تعزيز أدلة التشغيل الخاصة بالاستجابة للحوادث باستخدام التعلم الآلي

يجب أن يكون لدى كل شركة خطة عامة للاستجابة للحوادث تعمل على إنشاء فريق الاستجابة للحوادث، وتعيين الأعضاء، وتحدد إستراتيجيتهم للرد على أي حادث يتعلق بالأمن السيبراني.

ومع ذلك، للعمل باستمرار وفقًا لهذه الاستراتيجية، تحتاج الشركات إلى أدلة تكتيكية لتوجيه المستجيبين خلال التحقيق والتحليل والاحتواء والاستئصال والتعافي من الهجمات مثل برامج الفدية أو تفشي البرامج الضارة أو اختراق البريد الإلكتروني التجاري. يقول جون هولينبرجر، كبير المستشارين الأمنيين بمجموعة الخدمات الاستباقية في Fortinet، إن المؤسسات التي لا تتبع قواعد اللعبة المتعلقة بالأمن ستعاني في كثير من الأحيان من حوادث أكثر خطورة. في ما يقرب من 40% من الحوادث العالمية التي تتعامل معها Fortinet، كان الافتقار إلى قواعد اللعبة الكافية عاملاً مساهماً في حدوث الاختراق في المقام الأول.

يقول هولينبرجر: "في كثير من الأحيان، وجدنا أنه على الرغم من أن الشركة قد تمتلك الأدوات المناسبة للكشف والاستجابة، إلا أنه لم تكن هناك عمليات أو كانت غير كافية حول الأدوات المذكورة". ويقول إنه حتى مع وجود قواعد اللعبة، لا يزال يتعين على المحللين اتخاذ قرارات معقدة بناءً على تفاصيل التسوية. ويضيف: "بدون المعرفة والتدبر من قبل المحلل، قد يتم اتباع النهج الخاطئ أو في نهاية المطاف عرقلة جهود الاستجابة".

ومن غير المستغرب أن تحاول الشركات والباحثون بشكل متزايد تطبيق التعلم الآلي والذكاء الاصطناعي على قواعد اللعبة - مثل الحصول على توصيات بشأن الخطوات التي يجب اتخاذها أثناء التحقيق في حادث ما والاستجابة له. يمكن تدريب الشبكة العصبية العميقة لتتفوق على المخططات الحالية القائمة على الكشف عن مجريات الأمور، والتوصية بالخطوات التالية تلقائيًا بناءً على ميزات الحادث وإرشادات اللعب الممثلة في سلسلة من الخطوات في الرسم البياني، وفقًا لـ ورقة نشرت في أوائل نوفمبر من قبل مجموعة من الباحثين من جامعة بن غوريون في النقب وشركة التكنولوجيا العملاقة NEC.

يرى باحثو جامعة بن غوريون وNEC أن إدارة قواعد اللعبة يدويًا قد لا يكون من الممكن الدفاع عنها على المدى الطويل.

وذكر الباحثون في ورقتهم البحثية: "بمجرد تعريف قواعد اللعبة، يتم ترميزها بشكل ثابت لمجموعة ثابتة من التنبيهات وتكون ثابتة وجامدة إلى حد ما". "قد يكون هذا مقبولاً في حالة قواعد اللعب الخاصة بالتحقيق، والتي قد لا تحتاج إلى تغيير بشكل متكرر، ولكنه أقل استحسانًا في حالة قواعد اللعب الخاصة بالاستجابة، والتي قد تحتاج إلى تغيير من أجل التكيف مع التهديدات الناشئة والجديدة التي كانت موجودة سابقًا. تنبيهات غير مرئية."

ردود الفعل المناسبة تتطلب كتيبات اللعب

إن أتمتة الكشف والتحقيق والاستجابة للأحداث هي مجالات أنظمة التنسيق الأمني ​​والأتمتة والاستجابة (SOAR)، والتي - من بين أدوار أخرى - أصبحت مستودعات لقواعد اللعبة لاستخدامها في مجموعة متنوعة من الظروف التي تواجهها الشركات أثناء الأمن السيبراني. حدث.

