تقویت کتاب‌های بازی واکنش به حادثه با یادگیری ماشینی

هر شرکتی باید یک طرح کلی واکنش به حادثه داشته باشد که یک تیم واکنش به حادثه ایجاد کند، اعضا را تعیین کند و استراتژی آنها را برای واکنش به هر حادثه امنیت سایبری مشخص کند.

با این حال، برای عمل مداوم بر روی این استراتژی، شرکت‌ها به کتاب‌های راهنما نیاز دارند - راهنماهای تاکتیکی که پاسخ‌دهندگان را از طریق تحقیق، تجزیه و تحلیل، مهار، ریشه‌کن کردن و بازیابی حملاتی مانند باج‌افزار، شیوع بدافزار یا به خطر انداختن ایمیل‌های تجاری راهنمایی می‌کند. جان هولنبرگر، مشاور ارشد امنیتی گروه خدمات پیشگیرانه Fortinet، می‌گوید سازمان‌هایی که از یک کتاب بازی برای امنیت پیروی نمی‌کنند، اغلب دچار حوادث جدی‌تر می‌شوند. در نزدیک به 40٪ از حوادث جهانی که Fortinet رسیدگی می کند، فقدان کتاب های بازی کافی یک عامل کمک کننده بود که در وهله اول منجر به نفوذ شد.

هولنبرگر می‌گوید: «اغلب متوجه شده‌ایم که اگرچه شرکت ممکن است ابزارهای مناسب برای شناسایی و پاسخ‌دهی داشته باشد، هیچ فرآیندی یا ناکافی در اطراف ابزارهای گفته شده وجود نداشته است. او می‌گوید حتی با وجود کتاب‌های بازی، تحلیلگران هنوز تصمیم‌های پیچیده‌ای را بر اساس جزئیات مصالحه دارند. او می‌افزاید: «بدون دانش و پیش‌اندیشی یک تحلیل‌گر، ممکن است رویکرد اشتباه اتخاذ شود یا در نهایت مانع از تلاش‌های واکنشی شود.»

جای تعجب نیست که شرکت‌ها و محققان به طور فزاینده‌ای در تلاش هستند تا یادگیری ماشینی و هوش مصنوعی را در کتاب‌های بازی به کار ببرند - مانند دریافت توصیه‌هایی درباره اقداماتی که باید در حین بررسی و پاسخ به یک حادثه انجام دهند. یک شبکه عصبی عمیق را می‌توان برای عملکرد بهتر از طرح‌های مبتنی بر اکتشافی فعلی آموزش داد و مراحل بعدی را به‌طور خودکار بر اساس ویژگی‌های یک حادثه و کتاب‌های بازی که به‌عنوان مجموعه‌ای از مراحل در نمودار نشان داده می‌شوند، توصیه می‌کند. مقاله ای که در اوایل نوامبر منتشر شد توسط گروهی از محققان دانشگاه بن گوریون نقب و غول فناوری NEC.

محققان BGU و NEC استدلال می کنند که مدیریت دستی کتاب های بازی می تواند در دراز مدت غیرقابل دفاع باشد.

محققان در مقاله خود اظهار داشتند: «پس از تعریف، کتاب‌های بازی برای مجموعه‌ای از هشدارها به‌صورت سخت کدگذاری می‌شوند و نسبتاً ثابت و سفت و سخت هستند». این ممکن است در مورد کتاب‌های نمایشی تحقیقی قابل قبول باشد، که ممکن است نیازی به تغییر مکرر نباشد، اما در مورد کتاب‌های پاسخگویی که ممکن است نیاز به تغییر داشته باشند تا با تهدیدهای نوظهور و جدید، قبلاً تغییر کنند، کمتر مطلوب است. هشدارهای دیده نشده.»

واکنش های مناسب به کتاب های بازی نیاز دارد

خودکارسازی تشخیص، بررسی و پاسخ به رویدادها حوزه‌های سازمان‌دهی امنیتی، اتوماسیون و سیستم‌های پاسخ (SOAR) هستند که - از جمله نقش‌های دیگر - به مخزن کتاب‌های بازی تبدیل شده‌اند تا در شرایط مختلفی که شرکت‌ها در طول یک امنیت سایبری با آن مواجه می‌شوند، استفاده کنند. رویداد.

