Verbesserung von Playbooks zur Reaktion auf Vorfälle durch maschinelles Lernen

Jedes Unternehmen sollte über einen allgemeinen Incident-Response-Plan verfügen, der ein Incident-Response-Team einrichtet, die Mitglieder benennt und seine Strategie für die Reaktion auf jeden Cybersicherheitsvorfall umreißt.

Um diese Strategie konsequent umzusetzen, benötigen Unternehmen jedoch Playbooks – taktische Leitfäden, die die Einsatzkräfte durch die Untersuchung, Analyse, Eindämmung, Beseitigung und Wiederherstellung von Angriffen wie Ransomware, einem Malware-Ausbruch oder der Kompromittierung geschäftlicher E-Mails begleiten. Unternehmen, die sich nicht an ein Sicherheitsleitbuch halten, erleiden häufig schwerwiegendere Vorfälle, sagt John Hollenberger, leitender Sicherheitsberater der Proactive Services-Gruppe von Fortinet. Bei fast 40 % der weltweiten Vorfälle, die Fortinet bearbeitet, war das Fehlen geeigneter Playbooks ein Faktor, der überhaupt zum Eindringen führte.

„Häufig haben wir festgestellt, dass das Unternehmen zwar über die richtigen Tools zur Erkennung und Reaktion verfügt, es aber keine oder nur unzureichende Prozesse rund um diese Tools gibt“, sagt Hollenberger. Selbst mit Playbooks, sagt er, müssen Analysten immer noch komplexe Entscheidungen auf der Grundlage der Details des Kompromisses treffen. Er fügt hinzu: „Ohne das Wissen und die Voraussicht eines Analysten kann der falsche Ansatz gewählt werden oder letztendlich die Reaktionsbemühungen behindern.“

Es überrascht nicht, dass Unternehmen und Forscher zunehmend versuchen, maschinelles Lernen und künstliche Intelligenz auf Handlungsanweisungen anzuwenden – etwa um Empfehlungen zu erhalten, welche Schritte bei der Untersuchung und Reaktion auf einen Vorfall zu unternehmen sind. Ein tiefes neuronales Netzwerk kann so trainiert werden, dass es aktuelle heuristikbasierte Schemata übertrifft und die nächsten Schritte automatisch auf der Grundlage der Merkmale eines Vorfalls und von Playbooks empfiehlt, die als eine Reihe von Schritten in einem Diagramm dargestellt werden ein Artikel, der Anfang November veröffentlicht wurde von einer Gruppe von Forschern der Ben-Gurion-Universität des Negev und des Technologieriesen NEC.

Die Forscher von BGU und NEC argumentieren, dass die manuelle Verwaltung von Playbooks auf lange Sicht unhaltbar sein kann.

„Sobald Playbooks definiert sind, sind sie für einen festen Satz von Warnungen fest codiert und ziemlich statisch und starr“, erklärten die Forscher in ihrer Arbeit. „Dies kann im Fall von Ermittlungsstrategien akzeptabel sein, die möglicherweise nicht häufig geändert werden müssen, aber im Fall von Reaktionsstrategien, die möglicherweise geändert werden müssen, um sich an neu auftretende Bedrohungen und Neuerungen anzupassen, ist dies weniger wünschenswert.“ unsichtbare Warnungen.“

Richtige Reaktionen erfordern Playbooks

Die Automatisierung der Erkennung, Untersuchung und Reaktion auf Ereignisse sind die Domänen von SOAR-Systemen (Security Orchestration, Automation, and Response), die – neben anderen Aufgaben – zu Speicherorten für Playbooks geworden sind, die in den unterschiedlichen Situationen eingesetzt werden können, mit denen Unternehmen im Zuge der Cybersicherheit konfrontiert sind Ereignis.

