Как информационной безопасности ландшафт угроз меняется, поэтому нам нужно смотреть на эти угрозы. Гул новых брешей продолжается. Если вы читаете новости, вы можете подумать, что есть только одна основная тактика, которую злоумышленники используют в ИНЦИДЕНТ против своих целей. Это просто не так, и нам нужен новый способ описания и отслеживания этих событий.
Термин ALERT и СОБЫТИЕ необходимо четко определить. Сегодня SOC Команды используют множество различных технологий для обнаружения угроз. Многие крупные клиенты используют 30 и более технологий безопасности в своей многоуровневой архитектуре защиты. Каждая из этих технологий генерирует свои собственные специфические оповещения. Это задача команды... SOC аналитик чтобы просмотреть эти отдельные предупреждения и сопоставить и объединить их в СОБЫТИЯ. Требуется опытный аналитик, чтобы написать правила для подключения различных ПРЕДУПРЕЖДЕНИЯ они смотрят в СОБЫТИЯ или для дедупликации большого количества одних и тех же ПРЕДУПРЕЖДЕНИЙ в одно СОБЫТИЕ.
Злоумышленники знают, что это трудоемкий и ручной процесс. Они используют множество тактик, чтобы подавить противника. SOC аналитики с ПРЕДУПРЕЖДЕНИЯ из своих средств безопасности. Например, злоумышленник может использовать известный эксплойт для генерации множества событий IDS. Если они успешны, это сильно отвлекает SOC .
Пока они имеют дело с этими событиями IDS, злоумышленники, возможно, уже закрепились в среде с помощью грубой силы входа на один из своих критических серверов. Затем они могут сканировать внутреннюю сеть с этого важного сервера. Если они обнаружат другой сервер в среде с критически важными данными в базе данных SQL, они могут скомпрометировать его и запустить команду дампа SQL. Это помещает все содержимое базы данных в файл, который может быть пропущен через туннель DNS, который они создают на внешний IP-адрес.
Это очень простой пример того, что происходит в ИНЦИДЕНТ. С инцидентом необходимо связать несколько событий. Вот простая иерархия:
Учитывая огромное количество оповещений, нам необходимо рассмотреть, как мы можем использовать технологии для классификации и сопоставления данных с целью повышения эффективности реагирования. SOCПрименение искусственного интеллекта и машинного обучения к этому набору данных может стать очень мощным инструментом.
- Машинное обучение с учителем - возможность обнаруживать ранее неопознанные файлы, доменные имена и URL-адреса. Это данные, обычно встречающиеся в ПРЕДУПРЕЖДЕНИЯ.
- Неконтролируемое машинное обучение - разрабатывает базовые параметры нормального поведения для сетей, устройств и пользователей. Это может обнаруживать СОБЫТИЯ в клиентской сети путем корреляции и комбинирования ПРЕДУПРЕЖДЕНИЯ.
- Глубокое машинное обучение - смотрит на ландшафт угроз во всей среде и ищет связи. Способен соотносить СОБЫТИЯ в ИНЦИДЕНТЫ.
Машинное обучение также может помочь подсчитать событие или инцидент. Когда аналитики безопасности просматривают открытые инциденты, это позволяет им выбрать инцидент с наивысшим приоритетом и немедленно отреагировать.
При правильном использовании они могут быстрее выявлять связанные угрозы, поэтому SOC Аналитик может сосредоточиться на исправлении, а не на сопоставлении предупреждений для обнаружения и перейти от реактивной позиции к упреждающей в процессе.