جاش بلک ولدر، معاون مدیر امنیت اطلاعات در SentinelOne می‌گوید: «دنیای امنیت با احتمالات و عدم قطعیت‌ها سر و کار دارد – کتاب‌های بازی راهی برای کاهش عدم قطعیت بیشتر با اعمال یک فرآیند دقیق برای دستیابی به نتایج نهایی قابل پیش‌بینی هستند. کاربرد خودکار کتاب های بازی از طریق SOAR. "هیچ راه جادویی برای رفتن از هشدارهای امنیتی نامشخص به نتایج قابل پیش بینی بدون یک جریان فرآیند منسجم و منطقی وجود ندارد."

سیستم‌های SOAR همانطور که از نامشان پیداست به طور فزاینده‌ای خودکار می‌شوند و به گفته کارشناسان، استفاده از مدل‌های AI/ML برای افزودن هوشمندی به سیستم‌ها، گام بعدی طبیعی است.

به عنوان مثال، شرکت تشخیص و پاسخ مدیریت شده Red Canary، در حال حاضر از هوش مصنوعی برای شناسایی الگوها و روندهایی استفاده می کند که در شناسایی و پاسخ به تهدیدات و کاهش بار شناختی بر روی تحلیلگران مفید هستند تا آنها را کارآمدتر و مؤثرتر کند. کیت مک کامون، افسر ارشد امنیتی و یکی از بنیانگذاران Red Canary، می‌گوید: علاوه بر این، سیستم‌های هوش مصنوعی مولد می‌توانند ارتباط خلاصه و جزئیات فنی حوادث را با مشتریان آسان‌تر کنند.

او می‌گوید: «ما از هوش مصنوعی برای انجام کارهایی مانند ساختن کتاب‌های بازی بیشتر استفاده نمی‌کنیم، اما به طور گسترده از آن برای سریع‌تر و مؤثرتر کردن اجرای کتاب‌های بازی و سایر فرآیندهای عملیات امنیتی استفاده می‌کنیم.

محققان BGU و NEC نوشتند، در نهایت، کتاب‌های بازی ممکن است به طور کامل از طریق شبکه‌های عصبی یادگیری عمیق (DL) خودکار شوند. هدف ما گسترش روش خود برای پشتیبانی از خط لوله کامل سرتاسر است که در آن، به محض دریافت هشدار توسط سیستم SOAR، یک مدل مبتنی بر DL هشدار را کنترل می‌کند و پاسخ‌های مناسب را به صورت خودکار به کار می‌گیرد - به صورت پویا و مستقل ایجاد می‌کند. آنها نوشتند - کتاب‌های بازی - و در نتیجه بار تحلیلگران امنیتی را کاهش می‌دهند.

آندریا فوماگالی، مدیر ارشد ارکستراسیون و اتوماسیون Sumo Logic می‌گوید، با این حال، دادن توانایی مدیریت و به‌روزرسانی کتاب‌های بازی به مدل‌های AI/ML باید با دقت انجام شود، به‌ویژه در صنایع حساس یا تحت نظارت. این شرکت مدیریت امنیت مبتنی بر ابر از مدل‌های مبتنی بر هوش مصنوعی در پلتفرم خود و برای یافتن و برجسته کردن سیگنال‌های تهدید در داده‌ها استفاده می‌کند.

او می‌گوید: «بر اساس نظرسنجی‌های متعددی که در طول سال‌ها با مشتریان خود انجام داده‌ایم، آن‌ها هنوز از داشتن AI برای تطبیق، اصلاح و ایجاد کتاب‌های بازی به‌طور مستقل، چه به دلایل امنیتی و چه برای رعایت، راحت نیستند. «مشتریان سازمانی می‌خواهند بر آنچه که به‌عنوان رویه‌های مدیریت حادثه و واکنش اجرا می‌شود، کنترل کامل داشته باشند».

اتوماسیون باید کاملاً شفاف باشد و یکی از راه‌های انجام آن نشان دادن تمام پرسش‌ها و داده‌ها به تحلیلگران امنیتی است. Blackwelder SentinelOne می‌گوید: «این به کاربر اجازه می‌دهد منطق و داده‌های بازگردانده شده را بررسی کند و نتایج را قبل از رفتن به مرحله بعدی تأیید کند. ما احساس می کنیم این رویکرد به کمک هوش مصنوعی تعادل مناسب بین خطرات هوش مصنوعی و نیاز به سرعت بخشیدن به کارایی برای مطابقت با چشم انداز تهدید که به سرعت در حال تغییر است است.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better