„Die Welt der Sicherheit beschäftigt sich mit Wahrscheinlichkeiten und Unsicherheiten – Playbooks sind eine Möglichkeit, weitere Unsicherheiten zu reduzieren, indem sie einen strengen Prozess anwenden, um vorhersehbare Endergebnisse zu erzielen“, sagt Josh Blackwelder, stellvertretender Chief Information Security Officer bei SentinelOne, und fügt hinzu, dass wiederholbare Ergebnisse erforderlich sind automatisierte Anwendung von Playbooks durch SOAR. „Es gibt keinen magischen Weg, von unsicheren Sicherheitswarnungen zu vorhersehbaren Ergebnissen zu gelangen, ohne einen konsistenten und logischen Prozessablauf.“

SOAR-Systeme werden, wie der Name schon sagt, zunehmend automatisiert, und die Einführung von KI/ML-Modellen, um den Systemen Intelligenz zu verleihen, ist laut Experten ein natürlicher nächster Schritt.

Das Managed-Detection-and-Response-Unternehmen Red Canary beispielsweise nutzt derzeit KI, um Muster und Trends zu identifizieren, die bei der Erkennung und Reaktion auf Bedrohungen nützlich sind und die kognitive Belastung der Analysten reduzieren, um sie effizienter und effektiver zu machen. Darüber hinaus können generative KI-Systeme die Kommunikation sowohl einer Zusammenfassung als auch der technischen Details von Vorfällen an Kunden erleichtern, sagt Keith McCammon, Chief Security Officer und Mitbegründer von Red Canary.

„Wir nutzen KI nicht, um beispielsweise mehr Playbooks zu erstellen, aber wir nutzen sie in großem Umfang, um die Ausführung von Playbooks und anderen Sicherheitsoperationsprozessen schneller und effektiver zu gestalten“, sagt er.

Letztendlich könnten Playbooks durch neuronale Deep-Learning-Netzwerke (DL) vollständig automatisiert werden, schrieben die Forscher von BGU und NEC. „[W]er Ziel ist es, unsere Methode zu erweitern, um eine vollständige End-to-End-Pipeline zu unterstützen, bei der ein DL-basiertes Modell, sobald eine Warnung vom SOAR-System empfangen wird, die Warnung verarbeitet und automatisch entsprechende Antworten bereitstellt – dynamisch und autonom erstellend.“ -the-fly-Playbooks – und reduziert so die Belastung für Sicherheitsanalysten“, schrieben sie.

Dennoch sollte es mit Vorsicht erfolgen, KI/ML-Modellen die Möglichkeit zu geben, Playbooks zu verwalten und zu aktualisieren, insbesondere in sensiblen oder regulierten Branchen, sagt Andrea Fumagalli, Senior Director für Orchestrierung und Automatisierung bei Sumo Logic. Das cloudbasierte Sicherheitsmanagementunternehmen nutzt KI/ML-gesteuerte Modelle in seiner Plattform und zum Auffinden und Hervorheben von Bedrohungssignalen in den Daten.

„Basierend auf mehreren Umfragen, die wir im Laufe der Jahre mit unseren Kunden durchgeführt haben, sind sie noch nicht damit zufrieden, dass KI Playbooks autonom anpasst, ändert und erstellt, sei es aus Sicherheitsgründen oder aus Compliance-Gründen“, sagt er. „Unternehmenskunden möchten die volle Kontrolle darüber haben, was als Vorfallmanagement- und Reaktionsverfahren implementiert wird.“

Die Automatisierung muss vollständig transparent sein. Eine Möglichkeit, dies zu erreichen, besteht darin, den Sicherheitsanalysten alle Abfragen und Daten anzuzeigen. „Dadurch kann der Benutzer die Logik und die zurückgegebenen Daten auf ihre Richtigkeit überprüfen und die Ergebnisse validieren, bevor er mit dem nächsten Schritt fortfährt“, sagt Blackwelder von SentinelOne. „Wir glauben, dass dieser KI-gestützte Ansatz das richtige Gleichgewicht zwischen den Risiken der KI und der Notwendigkeit darstellt, die Effizienz zu steigern, um der sich schnell verändernden Bedrohungslandschaft gerecht zu werden.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better