như an ninh mạng bối cảnh mối đe dọa đang phát triển vì vậy cách chúng ta cần nhìn nhận những mối đe dọa đó. Tiếng trống của các vi phạm mới liên tục. Nếu bạn đọc tin tức, bạn sẽ tin rằng chỉ có một chiến thuật chính mà những kẻ tấn công tận dụng trong một SỰ CỐ chống lại các mục tiêu của họ. Đó chỉ đơn giản là không phải như vậy, và chúng tôi cần một cách mới để mô tả và theo dõi những sự kiện này.
Thuật ngữ CHỨNG MINH và TRƯỜNG cần được xác định rõ ràng. Ngày nay các nhóm SOC sử dụng nhiều công nghệ khác nhau để phát hiện các mối đe dọa. Nhiều khách hàng lớn có từ 30 công nghệ bảo mật trở lên trong lĩnh vực quốc phòng theo kiến trúc chuyên sâu. Mỗi một trong những công nghệ đó đều tạo ra các CẢNH BÁO cụ thể của riêng chúng. Đó là công việc của Nhà phân tích SOC để xem xét các cảnh báo riêng lẻ này và tương quan và kết hợp chúng thành SỰ KIỆN. Cần một nhà phân tích có kinh nghiệm để viết các quy tắc để kết nối các ALERTS họ đang nhìn vào SỰ KIỆN hoặc để loại bỏ trùng lặp số lượng lớn các CẢNH BÁO giống nhau thành một SỰ KIỆN duy nhất.
Những kẻ tấn công biết rằng đây là một quá trình thủ công tốn thời gian. Họ tận dụng nhiều chiến thuật để áp đảo các nhà phân tích SOC với ALERTS từ các công cụ bảo mật của họ. Ví dụ, kẻ tấn công có thể tận dụng một cách khai thác đã biết để tạo ra nhiều sự kiện IDS. Nếu họ thành công, điều này tạo ra một sự phân tâm lớn cho SOC đội.
Trong khi họ đang xử lý các sự kiện IDS này, những kẻ tấn công có thể đã tạo dựng được chỗ đứng trong môi trường thông qua việc đăng nhập bạo lực vào một trong những máy chủ quan trọng của họ. Tiếp theo họ có thể quét mạng nội bộ từ máy chủ quan trọng đó. Nếu họ tìm thấy một máy chủ khác trong môi trường có dữ liệu quan trọng trong cơ sở dữ liệu SQL, họ có thể xâm phạm nó và chạy lệnh kết xuất SQL. Điều này đặt toàn bộ nội dung của cơ sở dữ liệu vào một tệp có thể được lấy ra thông qua đường hầm DNS mà chúng tạo đến một địa chỉ IP bên ngoài.
Đây là một ví dụ rất đơn giản về những gì xảy ra trong một SỰ CỐ. Nhiều sự kiện cần có mối tương quan với sự việc. Đây là một hệ thống phân cấp đơn giản:
Với số lượng CẢNH BÁO tuyệt đối, chúng ta cần xem xét cách chúng ta có thể tận dụng công nghệ để giúp phân loại và tương quan để cải thiện hiệu quả của SOC. Trí tuệ nhân tạo và Học máy được tận dụng trên tập dữ liệu này có thể là một công cụ rất mạnh mẽ.
- Học máy được giám sát - có thể phát hiện các tệp, tên miền và URL chưa được xác định trước đó. Đây là dữ liệu thường thấy trong ALERTS.
- Học máy không giám sát - phát triển các đường cơ sở về hành vi bình thường cho mạng, thiết bị và người dùng. Điều này có thể phát hiện SỰ KIỆN trong mạng khách hàng bằng cách tương quan và kết hợp ALERTS.
- Học máy sâu - xem xét bối cảnh của các mối đe dọa trong toàn bộ môi trường và tìm kiếm các kết nối. Có khả năng tương quan SỰ KIỆN trong SỰ CỐ.
học máy cũng có thể giúp ghi điểm một sự kiện hoặc một sự cố. Khi các nhà phân tích bảo mật xem xét các sự cố mở, điều này cho phép họ chọn sự cố có mức độ ưu tiên cao nhất và phản hồi ngay lập tức.
Tận dụng một cách chính xác, chúng có khả năng xác định các mối đe dọa được kết nối nhanh hơn để SOC Nhà phân tích có thể tập trung vào việc khắc phục hơn là các cảnh báo tương quan để phát hiện và chuyển từ lập trường phản ứng sang lập trường chủ động trong quá trình.
