SOC tự chủ: Điều hướng hành trình hướng tới hoạt động bảo mật thông minh hơn
- Những điểm chính:
-
SOC tự động giải quyết vấn đề gì?
Giải pháp này giải quyết những thách thức quan trọng trong hoạt động an ninh như tình trạng cảnh báo mệt mỏi, tầm nhìn bị phân mảnh và hạn chế về nhân sự có kỹ năng. -
Khả năng cốt lõi của SOC tự động là gì?
Nó tích hợp tính năng phát hiện, điều tra và phản hồi tự động bằng AI và phân tích hành vi. -
SOC tự động tác động đến thời gian phản hồi như thế nào?
Nó làm giảm đáng kể thời gian trung bình để phát hiện (MTTD) và phản hồi (MTTR), cải thiện hiệu quả hoạt động. -
Những loại công cụ nào được thống nhất trong SOC tự chủ?
SIEM, SOAR, UEBA, NDR và các hệ thống tình báo mối đe dọa hoạt động cùng nhau trong một giải pháp tích hợp. -
Ai được hưởng lợi nhiều nhất từ SOC tự chủ?
Các doanh nghiệp và MSSP có nguồn lực hạn chế cần các hoạt động bảo mật hiệu quả cao và ít gây cản trở. -
Stellar Cyber hỗ trợ SOC tự động như thế nào?
Nền tảng Open XDR kết nối hơn 300 công cụ, tập trung khả năng hiển thị và tự động hóa trên toàn bộ cơ sở hạ tầng.
Trung tâm điều hành an ninh (SOC) tự động đã xuất hiện: tuy nhiên, khi các tổ chức khác nhau nỗ lực nâng cao mức độ hoàn thiện của SOC và hiệu quả của nhóm, bước tiếp theo hướng tới hiệu quả AI chặt chẽ hơn có thể khó xác định và khó tin cậy.
Bài viết này xác định các giai đoạn chính của quá trình tự động hóa SOC, những thách thức phải đối mặt trong suốt quá trình và mối quan hệ đối tác chung mà các nhà phân tích AI và SOC cần hình thành để mở đường cho các hoạt động bảo mật thực sự tự động.
SIEM thế hệ tiếp theo
Stellar Cyber SIEM thế hệ tiếp theo, là một thành phần quan trọng trong Nền tảng Stellar Cyber Open XDR...
Trải nghiệm hoạt động bảo mật được hỗ trợ bởi AI!
Khám phá AI tiên tiến của Stellar Cyber để phát hiện và ứng phó ngay lập tức với mối đe dọa. Lên lịch demo của bạn ngay hôm nay!
AI và Tự động hóa thúc đẩy hành trình SOC tự động như thế nào
SOC là trái tim của an ninh mạng doanh nghiệp: trên nhiều cấp độ quản lý và ứng phó sự cố, SOC phát hiện, phân tích và ứng phó với các sự kiện an ninh mạng bằng cách tận dụng sự kết hợp giữa nhân sự lành nghề, quy trình được xác định rõ ràng và công nghệ tiên tiến.
Các nhóm bảo mật hiện đại đang phải vật lộn với một loạt thách thức ngày càng tăng; chúng bao gồm từ các cuộc tấn công mạng ngày càng tinh vi đến khối lượng cảnh báo quá lớn bao phủ các bề mặt tấn công ngày càng mở rộng. Kết hợp chúng lại với nhau, và tác động thực tế bắt đầu làm xói mòn hiệu quả của các chuyên gia an ninh mạng và làm tăng đáng kể số giờ làm việc theo yêu cầu của họ.
Kết quả là tình trạng thiếu hụt nhân tài dai dẳng. Những yếu tố này khiến các nhóm SOC khó phân loại, điều tra và ứng phó với các mối đe dọa hiệu quả hơn bao giờ hết. Do đó, các nhiệm vụ quan trọng như quản lý tư thế chủ động và săn tìm mối đe dọa thường bị gạt sang một bên vì chúng đòi hỏi nhiều thời gian, chuyên môn chuyên biệt và rất nhiều sự hỗ trợ về tài chính. Trong môi trường này, SOC do AI điều khiển đang trở thành một cột mốc ngày càng phổ biến.
