Ενίσχυση βιβλίων απόκρισης συμβάντων με μηχανική μάθηση

Κάθε εταιρεία θα πρέπει να έχει ένα γενικό σχέδιο αντιμετώπισης συμβάντων που δημιουργεί μια ομάδα αντιμετώπισης περιστατικών, ορίζει τα μέλη και περιγράφει τη στρατηγική τους για την αντίδραση σε οποιοδήποτε περιστατικό ασφάλειας στον κυβερνοχώρο.

Ωστόσο, για να ενεργούν με συνέπεια σε αυτήν τη στρατηγική, οι εταιρείες χρειάζονται βιβλία παιχνιδιού - τακτικούς οδηγούς που καθοδηγούν τους απαντητές σε έρευνα, ανάλυση, περιορισμό, εξάλειψη και ανάκτηση για επιθέσεις όπως ransomware, ξέσπασμα κακόβουλου λογισμικού ή συμβιβασμό μέσω email. Οι οργανισμοί που δεν ακολουθούν ένα βιβλίο παιχνιδιού για την ασφάλεια θα υποστούν συχνά πιο σοβαρά περιστατικά, λέει ο John Hollenberger, ανώτερος σύμβουλος ασφαλείας της ομάδας Proactive Services της Fortinet. Στο 40% σχεδόν των παγκόσμιων περιστατικών που χειρίζεται το Fortinet, η έλλειψη επαρκών βιβλίων παιχνιδιού ήταν ένας παράγοντας που συνέβαλε αρχικά στην εισβολή.

«Αρκετά συχνά έχουμε διαπιστώσει ότι ενώ η εταιρεία μπορεί να έχει τα κατάλληλα εργαλεία για να ανιχνεύσει και να ανταποκριθεί, δεν υπήρχαν ή ανεπαρκείς διαδικασίες γύρω από τα εν λόγω εργαλεία», λέει ο Hollenberger. Ακόμη και με τα playbooks, λέει, οι αναλυτές εξακολουθούν να έχουν πολύπλοκες αποφάσεις να λάβουν με βάση τις λεπτομέρειες του συμβιβασμού. Και προσθέτει, «Χωρίς γνώση και προνοητικότητα από έναν αναλυτή, μπορεί να ακολουθηθεί η λανθασμένη προσέγγιση ή τελικά να εμποδίσει τις προσπάθειες αντίδρασης».

Δεν αποτελεί έκπληξη, οι εταιρείες και οι ερευνητές προσπαθούν ολοένα και περισσότερο να εφαρμόσουν τη μηχανική μάθηση και την τεχνητή νοημοσύνη στα βιβλία παιχνιδιών — όπως η λήψη συστάσεων σχετικά με τα βήματα που πρέπει να ληφθούν κατά τη διερεύνηση και την απόκριση σε ένα περιστατικό. Ένα βαθύ νευρωνικό δίκτυο μπορεί να εκπαιδευτεί ώστε να ξεπερνά τα τρέχοντα σχήματα που βασίζονται σε ευρετικά, προτείνοντας τα επόμενα βήματα αυτόματα με βάση τα χαρακτηριστικά ενός περιστατικού και τα βιβλία παιχνιδιού που αναπαρίστανται ως μια σειρά βημάτων σε ένα γράφημα, σύμφωνα με μια εργασία που δημοσιεύτηκε στις αρχές Νοεμβρίου από μια ομάδα ερευνητών από το Πανεπιστήμιο Ben-Gurion του Negev και τον τεχνολογικό γίγαντα NEC.

Οι ερευνητές του BGU και του NEC υποστηρίζουν ότι η χειροκίνητη διαχείριση βιβλίων μπορεί να είναι αβάσιμη μακροπρόθεσμα.

«Μόλις οριστούν, τα βιβλία παιχνιδιών είναι κωδικοποιημένα για ένα σταθερό σύνολο ειδοποιήσεων και είναι αρκετά στατικά και άκαμπτα», δήλωσαν οι ερευνητές στην εργασία τους. «Αυτό μπορεί να είναι αποδεκτό στην περίπτωση ερευνητικών βιβλίων, τα οποία μπορεί να μην χρειάζεται να αλλάζουν συχνά, αλλά είναι λιγότερο επιθυμητό στην περίπτωση των βιβλίων απόκρισης, τα οποία μπορεί να χρειαστεί να αλλάξουν προκειμένου να προσαρμοστούν σε αναδυόμενες απειλές και νέες αόρατες ειδοποιήσεις."

Οι σωστές αντιδράσεις απαιτούν βιβλία παιχνιδιού

Η αυτοματοποίηση της ανίχνευσης, της έρευνας και της ανταπόκρισης σε γεγονότα είναι οι τομείς των συστημάτων ενορχήστρωσης, αυτοματοποίησης και απόκρισης (SOAR), τα οποία - μεταξύ άλλων ρόλων - έχουν γίνει τα αποθετήρια βιβλίων παιχνιδιού για χρήση στις διάφορες περιστάσεις που αντιμετωπίζουν οι εταιρείες κατά τη διάρκεια μιας κυβερνοασφάλειας Εκδήλωση.

