Vahingontilanteisiin reagointiohjeiden parantaminen koneoppimisen avulla

Jokaisella yrityksellä tulee olla yleinen hätätilanteiden torjuntasuunnitelma, jossa perustetaan tapausvastaava tiimi, nimetään jäsenet ja hahmotellaan heidän strategiansa reagoida kyberturvallisuushäiriöihin.

Toimiakseen johdonmukaisesti tämän strategian mukaisesti yritykset tarvitsevat kuitenkin pelikirjoja – taktisia oppaita, jotka ohjaavat vastaajat tutkinnan, analyysin, eristämisen, hävittämisen ja palautumisen läpi hyökkäyksiä, kuten kiristysohjelmia, haittaohjelmien puhkeamista tai yrityssähköpostin vaarantumista varten. Organisaatiot, jotka eivät noudata tietoturvaohjeita, kärsivät usein vakavammista tapauksista, sanoo John Hollenberger, Fortinetin Proactive Services -ryhmän vanhempi tietoturvakonsultti. Lähes 40 prosentissa Fortinetin käsittelemistä maailmanlaajuisista tapauksista riittävien pelikirjojen puute oli myötävaikuttava tekijä, joka johti tunkeutumiseen.

"Olemme usein havainneet, että vaikka yrityksellä saattaa olla oikeat työkalut havaitsemiseen ja reagoimiseen, kyseisten työkalujen ympärillä ei ollut prosesseja tai ne olivat riittämättömiä", Hollenberger sanoo. Hän sanoo, että jopa pelikirjoja käytettäessä analyytikoilla on edelleen monimutkaisia ​​päätöksiä kompromissin yksityiskohtien perusteella. Hän lisää: "Ilman analyytikon tietämystä ja ennakointia voidaan omaksua väärä lähestymistapa tai se voi lopulta haitata vastauspyrkimyksiä."

Ei ole yllättävää, että yritykset ja tutkijat yrittävät yhä useammin soveltaa koneoppimista ja tekoälyä pelikirjoihin – esimerkiksi saada suosituksia siitä, mitä toimenpiteitä on ryhdyttävä tapauksen tutkimiseen ja siihen reagoimiseen. Syvä hermoverkko voidaan kouluttaa toimimaan paremmin kuin nykyiset heuristiikkapohjaiset skeemat, ja se suosittelee automaattisesti seuraavia vaiheita tapahtuman ominaisuuksien ja kaavion vaiheiden sarjana esitettyjen pelikirjojen perusteella. marraskuun alussa julkaistussa artikkelissa Negevin Ben-Gurion-yliopiston ja teknologiajättiläisen NEC:n tutkijoiden ryhmä.

BGU:n ja NEC:n tutkijat väittävät, että pelikirjojen manuaalinen hallinta voi olla kestämätöntä pitkällä aikavälillä.

"Kun pelikirjat on määritelty, ne on koodattu kiinteää hälytyssarjaa varten ja ne ovat melko staattisia ja jäykkiä", tutkijat totesivat artikkelissaan. "Tämä voi olla hyväksyttävää tutkivien pelikirjojen tapauksessa, joita ei välttämättä tarvitse muuttaa usein, mutta se on vähemmän toivottavaa vastausleippikirjojen tapauksessa, joita on ehkä muutettava, jotta ne mukautuisivat uusiin uhkiin ja uusiin, aiemmin näkymättömiä hälytyksiä."

Oikeat reaktiot vaativat pelikirjoja

Tapahtumien havaitsemisen, tutkimisen ja reagoinnin automatisointi ovat tietoturvaorganisaatio-, automaatio- ja vastausjärjestelmien (SOAR) osa-alueita, joista on muun muassa tullut pelikirjojen arkistot, joita voidaan käyttää erilaisissa tilanteissa, joita yritykset kohtaavat kyberturvallisuuden aikana. tapahtuma.

