення у кількох постачальників.
Крім того, якщо ви виявляєте підключення до відомого шкідливого хоста, ви можете автоматично розірвати підключення на брандмауері та на пристрої. За допомогою правил автоматизованого пошуку загроз ви можете вибрати виявлення, встановити умову та Зоряна кіберплатформа може ініціювати відповідь через інтеграцію з вашим брандмауером та Інструмент EDRЗрештою, це досягає трьох дуже важливих речей:
- Скоротіть час виявлення фактичних подій.
- Налаштуйтеся на шум.
- Автоматизуйте реагування для зменшення ризику.
Коли у вас є повністю інтегрована платформа, яка виконує ці завдання, це просто. Якщо ви зацікавлені дізнатися більше, зверніться до Браян Стоунер у Stellar Cyber.
