Đã đến lúc công nghệ an ninh mạng phải theo kịp các đối thủ. Bây giờ chúng ta đã chứng kiến rất nhiều cuộc tấn công nhiều giai đoạn thành công, chúng ta cần đánh giá lại cách chúng ta tương quan với các tín hiệu mà chúng ta đang thấy từ tất cả các công cụ bảo mật trong môi trường của chúng ta. Tương quan là hữu ích nhưng không phải lúc nào nó cũng vẽ nên bức tranh hoàn chỉnh. Giai đoạn tiếp theo trong phát hiện và phản ứng là gì?
Để hiểu điều này, chúng ta cần xem xét các khuôn khổ hiện tại giúp các nhóm bảo mật tổ chức các công việc hàng ngày của họ. Lockheed Martin Kill Chain là một khuôn khổ rất phổ biến khi sự gia tăng của phần mềm độc hại là chiến thuật chính. Nó rất giỏi trong việc vạch ra các giai đoạn khác nhau mà những kẻ tấn công đã trải qua để triển khai trọng tải của họ. Tiếp theo là khuôn khổ MITER ATT & CK. Điều này được nhiều chuyên gia ngày nay tận dụng vì nó toàn diện hơn, mô tả các chiến thuật và kỹ thuật đã trở nên phổ biến với những kẻ tấn công trong vài năm qua.
Vấn đề với các khuôn khổ lớn và phức tạp này là rất khó để viết các quy tắc thủ công để dự đoán và tương quan tất cả các tín hiệu từ các nguồn nhật ký của bạn. Khối lượng các bản ghi đang được thu thập và giữ lại đang tăng vọt. Điều này đã trở thành một thách thức lớn về dữ liệu đối với các đối tác dù là nhỏ nhất. Có thể làm gì để giải quyết thách thức này?
Tích hợp nền tảng bảo mật và khuôn khổ là chìa khóa. Ngày nay, nhiều nền tảng cung cấp liên kết đến MITER như một phần của thông tin về mối đe dọa của họ, nhưng thực tế là thường xảy ra. Những gì chúng ta cần làm là sắp xếp và trình bày các cảnh báo trong khuôn khổ thời gian thực. Những kẻ tấn công phải thành công ở nhiều giai đoạn của khuôn khổ để đạt được mục tiêu của chúng. Chúng ta chỉ cần thành công trong việc ngăn chặn chúng ở một trong các giai đoạn. Giai đoạn càng sớm thì càng ít phải dọn dẹp. Có một số quy trình chính bạn cần để thực hiện điều này.
Đầu tiên, bạn cần một tập dữ liệu được chuẩn hóa và phong phú hóa. Chúng tôi không còn muốn các nhà phân tích cố gắng xác định mức độ nguy hiểm của một tín hiệu cho đến sau khi thực tế xảy ra - giải pháp phải so sánh mọi thứ với Nền tảng thông minh về mối đe dọa và làm phong phú tập dữ liệu với thông tin đó trước bản ghi được tạo. Khi dữ liệu ở định dạng chuẩn, thành phần AI / ML có thể tương quan với các tín hiệu từ nhiều vectơ mối đe dọa trong môi trường. Các cảnh báo được sắp xếp trong chuỗi tiêu diệt, ánh xạ trực tiếp đến các giai đoạn của khuôn khổ tấn công MITER. Khi một nhà phân tích nhìn thấy cảnh báo, không có câu hỏi về cách ưu tiên nó.
Đối với các đối tác, việc tổ chức và quản lý hàng trăm cảnh báo trong suốt một ngày là một công việc tốn nhiều thời gian và nguồn lực. Giải pháp cần phải có học máy (ML) cung cấp thêm một lớp tương quan, mô tả các cuộc tấn công nhiều giai đoạn dưới dạng sự cố và cung cấp cho mỗi sự cố một điểm rủi ro. Đây là một lớp ML bổ sung vượt ra ngoài sự tương quan cảnh báo đơn giản. Nó sẽ giảm đáng kể lượng thời gian cần thiết. SOC Các nhà phân tích dành thời gian để nhóm các cảnh báo lại để phân tích. Lý tưởng nhất, giải pháp nên cung cấp cho các nhà phân tích khả năng thêm hoặc xóa cảnh báo khỏi sự cố và điều chỉnh điểm số mối đe dọa.
Stellar Cyber là công ty đầu tiên cung cấp XDRChuỗi tấn công tập trung vào mục tiêu cùng với quản lý cảnh báo dựa trên sự cố được tăng cường bởi học máy. Đã đến lúc tận dụng tự động hóa học máy để phát hiện và ngăn chặn các đối thủ. Nếu bạn muốn tìm hiểu thêm, vui lòng liên hệ brain@stellarcyber.ai