Khi các tổ chức tiến triển qua hành trình SOC tự động, khả năng phát hiện mối đe dọa của họ sẽ tăng lên. Các công cụ AI có thể phân tích nhật ký và hành vi của thiết bị được kết nối với các cảnh báo đơn chiều trước đây, quy trình làm việc của các nhà phân tích có thể được ưu tiên rõ ràng hơn và các hoạt động bảo mật có thể được mở rộng lên các khả năng lớn hơn nhiều so với trước đây. Ở đỉnh cao của mô hình trưởng thành SOC, các tổ chức có thể tận dụng khả năng hiển thị và phản hồi vượt xa số lượng nhân viên trong nhóm của họ.
Lợi ích chính ở các giai đoạn khác nhau của tự động hóa SOC
#1. SOC thủ công
Không có nhiều SOC chỉ dựa vào các quy trình thủ công ngày nay: sự gia tăng của các công cụ bảo mật tiên tiến hơn đã đẩy SOC trung bình đi sâu hơn vào đường ống tự động hóa. Tuy nhiên, sự phụ thuộc vào can thiệp thủ công này vẫn có thể tồn tại trong một số quy trình bảo mật như quản lý bản vá và săn tìm mối đe dọa. Nó tốn rất nhiều thời gian và dựa vào số lượng nhân viên lớn để xử lý các quy trình công việc đòi hỏi khắt khe.
#2. SOC dựa trên luật lệ
#3. SOC hợp nhất AI
Các khả năng hợp nhất AI phát triển sổ tay hướng dẫn thành sổ tay hướng dẫn hoặc quy trình làm việc tự động. Các SOC hợp nhất AI thêm một lớp phân tích bổ sung vào tất cả các tương quan nhật ký diễn ra trong giai đoạn 2. Điều này bắt đầu chuyển từ tương quan nhật ký sang tương quan cảnh báo – loại bỏ một số thời gian mà cụm cảnh báo thường
nhu cầu và do đó cho phép nhóm phản hồi các IoC thực sự nhanh hơn.
SOAR là một công cụ phổ biến được thấy trong các SOC hợp nhất AI: nó cung cấp cho SOC một bảng điều khiển kết hợp hoạt động thời gian thực của phần mềm bảo mật phân đoạn của tổ chức, như SIEM, EDR và tường lửa. Sự hợp tác này không chỉ có thể nhìn thấy: để được hợp nhất AI, SOAR tự động tham chiếu chéo các cảnh báo và dữ liệu được chia sẻ giữa các công cụ khác biệt này. Chúng có thể tận dụng các giao diện lập trình ứng dụng (API) để truyền dữ liệu giữa các nguồn có liên quan.
Từ tất cả dữ liệu này, nền tảng SOAR có thể tiếp nhận cảnh báo từ một công cụ – như giải pháp phát hiện và phản hồi điểm cuối (EDR) – và bắt đầu kết nối các phát hiện của các công cụ khác. Ví dụ, EDR có thể đã xác định được một ứng dụng nền bất thường đang chạy trên thiết bị. SOAR có thể so sánh ứng dụng đang được đề cập với các nhật ký có liên quan trong các công cụ khác, như nguồn cấp dữ liệu tình báo về mối đe dọa và tường lửa. Dữ liệu bổ sung này sau đó cho phép công cụ phân tích của SOAR đánh giá tính hợp pháp của cảnh báo EDR.
Lưu ý rằng bản thân SOAR không phải là AI hoàn chỉnh: nó vẫn dựa vào rất nhiều sổ tay hướng dẫn để phản hồi. Việc phát triển các sổ tay hướng dẫn SOAR này đòi hỏi phải hiểu rõ từng hoạt động bảo mật và các mối đe dọa tiềm ẩn có thể trông như thế nào. Mỗi sổ tay hướng dẫn được xây dựng bằng cách xác định các tác vụ lặp lại, sau đó thiết lập các số liệu rõ ràng để đánh giá hiệu suất của sổ tay hướng dẫn, chẳng hạn như thời gian phản hồi và tỷ lệ báo động giả. Điều này giúp tiết kiệm rất nhiều thời gian trong quá trình phản hồi sự cố - sau khi mọi thứ đã được thiết lập và chạy.
