Verbeter de draaiboeken voor incidentrespons met machinaal leren

Elk bedrijf zou een algemeen incidentresponsplan moeten hebben waarin een incidentresponsteam wordt opgericht, de leden worden aangewezen en hun strategie wordt uiteengezet voor het reageren op elk cyberveiligheidsincident.

Om deze strategie consistent uit te voeren, hebben bedrijven echter draaiboeken nodig: tactische handleidingen die hulpverleners begeleiden bij onderzoek, analyse, beheersing, uitroeiing en herstel van aanvallen zoals ransomware, een malware-uitbraak of zakelijke e-mailcompromis. Organisaties die zich niet aan een draaiboek op het gebied van beveiliging houden, zullen vaak te maken krijgen met ernstiger incidenten, zegt John Hollenberger, senior security consultant bij de Proactive Services-groep van Fortinet. Bij bijna 40% van de wereldwijde incidenten die Fortinet afhandelt, was het gebrek aan adequate draaiboeken een factor die in de eerste plaats tot de inbraak heeft geleid.

“Heel vaak hebben we ontdekt dat het bedrijf weliswaar over de juiste tools beschikt om te detecteren en erop te reageren, maar dat er geen of ontoereikende processen rondom deze tools bestonden”, zegt Hollenberger. Zelfs met draaiboeken, zegt hij, moeten analisten nog steeds complexe beslissingen nemen op basis van de details van het compromis. Hij voegt eraan toe: “Zonder kennis en vooruitziendheid van een analist kan de verkeerde aanpak worden gekozen of uiteindelijk de responsinspanningen worden belemmerd.”

Het is niet verwonderlijk dat bedrijven en onderzoekers steeds vaker machine learning en kunstmatige intelligentie proberen toe te passen op draaiboeken, zoals het verkrijgen van aanbevelingen over welke stappen ze moeten nemen bij het onderzoeken van en reageren op een incident. Een diep neuraal netwerk kan worden getraind om beter te presteren dan de huidige op heuristieken gebaseerde schema’s, waarbij automatisch volgende stappen worden aanbevolen op basis van de kenmerken van een incident en draaiboeken die worden weergegeven als een reeks stappen in een grafiek, aldus een artikel dat begin november werd gepubliceerd door een groep onderzoekers van de Ben-Gurion Universiteit van de Negev en technologiegigant NEC.

De BGU- en NEC-onderzoekers beweren dat het handmatig beheren van draaiboeken op de lange termijn onhoudbaar kan zijn.

“Eenmaal gedefinieerd, zijn draaiboeken hardgecodeerd voor een vaste reeks waarschuwingen en zijn ze tamelijk statisch en rigide”, aldus de onderzoekers in hun artikel. “Dit kan acceptabel zijn in het geval van onderzoeksdraaiboeken, die misschien niet vaak hoeven te worden gewijzigd, maar het is minder wenselijk in het geval van responsdraaiboeken, die mogelijk moeten worden gewijzigd om zich aan te passen aan opkomende dreigingen en nieuwe, voorheen onzichtbare waarschuwingen.”

Voor juiste reacties zijn draaiboeken nodig

Het automatiseren van de detectie, het onderzoek en de reactie op gebeurtenissen zijn de domeinen van SOAR-systemen (Security Orchestration, Automation, and Response), die – naast andere rollen – de bewaarplaatsen zijn geworden van draaiboeken die kunnen worden gebruikt in de verscheidenheid aan omstandigheden waarmee bedrijven worden geconfronteerd tijdens een cyberbeveiligingscrisis. evenement.

“De wereld van de beveiliging heeft te maken met waarschijnlijkheden en onzekerheden – draaiboeken zijn een manier om verdere onzekerheid te verminderen door een rigoureus proces toe te passen om voorspelbare eindresultaten te verkrijgen”, zegt Josh Blackwelder, plaatsvervangend hoofd informatiebeveiliging bij SentinelOne, eraan toevoegend dat herhaalbare resultaten de geautomatiseerde toepassing van draaiboeken via SOAR. “Er is geen magische manier om van onzekere beveiligingswaarschuwingen naar voorspelbare resultaten te gaan zonder een consistente en logische processtroom.”

SOAR-systemen worden steeds meer geautomatiseerd, zoals hun naam doet vermoeden, en het adopteren van AI/ML-modellen om intelligentie aan de systemen toe te voegen is volgens experts een logische volgende stap.

Het beheerde detectie- en responsbedrijf Red Canary maakt momenteel bijvoorbeeld gebruik van AI om patronen en trends te identificeren die nuttig zijn bij het detecteren van en reageren op bedreigingen en het verminderen van de cognitieve belasting van analisten om ze efficiënter en effectiever te maken. Bovendien kunnen generatieve AI-systemen het gemakkelijker maken om zowel een samenvatting als de technische details van incidenten aan klanten te communiceren, zegt Keith McCammon, chief security officer en mede-oprichter van Red Canary.

“We gebruiken AI niet om bijvoorbeeld meer draaiboeken te maken, maar we gebruiken het wel op grote schaal om de uitvoering van draaiboeken en andere beveiligingsprocessen sneller en effectiever te maken”, zegt hij.

Uiteindelijk kunnen playbooks volledig geautomatiseerd worden via deep learning (DL) neurale netwerken, schreven de BGU- en NEC-onderzoekers. “[W]e streven ernaar onze methode uit te breiden om de volledige end-to-end pijplijn te ondersteunen, waarbij, zodra een waarschuwing door het SOAR-systeem wordt ontvangen, een op DL gebaseerd model de waarschuwing afhandelt en automatisch de juiste reacties inzet – dynamisch en autonoom creërend op -the-fly playbooks – en daarmee de last voor beveiligingsanalisten verminderen”, schreven ze.

Toch moet het met zorg worden gedaan om AI/ML-modellen de mogelijkheid te geven om playbooks te beheren en bij te werken, vooral in gevoelige of gereguleerde sectoren, zegt Andrea Fumagalli, senior directeur orkestratie en automatisering bij Sumo Logic. Het cloudgebaseerde beveiligingsbeheerbedrijf gebruikt AI/ML-gestuurde modellen in zijn platform en voor het vinden en benadrukken van bedreigingssignalen in de gegevens.

“Op basis van meerdere onderzoeken die we door de jaren heen onder onze klanten hebben uitgevoerd, voelen ze zich nog niet op hun gemak als AI draaiboeken autonoom aanpast, aanpast en maakt, hetzij om veiligheidsredenen, hetzij om te voldoen aan de regelgeving”, zegt hij. “Enterprise klanten willen volledige controle hebben over wat er wordt geïmplementeerd als incidentbeheer- en responsprocedures.”

Automatisering moet volledig transparant zijn, en een manier om dat te doen is door alle vragen en gegevens aan de beveiligingsanalisten te tonen. “Hierdoor kan de gebruiker de logica en gegevens die worden geretourneerd, controleren en de resultaten valideren voordat hij naar de volgende stap gaat”, zegt Blackwelder van SentinelOne. “Wij zijn van mening dat deze door AI ondersteunde aanpak de juiste balans is tussen de risico’s van AI en de noodzaak om de efficiëntie te versnellen om tegemoet te komen aan het snel veranderende dreigingslandschap.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better