Пришло время технологиям кибербезопасности, чтобы не отставать от противников. Теперь, когда мы увидели так много успешных многоэтапных атак, нам нужно переоценить то, как мы коррелируем сигналы, которые мы видим от всех инструментов безопасности в наших средах. Корреляция полезна, но не всегда дает полную картину. Каков следующий этап обнаружения и реагирования?
Чтобы понять это, нам нужно взглянуть на текущие структуры, которые помогают группам безопасности организовывать свои повседневные задачи. Lockheed Martin Kill Chain была очень популярной платформой, когда распространение вредоносных программ было основной тактикой. Это было очень хорошо для описания различных этапов, которые прошли злоумышленники, чтобы развернуть свою полезную нагрузку. Затем появился фреймворк MITER ATT & CK. Сегодня это используется многими экспертами, потому что он является более полным и описывает тактики и приемы, которые стали популярными среди злоумышленников за последние несколько лет.
Проблема с этими большими и сложными фреймворками заключается в том, что очень сложно написать ручные правила, чтобы предвидеть и соотносить все сигналы из ваших источников журналов. Объемы журналов, которые собираются и хранятся, стремительно растут. Это стало проблемой даже для самых маленьких партнеров. Что можно сделать для решения этой проблемы?
Ключевым моментом является интеграция платформы безопасности и фреймворка. Сегодня многие платформы предоставляют ссылки на MITRE как часть своей аналитики угроз, но обычно это делается постфактум. Что нам нужно сделать, так это организовать и представить предупреждения в фреймворке в режиме реального времени. Злоумышленники должны добиться успеха на нескольких этапах инфраструктуры, чтобы достичь своей цели. Нам нужно только успешно остановить их на одном из этапов. Чем раньше этап, тем меньше нужно будет убирать. Для этого вам необходимо выполнить несколько ключевых процессов.
Во-первых, вам нужен стандартизированный и расширенный набор данных. Мы больше не хотим, чтобы аналитики пытались определить, насколько опасен сигнал, до тех пор, пока он не станет фактом - решение должно сравнивать все с платформой Threat Intelligence Platform и дополнять набор данных этой информацией. до запись создана. Когда данные имеют стандартный формат, компонент AI / ML может коррелировать сигналы от нескольких векторов угроз в среде. Предупреждения организованы в цепочке уничтожения, которая напрямую соответствует этапам структуры атаки MITER. Когда аналитик видит предупреждение, нет никаких вопросов о том, как расставить приоритеты.
Для партнеров организация и управление сотнями оповещений в течение дня — это трудоемкий и ресурсозатратный процесс. Решение должно включать машинное обучение, обеспечивающее дополнительный уровень корреляции, отображая многоэтапные атаки как инциденты и присваивая каждому инциденту оценку риска. Это дополнительный уровень машинного обучения, выходящий за рамки простой корреляции оповещений. Он значительно сократит время, затрачиваемое на обработку таких оповещений. SOC Аналитики тратят время на группировку оповещений для анализа. В идеале решение должно предоставлять аналитикам возможность добавлять или удалять оповещения из инцидента, а также настраивать оценку угрозы.
Компания Stellar Cyber первой предоставила XDR— Целенаправленная цепочка атак в сочетании с управлением оповещениями на основе инцидентов, улучшенным с помощью машинного обучения. Настало время использовать автоматизацию на основе машинного обучения для обнаружения и остановки противников. Если вы хотите узнать больше, пожалуйста, свяжитесь с нами по адресу brain@stellarcyber.ai