#4. SOC của con người được tăng cường bằng AI
Giai đoạn này chứng kiến khả năng tự động hóa phát triển từ tương quan cảnh báo đến phân loại tự động một phần. Phân loại là quá trình phản hồi cảnh báo – và cho đến giai đoạn này, tất cả các bước phân loại đều được xác định thủ công. Thay vì kích hoạt cho các sổ tay hướng dẫn đã thiết lập, SOC tăng cường AI được hưởng lợi từ việc điều tra từng cảnh báo như một điểm dữ liệu riêng lẻ; và phản hồi sự cố của họ kết hợp các đề xuất tự động với thông tin đầu vào của nhà phân tích.
Các yêu cầu cụ thể của từng quy trình điều tra được thiết lập bởi dữ liệu phân tích của riêng tổ chức: với đường cơ sở là quyền truy cập mạng, chia sẻ dữ liệu và hành vi điểm cuối, AI có thể phát hiện ra các sai lệch so với chuẩn mực này – cùng với việc giám sát các IoC đã biết khớp với cơ sở dữ liệu tình báo về mối đe dọa được kết nối. Tuy nhiên, quan trọng nhất đối với giai đoạn này là các phản hồi được thực hiện: khi cảnh báo được liên kết với đường dẫn tấn công thực sự, công cụ AI có thể phản hồi thông qua các công cụ bảo mật để ngăn chặn kẻ tấn công. Trong suốt quá trình này, công cụ tạo và ưu tiên các cảnh báo và luồng đến đúng cấp độ chuyên gia SOC. Công cụ kết nối từng cảnh báo với các bản tóm tắt và phát hiện nhất quán, được ghi chép đầy đủ, giúp nhanh chóng đưa thành phần con người vào guồng.
Các công cụ để đạt được điều này và giai đoạn cuối cùng của tự động hóa bao gồm Nền tảng SecOps tự động của Stellar Cyber: nó cấp cho các chuyên gia SOC khả năng tự động phân loại nhanh chóng, trong khi vẫn giữ các nhà phân tích con người là người ra quyết định cuối cùng về việc khắc phục. Để hỗ trợ điều này, các khả năng và thông tin cơ bản này được cung cấp thông qua một nền tảng trung tâm.
#5. SOC AI tăng cường của con người
Giai đoạn cuối cùng của quá trình tích hợp AI-SOC, trong giai đoạn này, khả năng của AI sẽ mở rộng từ phát hiện và ứng phó sự cố sang các lĩnh vực rộng hơn và chuyên biệt hơn.
Ví dụ, các cuộc điều tra pháp y chi tiết là một lĩnh vực mà các SOC do AI dẫn đầu có thể vượt trội hơn so với các đối tác do con người dẫn đầu. Bắt đầu từ một sự cố bảo mật đã biết, một công cụ AI trung tâm có thể trích xuất các IOC có liên quan và lắp ráp lại chúng thành các chuỗi tấn công có khả năng xảy ra - từ xâm nhập ban đầu, qua chuyển động ngang và cuối cùng là triển khai phần mềm độc hại hoặc rò rỉ dữ liệu. Các IoC này có thể vẫn là nội bộ hoặc được sử dụng để làm giàu khả năng phát hiện của một trung tâm chia sẻ và phân tích thông tin trung tâm (ISAC). Bên cạnh việc xác định phương pháp và mục tiêu cuối cùng của kẻ tấn công, sự tập trung vào kiến thức được chia sẻ này cũng có thể cho phép một SOC do AI điều khiển xác định chính xác những kẻ có khả năng thực hiện một cuộc tấn công, đặc biệt nếu chiến thuật và kỹ thuật của chúng phù hợp với các nhóm đã biết.
Trong giai đoạn này, truyền thông sự cố cũng có thể được hưởng lợi: sự phát triển của các Mô hình ngôn ngữ lớn (LLM) thích hợp cho phép các nhà lãnh đạo SOC nhanh chóng truyền đạt vấn đề cốt lõi đang gặp phải, vì nền tảng SOC tự chủ trung tâm cô đọng cuộc tấn công cực kỳ phức tạp thành ngôn ngữ dễ hiểu hơn. Đó là cách Copilot AI của Stellar cung cấp hỗ trợ trong suốt quá trình điều tra phức tạp. LLM tích hợp cũng cho phép các tổ chức nhanh chóng thông báo cho khách hàng bị ảnh hưởng - và cho phép các nhà phân tích SOC tập trung vào việc khắc phục do AI hướng dẫn.