"Turvamaailma käsittelee todennäköisyyksiä ja epävarmuustekijöitä – pelikirjat ovat tapa vähentää epävarmuutta lisää käyttämällä tiukkaa prosessia ennustettavissa olevien lopputulosten saamiseksi", sanoo Josh Blackwelder, SentinelOnen apulaistietoturvajohtaja ja lisää, että toistettavat tulokset edellyttävät leikkikirjojen automaattinen soveltaminen SOAR:n kautta. "Ei ole taianomaista tapaa siirtyä epävarmista tietoturvavaroituksista ennustettaviin tuloksiin ilman johdonmukaista ja loogista prosessikulkua."

SOAR-järjestelmät automatisoituvat yhä enemmän, kuten niiden nimikin kertoo, ja AI/ML-mallien käyttöönotto älykkyyden lisäämiseksi järjestelmiin on asiantuntijoiden mukaan luonnollinen seuraava askel.

Esimerkiksi hallittu tunnistus- ja reagointiyritys Red Canary käyttää tällä hetkellä tekoälyä tunnistaakseen malleja ja trendejä, jotka ovat hyödyllisiä uhkien havaitsemisessa ja niihin vastaamisessa sekä analyytikoiden kognitiivisen kuormituksen vähentämisessä, jotta heistä tulisi tehokkaampia. Lisäksi generatiiviset tekoälyjärjestelmät voivat helpottaa tapahtumien yhteenvedon ja teknisten yksityiskohtien välittämistä asiakkaille, sanoo Keith McCammon, Red Canaryn turvallisuusjohtaja ja toinen perustaja.

"Emme käytä tekoälyä tehdäksemme lisää pelikirjoja, mutta käytämme sitä laajalti nopeuttaaksemme ja tehostaaksemme pelikirjojen ja muiden turvallisuustoimintojen suorittamista", hän sanoo.

Lopulta pelikirjat voidaan täysin automatisoida syvän oppimisen (DL) hermoverkkojen avulla, BGU ja NEC kirjoittivat. "[Pyrimme] laajentamaan menetelmäämme tukemaan täydellistä päästä päähän -putkea, jossa kun SOAR-järjestelmä vastaanottaa hälytyksen, DL-pohjainen malli käsittelee hälytyksen ja ottaa käyttöön asianmukaiset vastaukset automaattisesti – dynaamisesti ja itsenäisesti luoden -the-fly playbooks - ja siten vähentää turvallisuusanalyytikkojen taakkaa", he kirjoittivat.

Silti AI/ML-malleille annettava mahdollisuus hallita ja päivittää pelikirjoja tulee tehdä varoen, etenkin herkillä tai säännellyillä aloilla, sanoo Andrea Fumagalli, Sumo Logicin orkestrointi- ja automaatiojohtaja. Pilvipohjainen tietoturvan hallintayritys käyttää AI/ML-pohjaisia ​​malleja alustassaan sekä uhkasignaalien etsimiseen ja korostamiseen tiedoista.

"Asiakkaidemme kanssa vuosien varrella tekemiemme useiden kyselyjen perusteella he eivät ole vieläkään mielissäni siitä, että tekoäly mukauttaa, muuttaa ja luoda pelikirjoja itsenäisesti joko turvallisuussyistä tai vaatimustenmukaisuuden vuoksi", hän sanoo. "Yritysasiakkaat haluavat hallita täysin sitä, mitä tapahtumien hallinta- ja reagointimenettelyinä käytetään."

Automatisoinnin on oltava täysin läpinäkyvää, ja yksi tapa tehdä se on näyttää kaikki kyselyt ja tiedot tietoturva-analyytikoille. "Tämän avulla käyttäjä voi tarkastaa palautetun logiikan ja tiedot ja vahvistaa tulokset ennen siirtymistä seuraavaan vaiheeseen", sanoo SentinelOne's Blackwelder. "Mielestämme tämä tekoälyn tukema lähestymistapa on sopiva tasapaino tekoälyn riskien ja tarpeen nopeuttaa tehokkuutta vastaamaan nopeasti muuttuvaan uhkakuvaan."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better