Все MSSP ежедневно имеют дело с огромным количеством предупреждений, но как наиболее успешные партнеры справляются с наплывом?
ППГЧ в отрасли наблюдается значительный рост атак на MSP и Партнеры MSSP этот год. Это привело к нескольким новым атакам на все, от Инструменты RMM к приложениям. Мы все ежедневно сталкиваемся с огромным количеством предупреждений — так как же самые успешные партнеры справляются с этим?
Начните с цепочки убийств. На сегодняшний день самым популярным фреймворком является MITER Структура атаки. Если вы сможете взглянуть на свои оповещения под таким углом, вы сможете начать снижать свои риски. SOC Значительно снизьте нагрузку на команды. Начните с этапа разведки. Почему именно с него? Потому что, если вы сможете перекрыть связи до того, как злоумышленники закрепятся на территории, вы сможете значительно сократить объем работы по поиску и устранению угроз, которую ваша команда выполняет сегодня.
Отличный пример - Лог4дж. Это было большой неприятностью в течение последнего месяца или около того. Многие злоумышленники используют это, потому что в настоящее время это создает слишком много шума. В некотором смысле он был усилен за счет краудсорсинга несколькими группами атак — чем больше злоумышленников использует его, тем больше предупреждений вы увидите, связанных с ним.
Эти первоначальные сканирования не приносят никакой полезной нагрузки, но создают массу работы для вашего SOC. Если вы можете подключить сканирование к связи с активом в вашей сети, вы можете ограничить свой ответ на реальные угрозы вашему клиенту. Это область, в которой машинное обучение может значительно повысить ваши шансы на успех.
Используя неконтролируемое машинное обучение, вы можете определить, взаимодействовала ли конкретная машина с внешним хостом или запускала ли конкретное приложение, например Лог4дж. Что еще более важно, вы также можете определить, происходит ли эксфильтрация данных. Stellar Cyber разработала платформу, которая может сопоставить это с MITER структура атаки, чтобы быстро идентифицировать такое поведение, включить его в цепочку уничтожения и рекомендовать тактику исправления. Вооружившись этим контекстом, вы можете применить гораздо более целенаправленный подход к реагированию, и вам не нужно будет приобретать или развертывать специальные средства обнаружения от нескольких поставщиков.
Кроме того, если вы обнаружите подключение к известному вредоносному хосту, вы можете автоматически разорвать подключение на брандмауэре и на устройстве. С помощью правил автоматического поиска угроз вы можете выбрать обнаружение, задать условие и Звездная киберплатформа может инициировать ответ через интеграцию с вашим брандмауэром и инструмент EDR. В конечном счете, это позволяет достичь трех очень важных вещей:
- Сократить время до обнаружения реальных событий.
- Отключите шум.
- Автоматизируйте реакцию, чтобы снизить риск.
Когда у вас есть полностью интегрированная платформа, выполняющая эти задачи, все просто. Если вы хотите узнать больше, пожалуйста, свяжитесь с Брайан Стоунер в Стеллар Сайбер.