Ngoài pháp y, tự động hóa SOC hoàn toàn có thể chủ động xác định và tự động hóa các lỗ hổng trong các biện pháp kiểm soát bảo mật hiện tại. Điều này có thể là phát hiện mối đe dọa hoàn toàn tự động; vá lỗi; sửa lỗi cho các lỗ hổng tường lửa được phát hiện trong hộp cát tập tin; hoặc tích hợp với quy trình CI/CD để ngăn chặn việc triển khai mã dễ bị tấn công ngay từ đầu.
Những thách thức của SOC trên hành trình
Data Integration
Kết nối các công cụ và hệ thống khác nhau với một nền tảng thống nhất có thể là một trong những rào cản đầu tiên của tự động hóa SOC. Và nó thậm chí không đơn giản như việc chia sẻ dữ liệu giữa các công cụ khác nhau; một SOC tự động cần một kiến trúc bảo mật có thể mở rộng – một kiến trúc có thể tích hợp liền mạch với toàn bộ ngăn xếp bảo mật và thu thập, hợp nhất và chuyển đổi dữ liệu ở bất kỳ định dạng nào.
Đồng thời, không chỉ tất cả dữ liệu về bảo mật, thiết bị và mạng cần phải tiếp cận được công cụ AI trung tâm: mà còn cần phải hỗ trợ các nỗ lực điều tra và khắc phục của chính các nhà phân tích, khiến cho một nền tảng tập trung và giao diện người dùng công cụ chéo trở nên cần thiết.
kháng chiến văn hóa
Việc thích ứng với tự động hóa có thể đòi hỏi những thay đổi đáng kể trong quy trình làm việc của nhóm. Nếu một SOC quen với việc duy trì tường lửa và quy tắc SIEM của riêng họ theo cách thủ công, họ có thể phản đối những thay đổi do tự động hóa gây ra. Đó là lý do tại sao quy trình gia tăng thường là tốt nhất – việc nhảy từ giai đoạn 1 đến giai đoạn 5 trong khoảng thời gian một năm có thể gây ra quá nhiều gián đoạn.
Cũng có một mức độ sợ hãi cần phải đối mặt: vì tự động hóa hiện có thể sao chép tất cả 3 cấp độ kỹ năng của các nhà phân tích SOC, nên có những lo ngại hợp lý rằng đầu vào của con người sẽ không còn được coi là cần thiết nữa. Sự thật thì không phải vậy: nhóm SOC của con người là nguồn hiểu biết và thông tin tình báo thực tế tốt nhất về kiến trúc và lỗ hổng của chính tổ chức. Những thách thức hiện tại của họ cần dẫn đầu quá trình tích hợp bảo mật do AI thúc đẩy trong bất kỳ SOC nào; sự hỗ trợ của họ sẽ vẫn rất quan trọng ngay cả trong các thiết lập đã phát triển đầy đủ, vì họ là người chỉ đạo quá trình ra quyết định sửa chữa và đạo đức của AI.
Hạn chế về kỹ năng và ngân sách
Khi triển khai AI, điều quan trọng là phải tận dụng chuyên môn cụ thể về AI, tự động hóa và phát hiện mối đe dọa nâng cao. Tuy nhiên, sự kết hợp cụ thể của các bộ kỹ năng này có thể khó tìm - và chưa kể đến việc tốn kém để đưa vào hoạt động. Ngay cả các nhà phân tích SecOps mới nhất cũng có thể tốn 50 nghìn đô la một năm và các chuyên gia AI được đào tạo phù hợp có giá cao hơn gấp bội. Điều này liên quan chặt chẽ đến một thách thức khác: ngân sách.
SOC trước đây chỉ giới hạn ở các công ty có doanh thu cao nhất; các tổ chức nhỏ hơn sẽ dựa vào Nhà cung cấp dịch vụ bảo mật được quản lý (MSSP) để giúp cân bằng chi phí an ninh mạng với rủi ro bị tấn công. Điều này có nghĩa là chi phí vẫn là một trong những rào cản lớn nhất đối với việc triển khai AI, đặc biệt là khi xét đến thời gian và tiền bạc mà các quy trình thủ công có thể gây ra.
