Ogni azienda dovrebbe avere un piano generale di risposta agli incidenti che istituisca un team di risposta agli incidenti, designi i membri e delinei la loro strategia per reagire a qualsiasi incidente di sicurezza informatica.
Per agire in modo coerente secondo tale strategia, tuttavia, le aziende hanno bisogno di playbook: guide tattiche che guidano gli operatori attraverso l'indagine, l'analisi, il contenimento, l'eradicazione e il ripristino per attacchi come ransomware, epidemia di malware o compromissione della posta elettronica aziendale. Le organizzazioni che non seguono un piano di sicurezza spesso subiranno incidenti più gravi, afferma John Hollenberger, consulente senior per la sicurezza del gruppo Proactive Services di Fortinet. In quasi il 40% degli incidenti globali gestiti da Fortinet, la mancanza di playbook adeguati è stato un fattore che ha contribuito in primo luogo all’intrusione.
"Molto spesso abbiamo riscontrato che, sebbene l'azienda possa disporre degli strumenti giusti per rilevare e rispondere, i processi relativi a tali strumenti non erano presenti o erano inadeguati", afferma Hollenberger. Anche con i playbook, dice, gli analisti devono ancora prendere decisioni complesse sulla base dei dettagli del compromesso. Aggiunge: “Senza la conoscenza e la lungimiranza di un analista, è possibile adottare l’approccio sbagliato o, in ultima analisi, ostacolare gli sforzi di risposta”.
Non sorprende che aziende e ricercatori cerchino sempre più di applicare l’apprendimento automatico e l’intelligenza artificiale ai manuali, ad esempio ottenendo consigli su quali misure adottare durante le indagini e la risposta a un incidente. Una rete neurale profonda può essere addestrata per superare gli attuali schemi basati sull'euristica, suggerendo automaticamente i passaggi successivi in base alle caratteristiche di un incidente e rappresentando i playbook come una serie di passaggi in un grafico, secondo un articolo pubblicato all'inizio di novembre da un gruppo di ricercatori dell’Università Ben-Gurion del Negev e del colosso tecnologico NEC.
I ricercatori di BGU e NEC sostengono che la gestione manuale dei playbook può essere insostenibile a lungo termine.
"Una volta definiti, i playbook sono codificati per una serie fissa di avvisi e sono abbastanza statici e rigidi", hanno affermato i ricercatori nel loro articolo. “Ciò può essere accettabile nel caso dei playbook investigativi, che potrebbero non aver bisogno di essere modificati frequentemente, ma è meno auspicabile nel caso dei playbook di risposta, che potrebbe dover essere modificato per adattarsi alle minacce emergenti e alle novità, precedentemente avvisi invisibili."
Le reazioni corrette richiedono playbook
L'automazione del rilevamento, dell'indagine e della risposta agli eventi sono gli ambiti dei sistemi SOAR (Security Orchestration, Automation and Response), che, tra gli altri ruoli, sono diventati archivi di istruzioni da utilizzare nella varietà di circostanze che le aziende devono affrontare durante un'indagine di sicurezza informatica. evento.
"Il mondo della sicurezza ha a che fare con probabilità e incertezze: i playbook sono un modo per ridurre ulteriore incertezza applicando un processo rigoroso per ottenere risultati finali prevedibili", afferma Josh Blackwelder, vice capo responsabile della sicurezza informatica di SentinelOne, aggiungendo che risultati ripetibili richiedono la applicazione automatizzata di playbook tramite SOAR. "Non esiste un modo magico per passare da avvisi di sicurezza incerti a risultati prevedibili senza un flusso di processo coerente e logico."
I sistemi SOAR stanno diventando sempre più automatizzati, come suggerisce il nome, e l’adozione di modelli AI/ML per aggiungere intelligenza ai sistemi è un passo successivo naturale, secondo gli esperti.
