Tất cả các MSSP đều xử lý một số lượng lớn các cảnh báo hàng ngày - nhưng làm cách nào để các đối tác thành công nhất quản lý dòng này?
MSSP ngành công nghiệp đã chứng kiến sự gia tăng đáng kể các cuộc tấn công vào MSP và Đối tác MSSP Năm nay. Điều này đã dẫn đến một số cuộc tấn công mới vào mọi thứ từ Công cụ RMM cho các ứng dụng. Tất cả chúng ta đều phải đối phó với một số lượng lớn các cảnh báo hàng ngày - vậy các đối tác thành công nhất quản lý điều này như thế nào?
Bắt đầu với chuỗi tiêu diệt. Khung phổ biến nhất hiện nay là MITER khung tấn công. Nếu bạn có thể xem xét các cảnh báo của mình thông qua lăng kính này, bạn có thể bắt đầu giảm thiểu... SOC Khối lượng công việc của nhóm sẽ tăng lên đáng kể. Hãy bắt đầu từ giai đoạn trinh sát. Tại sao lại bắt đầu từ đó? Bởi vì nếu bạn có thể cắt đứt các kết nối trước khi kẻ tấn công giành được chỗ đứng, bạn có thể loại bỏ phần lớn công việc săn lùng và dọn dẹp mà nhóm của bạn đang làm hôm nay.
Một ví dụ tuyệt vời là log4j. Điều này đã gây phiền toái lớn cho khoảng tháng trước. Nhiều kẻ tấn công đang tận dụng điều này vì hiện tại nó tạo ra quá nhiều tiếng ồn. Theo một cách nào đó, nó đã được khuếch đại thông qua nguồn cung ứng cộng đồng của nhiều nhóm tấn công - càng nhiều kẻ tấn công sử dụng nó, bạn sẽ thấy càng nhiều cảnh báo liên quan đến nó.
Những lần quét ban đầu đó không mang lại bất kỳ trọng tải nào, nhưng chúng tạo ra rất nhiều công việc cho SOC. Nếu bạn có thể kết nối quá trình quét với giao tiếp với một nội dung trong mạng của mình, bạn có thể giới hạn phản ứng của mình trước các mối đe dọa thực tế đối với khách hàng của mình. Đây là một lĩnh vực mà máy học có thể cải thiện đáng kể cơ hội thành công của bạn.
Tận dụng học máy không giám sát, bạn có thể xác định xem một máy cụ thể đã từng giao tiếp với máy chủ bên ngoài hay đang chạy một ứng dụng cụ thể như log4j. Quan trọng hơn, bạn cũng có thể phát hiện xem dữ liệu có bị lọc ra ngoài hay không. Stellar Cyber đã phát triển một nền tảng có thể ánh xạ điều này với MITER khuôn khổ tấn công để nhanh chóng xác định hành vi này, đưa nó vào chuỗi tiêu diệt và đề xuất một chiến thuật khắc phục. Được trang bị với bối cảnh này, bạn có thể thực hiện một cách tiếp cận có mục tiêu hơn nhiều để phản hồi và bạn sẽ không cần phải mua hoặc triển khai các tính năng phát hiện đặc biệt từ nhiều nhà cung cấp.
Ngoài ra, nếu bạn phát hiện kết nối với một máy chủ độc hại đã biết, bạn có thể tự động ngắt kết nối trên tường lửa và trên thiết bị. Với các quy tắc săn tìm mối đe dọa tự động, bạn có thể chọn phát hiện, đặt điều kiện và Nền tảng mạng Stellar có thể bắt đầu phản hồi thông qua tích hợp với tường lửa của bạn và Công cụ EDR. Cuối cùng, điều này hoàn thành ba điều rất quan trọng:
- Giảm thời gian phát hiện các sự kiện thực tế.
- Điều chỉnh tiếng ồn.
- Tự động hóa phản ứng để giảm rủi ro.
Khi bạn có một nền tảng tích hợp đầy đủ thực hiện các tác vụ này, thật đơn giản. Nếu bạn muốn tìm hiểu thêm, vui lòng liên hệ với Brian Stoner tại Stellar Cyber.