Stellar Cyber xóa bỏ rào cản đối với SOC tự chủ như thế nào
Một nền tảng mở, thống nhất
Bảo mật do AI thúc đẩy đòi hỏi phải truy cập dữ liệu liên tục, nặng nề. Một số nhà cung cấp khóa quyền truy cập này sau các bậc thang của công cụ của riêng họ. Mặt khác, Stellar Cyber đặt tích hợp mở tại cốt lõi triết lý của công cụ. Kiến trúc điều khiển bằng API cho phép Stellar Cyber thu thập dữ liệu từ bất kỳ nguồn và công cụ bảo mật nào – và hơn nữa cho phép công cụ AI khắc phục sự cố thông qua cùng các kết nối hai chiều.
Toàn bộ phạm vi bảo mật của tổ chức sau đó được hợp nhất thành một nền tảng duy nhất. Điều này đặt tất cả các hoạt động AI SOC trong tầm tay của các nhà phân tích tương ứng. Nó kết hợp các hành động phân tích và khắc phục do SIEM, NDR và XDR cung cấp – đơn giản hóa hơn nữa ngăn xếp công nghệ của SOC. Vì Stellar có thể nhúng nhiều khuôn khổ khác nhau vào phạm vi rộng lớn các khả năng phản hồi này, nên bảng điều khiển cũng có chức năng nêu chi tiết các bước thực hiện cho mỗi phản hồi tự động.
AI nhiều lớp
AI phát hiện
AI tương quan
Phản hồi AI
Đa thuê bao cho MSSP
Stellar Cyber hỗ trợ điều này bằng cách cung cấp khả năng của mình trên nhiều đối tượng thuê bao trong khi vẫn duy trì sự tách biệt dữ liệu. Ngăn chặn sự pha trộn này là rất quan trọng để đảm bảo an ninh back-end, đồng thời vẫn cung cấp cho các nhà phân tích được đào tạo bài bản các công cụ và khả năng hiển thị của nền tảng Stellar Cyber.
Khả năng mở rộng cho các nhóm tinh gọn
Cho dù dựa trên MSSP hay trong chính tổ chức, điều quan trọng đối với việc kích hoạt AI là tập trung vào các hoạt động bảo mật có thể mở rộng và tiết kiệm chi phí. Stellar Cyber cho phép các nhóm tinh gọn đạt được mức độ bảo vệ tương tự như các nhóm thủ công lớn hơn, nhờ vào hai thành phần cốt lõi của nó: săn tìm mối đe dọa tự động và ra quyết định dễ tiếp cận.
Trong khi thu thập và phân tích dữ liệu thời gian thực trong một tổ chức, Stellar Cyber sẽ tập hợp tất cả các giám sát bảo mật có thể xảy ra vào thư viện săn mối đe dọa của mình. Tổng quan này hiển thị các loại cảnh báo khác nhau và số lượng từng loại đã được phát hiện. Chúng có thể được kết nối thủ công với các trường hợp đang diễn ra hoặc được xử lý riêng lẻ. Để có góc nhìn khác, quy trình phân tích tài sản của Stellar Cyber sẽ nhanh chóng phân loại các tài sản có rủi ro cao nhất, cùng với vị trí và các trường hợp được kết nối của chúng, qua đó cung cấp cho các nhà phân tích hình ảnh có độ phân giải cao hơn cho từng lỗ hổng tiềm ẩn.
SOC tự động không nên xảy ra với chi phí của nhóm. Stellar Cyber dịch từng quyết định tự động theo khuôn khổ tương ứng mà nó sử dụng để đạt được điều đó. Ví dụ, nó không chỉ phù hợp với MITRE – nó còn chia sẻ cách mỗi quyết định phân loại phù hợp với khuôn khổ này. Điều này giúp quy trình phân loại có thể truy cập được ngay cả khi xử lý các cuộc tấn công phức tạp.
Nâng cao hiệu quả của SOC của bạn với Stellar Cyber
Kết quả của việc hỗ trợ AI của Stellar Cyber là một nền tảng dễ tiếp cận thúc đẩy sự tự tin của nhà phân tích SOC vào các quy trình của riêng họ – nâng cao cả khả năng của con người và AI. Cách tiếp cận lấy con người làm trọng tâm này cũng là lý do tại sao Stellar Cyber định giá nền tảng của mình theo một giấy phép duy nhất. Điều này bao gồm tất cả các khả năng SecOps mở của nó – được xây dựng có mục đích để nâng cao hiệu quả của chuyên môn của từng thành viên SOC. Để tự mình khám phá Stellar Cyber, lên lịch trình demo với một trong những thành viên giàu kinh nghiệm trong nhóm của chúng tôi.