La società di rilevamento e risposta gestita Red Canary, ad esempio, attualmente utilizza l’intelligenza artificiale per identificare modelli e tendenze utili per rilevare e rispondere alle minacce e ridurre il carico cognitivo sugli analisti per renderli più efficienti ed efficaci. Inoltre, i sistemi di intelligenza artificiale generativa possono facilitare la comunicazione ai clienti sia di un riepilogo che dei dettagli tecnici degli incidenti, afferma Keith McCammon, responsabile della sicurezza e co-fondatore di Red Canary.
"Non utilizziamo l'intelligenza artificiale per fare cose come creare più playbook, ma la stiamo utilizzando ampiamente per rendere l'esecuzione di playbook e altri processi operativi di sicurezza più rapida ed efficace", afferma.
Alla fine, i playbook potrebbero essere completamente automatizzati attraverso reti neurali di deep learning (DL), hanno scritto i ricercatori di BGU e NEC. "Il nostro obiettivo è estendere il nostro metodo per supportare una pipeline completa end-to-end in cui, una volta ricevuto un avviso dal sistema SOAR, un modello basato su DL gestisce l'avviso e distribuisce automaticamente le risposte appropriate, creando dinamicamente e autonomamente su playbook al volo, riducendo così l’onere per gli analisti della sicurezza”, hanno scritto.
Tuttavia, dare ai modelli AI/ML la capacità di gestire e aggiornare i playbook dovrebbe essere fatto con cura, soprattutto nei settori sensibili o regolamentati, afferma Andrea Fumagalli, direttore senior di orchestrazione e automazione per Sumo Logic. L'azienda di gestione della sicurezza basata sul cloud utilizza modelli basati su AI/ML nella sua piattaforma e per individuare ed evidenziare segnali di minaccia nei dati.
"Sulla base di numerosi sondaggi che abbiamo condotto con i nostri clienti nel corso degli anni, non si sentono a proprio agio nel fatto che l'intelligenza artificiale si adatti, modifichi e crei playbook in modo autonomo, sia per motivi di sicurezza che di conformità", afferma. “I clienti aziendali desiderano avere il pieno controllo su ciò che viene implementato come procedure di gestione e risposta agli incidenti”.
L’automazione deve essere completamente trasparente e un modo per farlo è mostrare tutte le query e i dati agli analisti della sicurezza. "Ciò consente all'utente di verificare l'integrità della logica e dei dati restituiti e di convalidare i risultati prima di passare alla fase successiva", afferma Blackwelder di SentinelOne. “Riteniamo che questo approccio assistito dall’intelligenza artificiale rappresenti il giusto equilibrio tra i rischi dell’intelligenza artificiale e la necessità di accelerare l’efficienza per far fronte al panorama delle minacce in rapida evoluzione”.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better
- :È
- :non
- :Dove
- 7
- a
- capacità
- accelerare
- accettabile
- Secondo
- Legge
- adattare
- adattamento
- aggiungere
- l'aggiunta di
- aggiunta
- Aggiunge
- Adottando
- AI
- Sistemi di intelligenza artificiale
- AI / ML
- puntare
- Mettere in guardia
- Avvisi
- Tutti
- consente
- tra
- an
- .
