Juhtumitele reageerimise käsiraamatute täiustamine masinõppe abil

Igal ettevõttel peaks olema üldine intsidentidele reageerimise plaan, mis moodustab intsidentidele reageerimise meeskonna, määrab liikmed ja kirjeldab nende strateegiat mis tahes küberjulgeolekuintsidentidele reageerimiseks.

Selle strateegia järjekindlaks tegutsemiseks vajavad ettevõtted aga mänguraamatuid – taktikalisi juhendeid, mis juhendavad reageerijaid läbi uurimise, analüüsi, ohjeldamise, likvideerimise ja taastamise selliste rünnakute puhul nagu lunavara, pahavarapuhang või ärimeili rikkumine. Organisatsioonid, kes ei järgi turvalisuse juhendit, kannatavad sageli tõsisemate vahejuhtumite all, ütleb Fortineti proaktiivsete teenuste rühma vanemturbekonsultant John Hollenberger. Peaaegu 40% Fortinetiga tegeletud ülemaailmsetest juhtumitest oli piisavate mänguraamatute puudumine kaasaaitavaks teguriks, mis viis sissetungini.

"Oleme üsna sageli avastanud, et kuigi ettevõttel võivad olla õiged tööriistad tuvastamiseks ja reageerimiseks, ei olnud nende tööriistade ümber protsesse või need olid ebapiisavad, " ütleb Hollenberger. Ta ütleb, et isegi mänguraamatute puhul on analüütikutel kompromissi üksikasjade põhjal siiski keerukaid otsuseid teha. Ta lisab: "Ilma analüütiku teadmiste ja ettenägelikkuseta võidakse valida vale lähenemisviis või see võib lõpuks takistada reageerimispüüdlusi."

Pole üllatav, et ettevõtted ja teadlased püüavad üha enam rakendada masinõpet ja tehisintellekti mänguraamatutes – näiteks saada soovitusi selle kohta, milliseid meetmeid võtta juhtumi uurimisel ja sellele reageerimisel. Sügavat närvivõrku saab treenida ületama praeguseid heuristilistel skeemidel põhinevaid skeeme, soovitades automaatselt järgmisi samme, mis põhinevad juhtumi omadustel ja graafikul sammude seeriana esitatud juhendites. novembri alguses avaldatud artikkel Negevi Ben-Gurioni ülikooli ja tehnoloogiahiiglase NEC teadlaste rühm.

BGU ja NEC teadlased väidavad, et käsiraamatute haldamine võib pikas perspektiivis olla vastuvõetamatu.

"Kui mänguraamatud on määratletud, on need kindlate hoiatusteadete jaoks kõvasti kodeeritud ning need on üsna staatilised ja jäigad," märkisid teadlased oma artiklis. "See võib olla vastuvõetav uurivate mänguraamatute puhul, mida ei pruugi vaja sageli muuta, kuid see on vähem soovitav reageerimisjuhendite puhul, mida võib olla vaja muuta, et kohaneda esilekerkivate ohtude ja uudsete, varem nähtamatud hoiatused."

Õiged reaktsioonid nõuavad mänguraamatuid

Sündmuste tuvastamise, uurimise ja neile reageerimise automatiseerimine on turbekorraldus-, automatiseerimis- ja reageerimissüsteemide (SOAR) valdkond, millest on muude rollide hulgas saanud mänguraamatute hoidlad, mida kasutatakse erinevates olukordades, millega ettevõtted küberjulgeoleku ajal kokku puutuvad. sündmus.

"Turvamaailm tegeleb tõenäosuste ja ebakindlusega – mänguraamatud on viis edasise ebakindluse vähendamiseks, rakendades prognoositavate lõpptulemuste saavutamiseks ranget protsessi," ütleb SentinelOne'i infoturbe juhi asetäitja Josh Blackwelder, lisades, et korduvad tulemused nõuavad mänguraamatute automatiseeritud rakendamine SOARi kaudu. "Ilma järjepideva ja loogilise protsessi vooluta pole maagilist viisi, kuidas ebakindlatest turvahoiatustest prognoositavate tulemusteni jõuda."

SOAR-süsteemid muutuvad järjest automatiseeritumaks, nagu nende nimigi ütleb, ja ekspertide sõnul on AI/ML-mudelite kasutuselevõtt süsteemidele intelligentsuse lisamiseks loomulik järgmine samm.

Näiteks hallatav avastamis- ja reageerimisettevõte Red Canary kasutab praegu tehisintellekti, et tuvastada mustreid ja suundumusi, mis on kasulikud ohtude tuvastamisel ja neile reageerimisel ning analüütikute kognitiivse koormuse vähendamisel, et muuta need tõhusamaks ja tulemuslikumaks. Lisaks võivad generatiivsed AI-süsteemid hõlbustada klientidega juhtumite kokkuvõtete ja tehniliste üksikasjade edastamist, ütleb Keith McCammon, Red Canary turvajuht ja kaasasutaja.

"Me ei kasuta tehisintellekti selleks, et teha näiteks rohkem mänguraamatuid, kuid kasutame seda laialdaselt, et muuta käsiraamatute ja muude turvatoimingute täitmine kiiremaks ja tõhusamaks," ütleb ta.

BGU ja NEC teadlased kirjutasid lõpuks, et mänguraamatud võivad olla sügava õppimise (DL) närvivõrkude kaudu täielikult automatiseeritud. „[Meie eesmärk on laiendada oma meetodit, et toetada täielikku otsast lõpuni torujuhet, kus pärast hoiatuse saamist SOAR-süsteemiga tegeleb DL-põhine mudel hoiatusega ja võtab asjakohased vastused automaatselt kasutusele – luues dünaamiliselt ja autonoomselt -the-fly mänguraamatud - ja seega vähendades turbeanalüütikute koormust," kirjutasid nad.

Kuid tehisintellekti/ML-mudelitele mänguraamatute haldamise ja värskendamise võimaluse andmine peaks olema ettevaatlik, eriti tundlikes või reguleeritud tööstusharudes, ütleb Andrea Fumagalli, Sumo Logici orkestratsiooni ja automatiseerimise vanemdirektor. Pilvepõhine turbehaldusettevõte kasutab oma platvormil ning andmetes ohusignaalide leidmiseks ja esiletõstmiseks AI/ML-põhiseid mudeleid.

„Tuginedes mitmetele küsitlustele, mida oleme oma klientidega aastate jooksul läbi viinud, ei tunne nad end veel mugavalt tehisintellektiga kohandamise, muutmise ja mänguraamatute iseseisva loomisega, kas turvakaalutlustel või vastavuse tagamiseks,“ ütleb ta. "Ettevõtlikud kliendid soovivad omada täielikku kontrolli selle üle, mida intsidentide haldamise ja reageerimise protseduuridena rakendatakse."

Automatiseerimine peab olema täielikult läbipaistev ja üks võimalus seda teha on kõigi päringute ja andmete näitamine turbeanalüütikutele. "See võimaldab kasutajal mõistusega kontrollida tagastatavat loogikat ja andmeid ning kinnitada tulemused enne järgmise sammu juurde liikumist," ütleb SentinelOne'i Blackwelder. "Meie arvates on see tehisintellektiga toetatud lähenemine sobiv tasakaal tehisintellektiga kaasnevate riskide ja vajaduse vahel suurendada tõhusust, et see vastaks kiiresti muutuvale ohumaastikule."

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better