يقول جوش بلاكويلدر، نائب كبير مسؤولي أمن المعلومات في شركة SentinelOne: "يتعامل عالم الأمن مع الاحتمالات والشكوك - تعد قواعد اللعبة وسيلة لتقليل المزيد من عدم اليقين من خلال تطبيق عملية صارمة للحصول على نتائج نهائية يمكن التنبؤ بها"، مضيفًا أن النتائج القابلة للتكرار تتطلب التطبيق الآلي لكتب اللعب من خلال SOAR. "لا توجد طريقة سحرية للانتقال من التنبيهات الأمنية غير المؤكدة إلى نتائج يمكن التنبؤ بها دون تدفق عملية متسق ومنطقي."

أصبحت أنظمة SOAR مؤتمتة بشكل متزايد، كما يوحي اسمها، ويعتبر اعتماد نماذج AI/ML لإضافة الذكاء إلى الأنظمة خطوة تالية طبيعية، وفقًا للخبراء.

على سبيل المثال، تستخدم شركة Red Canary للكشف والاستجابة المُدارة الذكاء الاصطناعي حاليًا لتحديد الأنماط والاتجاهات المفيدة في اكتشاف التهديدات والاستجابة لها وتقليل العبء المعرفي على المحللين لجعلهم أكثر كفاءة وفعالية. بالإضافة إلى ذلك، يمكن لأنظمة الذكاء الاصطناعي التوليدية أن تسهل توصيل الملخص والتفاصيل الفنية للحوادث إلى العملاء، كما يقول كيث ماكامون، كبير مسؤولي الأمن والمؤسس المشارك لشركة Red Canary.

ويقول: "نحن لا نستخدم الذكاء الاصطناعي للقيام بأشياء مثل إنشاء المزيد من قواعد اللعبة، ولكننا نستخدمه على نطاق واسع لجعل تنفيذ قواعد اللعبة وعمليات العمليات الأمنية الأخرى أسرع وأكثر فعالية".

في نهاية المطاف، قد تكون قواعد اللعبة مؤتمتة بالكامل من خلال الشبكات العصبية للتعلم العميق (DL)، حسبما كتب باحثو جامعة بن غوريون وNEC. "[نحن] نهدف إلى توسيع طريقتنا لدعم خط الأنابيب الكامل من طرف إلى طرف، حيث، بمجرد تلقي تنبيه بواسطة نظام SOAR، يتعامل النموذج القائم على DL مع التنبيه وينشر الاستجابات المناسبة تلقائيًا - مما يؤدي إلى إنشاء ديناميكي ومستقل على وكتبوا: "قواعد اللعب السريعة - وبالتالي تقليل العبء على محللي الأمن".

ومع ذلك، فإن منح نماذج الذكاء الاصطناعي/التعلم الآلي القدرة على إدارة قواعد اللعبة وتحديثها يجب أن يتم بعناية، خاصة في الصناعات الحساسة أو المنظمة، كما يقول أندريا فوماجالي، المدير الأول للتنسيق والأتمتة في شركة Sumo Logic. تستخدم شركة إدارة الأمان القائمة على السحابة نماذج تعتمد على الذكاء الاصطناعي/التعلم الآلي في نظامها الأساسي للعثور على إشارات التهديد في البيانات وإبرازها.

ويقول: "استنادًا إلى العديد من الدراسات الاستقصائية التي أجريناها مع عملائنا على مر السنين، فإنهم غير مرتاحين بعد لتكيف الذكاء الاصطناعي وتعديله وإنشاء أدلة التشغيل بشكل مستقل، إما لأسباب أمنية أو للامتثال". "يريد العملاء من المؤسسات التحكم الكامل في ما يتم تنفيذه كإجراءات لإدارة الحوادث والاستجابة لها."

يجب أن تكون الأتمتة شفافة تمامًا، وإحدى طرق القيام بذلك هي عرض جميع الاستعلامات والبيانات على محللي الأمن. يقول Blackwelder من SentinelOne: "يسمح هذا للمستخدم بالتحقق من المنطق والبيانات التي يتم إرجاعها والتحقق من صحة النتائج قبل الانتقال إلى الخطوة التالية". "نشعر أن هذا النهج المدعوم بالذكاء الاصطناعي يمثل التوازن المناسب بين مخاطر الذكاء الاصطناعي والحاجة إلى تسريع الكفاءات لتتناسب مع مشهد التهديدات المتغير بسرعة."

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better