- analista
- Gli analisti
- ed
- in qualsiasi
- Applicazioni
- APPLICA
- AMMISSIONE
- approccio
- opportuno
- SONO
- discutere
- in giro
- artificiale
- intelligenza artificiale
- AS
- At
- attacchi
- Automatizzata
- automaticamente
- Automazione
- autonomamente
- Equilibrio
- basato
- BE
- diventare
- diventando
- prima
- Università Ben Gurion
- fra
- entrambi
- onere
- affari
- compromissione della posta elettronica aziendale
- ma
- by
- Materiale
- che
- Custodie
- cambiato
- cambiando
- capo
- responsabile della sicurezza delle informazioni
- condizioni
- Co-fondatore
- conoscitivo
- confortevole
- Comunicazione
- Aziende
- azienda
- completamento di una
- complesso
- conformità
- compromesso
- condotto
- coerente
- costantemente
- consulente
- Contenimento
- contribuendo
- di controllo
- Creazione
- Corrente
- Attualmente
- Clienti
- Cybersecurity
- dati
- trattare
- decisioni
- deep
- apprendimento profondo
- definito
- Distribuisce
- vice
- dettagli
- individuare
- rivelazione
- Direttore
- do
- domini
- don
- fatto
- durante
- dinamicamente
- Presto
- più facile
- Efficace
- efficienze
- efficiente
- sforzi
- o
- emergenti del mondo
- da un capo all'altro
- migliorando
- Impresa
- particolarmente
- stabilisce
- Anche
- Evento
- eventi
- esempio
- esecuzione
- esperti
- estendendo
- descrive
- Faccia
- fattore
- abbastanza
- più veloce
- Caratteristiche
- sentire
- finale
- ricerca
- Impresa
- Aziende
- Nome
- fisso
- flusso
- seguire
- Nel
- Fortinet
- essere trovato
- frequentemente
- da
- pieno
- completamente
- ulteriormente
- Guadagno
- Generale
- generativo
- AI generativa
- ottenere
- gigante
- Dare
- globali
- Go
- grafico
- Gruppo
- Guide
- Maniglie
- Avere
- avendo
- he
- mettendo in evidenza
- ostacolare
- Tuttavia
- HTTPS
- identificare
- implementato
- in
- incidente
- risposta agli incidenti
- sempre più
- industrie
- informazioni
- informazioni di sicurezza
- Intelligence
- indagando
- indagine
- investigativo
- IT
- SUO
- John
- jpg
- keith
- conoscenze
- Dipingere
- paesaggio
- apprendimento
- Guidato
- meno
- piace
- caricare
- logica
- logico
- Lunghi
- macchina
- machine learning
- make
- il malware
- gestire
- gestione
- gestione
- manualmente
- partita
- Maggio..
- Utenti
- metodo
- modello
- modelli
- Scopri di più
- più efficiente
- in movimento
- multiplo
- Nome
- Naturale
- quasi
- Bisogno
- esigenze
- Rete
- reti
- neurale
- rete neurale
- reti neurali
- GENERAZIONE
- no
- romanzo
- of
- Responsabile
- di frequente
- on
- una volta
- ONE
- Operazioni
- or
- orchestrazione
- minimo
- organizzazioni
- Altro
- nostro
- scoppio
- risultati
- lineamenti
- Outperform
- ancora
- Carta
- modelli
- conduttura
- posto
- piano
- piattaforma
- Platone
- Platone Data Intelligence
- PlatoneDati
- Prevedibile
- in precedenza
- Proactive
- procedure
- processi
- i processi
- pubblicato
- query
- abbastanza
- ransomware
- rapidamente
- reazioni
- motivi
- ricevuto
- raccomandazioni
- raccomandando
- recupero
- Rosso
- ridurre
- riducendo
- regolamentati
- industrie regolamentate
- ripetibile
- rappresentato
- richiedere
- richiede
- ricercatori
- Rispondere
- risponde
- risposta
- risposte
- Risultati
- destra
- rigido
- rigoroso
- rischi
- ruoli
- Correre
- s
- Suddetto
- dice
- schemi
- problemi di
- anziano
- delicata
- Serie
- grave
- Servizi
- set
- dovrebbero
- Segnali
- volare
- ha dichiarato
- statico
- step
- Passi
- Ancora
- Strategia
- tale
- suggerisce
- SOMMARIO
- supporto
- sistema
- SISTEMI DI TRATTAMENTO
- Fai
- preso
- team
- Consulenza
- Tecnologia
- che
- Il
- il mondo
- loro
- Li
- Là.
- di
- cose
- questo
- minaccia
- minacce
- Attraverso
- così
- a
- strumenti
- allenato
- trasparente
- tendenze
- cerca
- in definitiva
- Incerto
- incertezze
- Incertezza
- Università
- Aggiornanento
- uso
- Utente
- usa
- utilizzando
- CONVALIDARE
- varietà
- Ve
- W
- camminare
- volere
- Prima
- Modo..
- we
- Che
- Che cosa è l'
- quale
- while
- volere
- con
- senza
- mondo
- Wrong
- ha scritto
- anni
- ancora
- zefiro
