Az emberek jól megérdemelt hírneve, hogy a leggyengébb láncszem a kiberbiztonságban bármilyen méretű szervezetnél. Legyen szó egy IT-szakértőről, aki rosszul konfigurálja a tűzfalbeállítást, egy DevOps-mérnökről, aki nem védi meg a felhőalapú tárhelyet, vagy egy szerencsétlen üzleti felhasználóról van szó, aki beleesik egy adathalász csalásba, a kiberbiztonsági incidensek túlnyomó többségét elsősorban emberi hiba okozza, amely kihasználható sebezhetőséget okoz. Ennek eredményeként számos elkerülhető gyengeségre törekednek a bűnözői opportunisták, akiket a kereskedelem olcsó, bőséges kiberbűnözési eszközei tesznek lehetővé.
Szerencsére a biztonsági műveleti központban (SOC) dolgozó emberek, a kibervédelem frontvonalán dolgozó Tier 1 és Tier 2 elemzők a legerősebb láncszem a kiberbiztonsági műveletekben. Folyamatosan kell tartani őket, ideális esetben nagyobb értékű feladatokat hajtanak végre, mintha „szemet az üvegen” tartanának a biztonsági telemetria áttekintése érdekében.
Eszközök az emberek segítésére, nem helyettesítésére
Az a helyes megközelítés, ha a technológiát szeretnénk a technológia biztonságosabbá tételében. A kiszolgálók, webalkalmazások, végpontok, hálózati eszközök és biztonsági intézkedések egy vállalat digitális környezetében hatalmas mennyiségű biztonsági telemetriát és riasztást állítanak elő, amelyeket figyelni és elemezni kell, de a legtöbb jóindulatúnak bizonyul.
Az értelmes riasztások azonosítása nagy mennyiségű eseményfolyamban a tökéletes munka a korrelációs szabályokhoz és felügyelet nélkül gépi tanulás (ML) algoritmusok, amelyek ötvözik az emberi tudást és a fenyegetésekkel kapcsolatos intelligenciát a folyamatos tanulással és fejlesztéssel. A gépek képesek kezelni a nagy mennyiségű eseménynaplók és riasztások kezdeti szűréséhez szükséges sebességet és léptéket. Ezenkívül az algoritmusok nem fáradnak el, nem veszítenek el figyelmet, nem mennek nyaralni, vagy nem hívnak beteget.
Az SOC műveletek ezen aspektusának automatizálása lehetővé teszi ezeket AI-alapú eszközök elvégezni azt a fárasztó munkát, hogy kiszűrjük a hamis pozitívakat, és valós időben korreláljuk és jelenítsük meg a valós riasztásokat. Az automatizálás egy lépéssel tovább is léphet, a játékfüzetekben lévő szabályok alkalmazásával gazdagítja a riasztásokat a kontextussal (melyik gép vagy felhasználó, mi történt, mikor), gyanús tevékenységeket tartalmazhat a hálózatban, és jól meghatározott használati esetekben automatikus választ válthat ki.
Ennek eredményeként a riasztások mennyisége 10-szeres vagy nagyobb szorzóval csökkenhet, napi 10,000 1,000-ről 50-re vagy kevesebbre. Ezzel a zajcsökkentéssel akár XNUMX%-ot takaríthat meg a szakértő SOC munkaerő, drámaian növelve az SOC hatékonyságát és hatékonyságát.
Az emberek azok, akik akció közben elkapják a kiberbűnözőket
Ez a fajta automatizálás felszabadítja a szakértő elemzőket, hogy tapasztalataikat, készségeiket, intuíciójukat és problémamegoldásukat használhassák a környezetében tevékenykedő kiberbűnözők utáni vadászatra. Az automatizálás a SOC fiatal elemzőit táplálja, akik az eredményeket az emberi intelligencia felhasználásával a minták felismerésében, az anomáliák kiértékelésében és a kiküszöbölésben értékelik. hamis pozitív, valamint a további emberi értékelést igénylő riasztások azonosítása.
Például John in HR rendszerint két adatbázishoz fér hozzá normál munkaidőben. Riasztás érkezik, hogy John egy szombaton hozzáfért egy harmadik adatbázishoz. Csak egy ember tudja eldönteni, hogy ez az új viselkedés rendellenes, de nem fenyegető-e. Miután a SOC elemzője értesíti az informatikai osztályt a váratlan adatbázis-tevékenységről, az IT megerősíti, hogy John ideiglenes hozzáférést kapott a további, HR-hez kapcsolódó adatokhoz.
Az SOC junior elemzői által végzett osztályozást követően a magas prioritású riasztásokat továbbítják az SOC vezető elemzőinek. Ezeknek a képzett biztonsági szakembereknek a feladata a riasztások kivizsgálása és a támadás helyének, a támadás mögött álló kiberbűnöző csoportok, az általuk használt módszerek, az oldalirányú mozgás megfigyelése és a támadók tartózkodási idejének azonosítása. Az SOC szakértői stratégiákat is javasolnak a mérséklésre és a felszámolásra.
Az emberek a legfontosabbak a különböző rendszereken, alkalmazásokon és hozzáférési módszereken átívelő támadások azonosításához. Képzett emberek fedezték fel új tevékenység a Hafnium részéről. A nemzetállami kiberbűnözők a Microsoft Exchange szerverek sebezhetőségeit kihasználva e-maileket loptak, hálózatokat veszélyeztettek, és oldalirányban mozogtak az érintett szervezetekben. Ezek a betörések a felfedezések előtt három hónapig zajlottak a Microsoft jóváírja a Volexity és a Dubex biztonsági cégek kutatóinak.
Kulcs elvezetések
Bármilyen méretű szervezetek, de különösen a közép- és nagyobb vállalkozások profitálhatnak abból, ha SOC-jaik mesterséges intelligenciát, felügyelet nélküli ML-t és automatizálást alkalmaznak, hogy eltávolítsák az első szintű eseménynapló-szűrés terhét a junior elemzőkről, és olyan intelligenciát biztosítsanak, amelyet a vezető elemzők felhasználhatnak vizsgálatok. Az ilyen automatizálás szükséges a biztonsági telemetria folyamatosan növekvő mennyiségének, sebességének és változatosságának kezeléséhez. Ez azonban nem küszöbölheti ki a szakértő humán elemző szükségességét.
Az SOC elemzőinek nem kell aggódniuk a munkahely biztonsága miatt az ML és az automatizálás mellett. Inkább üdvözölniük kell az automatizálás által biztosított megnövekedett termelékenységet és szabadságot, amellyel intelligenciájukat és kreativitásukat olyan magasabb értékű tevékenységekre használhatják fel, mint a kutatás, a fenyegetéselemzés, a kárelhárítás és a fenyegetésvadászat.
