Stellar Cyber​​ Open XDR - 徽标
搜索
关闭此搜索框。

XDR 需要新的杀伤链吗?

布莱恩·斯通纳(Brian Stoner)
现在是网络安全技术跟上对手的时候了。 既然我们已经看到如此多成功的多阶段攻击,我们需要重新评估我们从环境中的所有安全工具中看到的信号的关联方式。 相关性很有帮助,但它并不总能描绘出完整的画面。 检测和响应的下一阶段是什么?

要理解这一点,我们需要查看当前帮助安全团队组织日常任务的框架。 当恶意软件的扩散是主要策略时,Lockheed Martin Kill Chain 是一个非常流行的框架。 它非常擅长概述攻击者部署有效载荷所经历的不同阶段。 接下来是 MITRE ATT&CK 框架。 今天许多专家都在利用它,因为它更全面,描述了过去几年攻击者越来越流行的策略和技术。

这些庞大而复杂的框架的问题在于,很难编写手动规则来预测和关联来自日志源的所有信号。 正在收集和保留的日志数量猛增。 这已成为即使是最小的合作伙伴的大数据挑战。 可以做些什么来解决这个挑战?

安全平台和框架的集成是关键。 如今,许多平台都提供指向 MITRE 的链接作为其威胁情报的一部分,但通常是事后提供。 我们需要做的是实时组织和呈现框架中的警报。 攻击者必须在框架的多个阶段取得成功才能实现他们的目标。 我们只需要在其中一个阶段成功阻止它们。 阶段越早,清理的就越少。 您需要一些关键流程来完成此操作。

首先,您需要一个标准化且丰富的数据集。 我们不再希望分析师在事后试图确定信号的危险程度——解决方案必须将所有内容与威胁情报平台进行比较,并用该信息丰富数据集 before 记录已创建。 一旦数据采用标准格式,AI/ML 组件就可以关联来自环境中多个威胁向量的信号。 警报在杀伤链中组织,它直接映射到 MITRE 攻击框架的各个阶段。 当分析师看到警报时,毫无疑问如何确定它的优先级。

对于合作伙伴而言,在一天内组织和管理数百个警报是一项耗时且资源密集的工作。 该解决方案必须具有 ML,以提供额外的关联层,将多阶段攻击描述为事件,并为每个事件提供风险评分。 这是超越简单警报关联的附加 ML 层。 它将显着减少 SOC 分析师为分析分组警报所花费的时间。 理想情况下,该解决方案应为分析师提供从事件中添加或删除警报以及调整威胁评分的能力。

Stellar Cyber​​ 是第一个提供以 XDR 为中心的杀伤链以及 ML 增强型、基于事件的警报管理的公司。 现在是利用机器学习自动化来检测和阻止对手的时候了。 如果您想了解更多信息,请联系 [电子邮件保护]

滚动到顶部