Meningkatkan Buku Pedoman Respons Insiden Dengan Pembelajaran Mesin

Setiap perusahaan harus memiliki rencana respons insiden umum yang membentuk tim respons insiden, menunjuk anggotanya, dan menguraikan strategi mereka untuk bereaksi terhadap setiap insiden keamanan siber.

Namun, untuk menjalankan strategi tersebut secara konsisten, perusahaan memerlukan pedoman – panduan taktis yang memandu responden melalui investigasi, analisis, pengendalian, pemberantasan, dan pemulihan serangan seperti ransomware, wabah malware, atau penyusupan email bisnis. Organisasi yang tidak mengikuti pedoman keamanan akan sering mengalami insiden yang lebih serius, kata John Hollenberger, konsultan keamanan senior di grup Layanan Proaktif Fortinet. Dalam hampir 40% insiden global yang ditangani Fortinet, kurangnya pedoman yang memadai merupakan faktor penyebab terjadinya intrusi.

“Sering kali kami menemukan bahwa meskipun perusahaan memiliki alat yang tepat untuk mendeteksi dan merespons, tidak ada, atau tidak memadai, proses seputar alat tersebut,” kata Hollenberger. Bahkan dengan pedoman yang ada, katanya, analis masih harus mengambil keputusan rumit berdasarkan rincian kompromi tersebut. Ia menambahkan, “Tanpa sepengetahuan dan pemikiran awal dari seorang analis, pendekatan yang salah dapat diambil atau pada akhirnya menghambat upaya respons.”

Tidak mengherankan, semakin banyak perusahaan dan peneliti yang mencoba menerapkan pembelajaran mesin dan kecerdasan buatan ke dalam pedoman – seperti mendapatkan rekomendasi tentang langkah-langkah yang harus diambil saat menyelidiki dan merespons suatu insiden. Jaringan saraf dalam dapat dilatih untuk mengungguli skema berbasis heuristik saat ini, merekomendasikan langkah selanjutnya secara otomatis berdasarkan fitur insiden dan pedoman yang direpresentasikan sebagai serangkaian langkah dalam grafik, menurut sebuah makalah yang diterbitkan pada awal November oleh sekelompok peneliti dari Universitas Ben-Gurion Negev dan raksasa teknologi NEC.

Peneliti BGU dan NEC berpendapat bahwa pengelolaan pedoman secara manual tidak dapat dipertahankan dalam jangka panjang.

“Setelah didefinisikan, pedoman akan diberi kode keras untuk serangkaian peringatan tetap dan cukup statis dan kaku,” kata para peneliti dalam makalah mereka. “Hal ini mungkin dapat diterima dalam hal pedoman investigasi, yang mungkin tidak perlu sering diubah, namun kurang diinginkan dalam hal pedoman respons, yang mungkin perlu diubah untuk beradaptasi dengan ancaman yang muncul dan hal-hal baru yang sebelumnya terjadi. peringatan yang tidak terlihat.”

Reaksi yang Tepat Membutuhkan Pedoman

Mengotomatiskan deteksi, investigasi, dan respons terhadap peristiwa merupakan domain dari sistem orkestrasi, otomasi, dan respons keamanan (SOAR), yang — di antara peran lainnya — telah menjadi gudang pedoman untuk digunakan dalam berbagai situasi yang dihadapi perusahaan selama keamanan siber. peristiwa.

“Dunia keamanan berhadapan dengan probabilitas dan ketidakpastian — pedoman adalah cara untuk mengurangi ketidakpastian lebih lanjut dengan menerapkan proses yang ketat untuk mendapatkan hasil akhir yang dapat diprediksi,” kata Josh Blackwelder, wakil kepala petugas keamanan informasi di SentinelOne, seraya menambahkan bahwa hasil yang dapat diulang memerlukan penerapan otomatis buku pedoman melalui SOAR. “Tidak ada cara ajaib untuk beralih dari peringatan keamanan yang tidak pasti ke hasil yang dapat diprediksi tanpa alur proses yang konsisten dan logis.”

Sistem SOAR menjadi semakin otomatis, seperti namanya, dan mengadopsi model AI/ML untuk menambah kecerdasan pada sistem adalah langkah alami berikutnya, menurut para ahli.

Perusahaan deteksi dan respons terkelola Red Canary, misalnya, saat ini menggunakan AI untuk mengidentifikasi pola dan tren yang berguna dalam mendeteksi dan merespons ancaman serta mengurangi beban kognitif pada analis agar lebih efisien dan efektif. Selain itu, sistem AI generatif dapat mempermudah penyampaian ringkasan dan rincian teknis insiden kepada pelanggan, kata Keith McCammon, kepala petugas keamanan dan salah satu pendiri Red Canary.

“Kami tidak menggunakan AI untuk melakukan hal-hal seperti membuat lebih banyak pedoman, namun kami menggunakannya secara luas untuk membuat pelaksanaan pedoman dan proses operasi keamanan lainnya menjadi lebih cepat dan efektif,” katanya.

Pada akhirnya, buku pedoman dapat sepenuhnya diotomatisasi melalui jaringan saraf pembelajaran mendalam (DL), tulis peneliti BGU dan NEC. “[Kami] bertujuan untuk memperluas metode kami untuk mendukung pipeline end-to-end yang lengkap di mana, setelah peringatan diterima oleh sistem SOAR, model berbasis DL akan menangani peringatan tersebut dan menyebarkan respons yang sesuai secara otomatis — dibuat secara dinamis dan mandiri -buku pedoman yang cepat – dan dengan demikian mengurangi beban analis keamanan,” tulis mereka.

Namun memberikan model AI/ML kemampuan untuk mengelola dan memperbarui pedoman harus dilakukan dengan hati-hati, terutama di industri yang sensitif atau teregulasi, kata Andrea Fumagalli, direktur senior orkestrasi dan otomatisasi untuk Sumo Logic. Perusahaan manajemen keamanan berbasis cloud ini menggunakan model berbasis AI/ML dalam platformnya dan untuk menemukan serta menyoroti sinyal ancaman dalam data.

“Berdasarkan beberapa survei yang telah kami lakukan dengan pelanggan kami selama bertahun-tahun, mereka masih merasa tidak nyaman jika AI beradaptasi, mengubah, dan membuat pedoman secara mandiri, baik untuk alasan keamanan atau kepatuhan,” katanya. “Pelanggan perusahaan ingin memiliki kendali penuh atas apa yang diterapkan sebagai manajemen insiden dan prosedur respons.”

Otomatisasi harus sepenuhnya transparan, dan salah satu cara untuk melakukannya adalah dengan menunjukkan semua pertanyaan dan data kepada analis keamanan. “Hal ini memungkinkan pengguna untuk memeriksa kewarasan logika dan data yang dikembalikan dan memvalidasi hasilnya sebelum melanjutkan ke langkah berikutnya,” kata Blackwelder dari SentinelOne. “Kami merasa pendekatan yang didukung AI ini merupakan keseimbangan yang tepat antara risiko AI dan kebutuhan untuk mempercepat efisiensi agar sesuai dengan lanskap ancaman yang berubah dengan cepat.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better