«Ο κόσμος της ασφάλειας αντιμετωπίζει πιθανότητες και αβεβαιότητες – τα βιβλία παιχνιδιού είναι ένας τρόπος για να μειωθεί περαιτέρω η αβεβαιότητα εφαρμόζοντας μια αυστηρή διαδικασία για να ληφθούν προβλέψιμα τελικά αποτελέσματα», λέει ο Josh Blackwelder, αναπληρωτής υπεύθυνος ασφάλειας πληροφοριών στο SentinelOne, προσθέτοντας ότι τα επαναλαμβανόμενα αποτελέσματα απαιτούν αυτοματοποιημένη εφαρμογή playbooks μέσω του SOAR. "Δεν υπάρχει μαγικός τρόπος για να μεταβείτε από αβέβαιες ειδοποιήσεις ασφαλείας σε προβλέψιμα αποτελέσματα χωρίς μια συνεπή και λογική ροή διαδικασίας."

Τα συστήματα SOAR γίνονται όλο και πιο αυτοματοποιημένα, όπως υποδηλώνει το όνομά τους, και η υιοθέτηση μοντέλων AI/ML για την προσθήκη ευφυΐας στα συστήματα είναι ένα φυσικό επόμενο βήμα, σύμφωνα με τους ειδικούς.

Η εταιρεία διαχειριζόμενης ανίχνευσης και απόκρισης Red Canary, για παράδειγμα, χρησιμοποιεί επί του παρόντος την τεχνητή νοημοσύνη για να εντοπίσει μοτίβα και τάσεις που είναι χρήσιμες για τον εντοπισμό και την απόκριση σε απειλές και τη μείωση του γνωστικού φόρτου στους αναλυτές για να τους κάνει πιο αποτελεσματικούς και αποτελεσματικούς. Επιπλέον, τα συστήματα τεχνητής νοημοσύνης που δημιουργούνται μπορούν να διευκολύνουν την επικοινωνία τόσο μιας περίληψης όσο και των τεχνικών λεπτομερειών των περιστατικών στους πελάτες, λέει ο Keith McCammon, επικεφαλής ασφαλείας και συνιδρυτής της Red Canary.

«Δεν χρησιμοποιούμε την τεχνητή νοημοσύνη για να κάνουμε πράγματα όπως η δημιουργία περισσότερων βιβλίων, αλλά τη χρησιμοποιούμε εκτενώς για να κάνουμε την εκτέλεση βιβλίων και άλλων διαδικασιών λειτουργιών ασφαλείας ταχύτερη και πιο αποτελεσματική», λέει.

Τελικά, τα βιβλία αναπαραγωγής μπορεί να αυτοματοποιηθούν πλήρως μέσω νευρωνικών δικτύων βαθιάς μάθησης (DL), έγραψαν οι ερευνητές του BGU και του NEC. «Σκοπεύουμε να επεκτείνουμε τη μέθοδό μας για να υποστηρίξουμε πλήρη αγωγό από άκρο σε άκρο όπου, μόλις ληφθεί μια ειδοποίηση από το σύστημα SOAR, ένα μοντέλο που βασίζεται σε DL χειρίζεται την ειδοποίηση και αναπτύσσει τις κατάλληλες αποκρίσεις αυτόματα — δυναμικά και αυτόνομα δημιουργώντας -the-fly playbooks — και έτσι μειώνεται η επιβάρυνση των αναλυτών ασφαλείας», έγραψαν.

Ωστόσο, το να δίνουμε στα μοντέλα AI/ML τη δυνατότητα να διαχειρίζονται και να ενημερώνουν βιβλία αναπαραγωγής θα πρέπει να γίνεται με προσοχή, ειδικά σε ευαίσθητες ή ελεγχόμενες βιομηχανίες, λέει ο Andrea Fumagalli, ανώτερος διευθυντής ενορχήστρωσης και αυτοματισμού της Sumo Logic. Η εταιρεία διαχείρισης ασφάλειας που βασίζεται σε σύννεφο χρησιμοποιεί μοντέλα που βασίζονται σε AI/ML στην πλατφόρμα της και για την εύρεση και την επισήμανση σημάτων απειλής στα δεδομένα.

«Με βάση πολλαπλές έρευνες που έχουμε πραγματοποιήσει με τους πελάτες μας όλα αυτά τα χρόνια, δεν αισθάνονται άνετα να προσαρμόζονται, να τροποποιούν και να δημιουργούν αυτόνομα βιβλία τεχνητής νοημοσύνης, είτε για λόγους ασφαλείας είτε για συμμόρφωση», λέει. «Οι εταιρικοί πελάτες θέλουν να έχουν τον πλήρη έλεγχο σε ό,τι εφαρμόζεται ως διαδικασίες διαχείρισης συμβάντων και απόκρισης».

Ο αυτοματισμός πρέπει να είναι πλήρως διαφανής και ένας τρόπος για να γίνει αυτό είναι η εμφάνιση όλων των ερωτημάτων και των δεδομένων στους αναλυτές ασφαλείας. "Αυτό επιτρέπει στον χρήστη να ελέγχει τη λογική και τα δεδομένα που επιστρέφονται και να επικυρώνει τα αποτελέσματα πριν προχωρήσει στο επόμενο βήμα", λέει ο Blackwelder της SentinelOne. «Πιστεύουμε ότι αυτή η υποβοηθούμενη από AI προσέγγιση είναι η κατάλληλη ισορροπία μεταξύ των κινδύνων της τεχνητής νοημοσύνης και της ανάγκης για επιτάχυνση της αποτελεσματικότητας ώστε να ταιριάζει με το ταχέως μεταβαλλόμενο τοπίο απειλών».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better