Hvert selskap bør ha en generell hendelsesresponsplan som etablerer et hendelsesresponsteam, utpeker medlemmene og skisserer deres strategi for å reagere på enhver cybersikkerhetshendelse.
For å konsekvent handle i henhold til denne strategien, trenger imidlertid selskaper playbooks - taktiske guider som leder respondere gjennom etterforskning, analyser, inneslutning, utryddelse og gjenoppretting for angrep som løsepengeprogramvare, et utbrudd av skadelig programvare eller kompromittering av e-post. Organisasjoner som ikke følger en håndbok for sikkerhet vil ofte lide av mer alvorlige hendelser, sier John Hollenberger, senior sikkerhetskonsulent i Fortinets Proactive Services-gruppe. I nesten 40 % av de globale hendelsene Fortinet håndterer, var mangelen på tilstrekkelige spillebøker en medvirkende årsak som førte til inntrengningen i utgangspunktet.
"Ganske ofte har vi funnet ut at selv om selskapet kan ha de riktige verktøyene for å oppdage og svare, var det ingen, eller utilstrekkelige, prosesser rundt nevnte verktøy," sier Hollenberger. Selv med playbooks, sier han, har analytikere fortsatt komplekse beslutninger å ta basert på detaljene i kompromisset. Han legger til: "Uten kunnskap og omtanke fra en analytiker, kan feil tilnærming bli tatt eller til slutt hindre responsinnsats."
Ikke overraskende prøver bedrifter og forskere i økende grad å bruke maskinlæring og kunstig intelligens på lekebøker – for eksempel å få anbefalinger om hvilke skritt de skal ta mens de undersøker og reagerer på en hendelse. Et dypt nevralt nettverk kan trenes opp til å utkonkurrere gjeldende heuristisk-baserte skjemaer, ved å anbefale neste trinn automatisk basert på funksjonene til en hendelse og playbooks representert som en serie trinn i en graf, iht. en artikkel publisert i begynnelsen av november av en gruppe forskere fra Ben-Gurion University of the Negev og teknologigiganten NEC.
BGU- og NEC-forskerne hevder at manuell administrasjon av spillebøker kan være uholdbar i det lange løp.
"Når de er definert, er playbooks hardkodet for et fast sett med varsler og er ganske statiske og stive," uttalte forskerne i papiret deres. "Dette kan være akseptabelt i tilfelle av undersøkende lekebøker, som kanskje ikke trenger å endres ofte, men det er mindre ønskelig i tilfelle av svarspillebøker, som kanskje må endres for å tilpasse seg nye trusler og romaner, tidligere usynlige varsler."
Riktige reaksjoner krever Playbooks
Automatisering av deteksjon, etterforskning og respons på hendelser er domenene for sikkerhetsorkestrerings-, automatiserings- og responssystemer (SOAR), som – blant andre roller – har blitt lagrene for playbooks som kan brukes i de forskjellige omstendighetene bedrifter står overfor under en cybersikkerhet begivenhet.
"Sikkerhetsverdenen håndterer sannsynligheter og usikkerheter - playbooks er en måte å redusere ytterligere usikkerhet ved å bruke en streng prosess for å oppnå forutsigbare sluttresultater," sier Josh Blackwelder, visedirektør for informasjonssikkerhet i SentinelOne, og legger til at repeterbare utfall krever automatisert bruk av playbooks gjennom SOAR. "Det er ingen magisk måte å gå fra usikre sikkerhetsvarsler til forutsigbare utfall uten en konsistent og logisk prosessflyt."
SOAR-systemer blir stadig mer automatiserte, som navnet antyder, og å ta i bruk AI/ML-modeller for å legge til intelligens til systemene er et naturlig neste skritt, ifølge eksperter.
Administrert deteksjons- og responsfirma Red Canary, for eksempel, bruker for tiden AI for å identifisere mønstre og trender som er nyttige for å oppdage og svare på trusler og redusere den kognitive belastningen på analytikere for å gjøre dem mer effektive og effektive. I tillegg kan generative AI-systemer gjøre det enklere å kommunisere både et sammendrag og de tekniske detaljene om hendelser til kunder, sier Keith McCammon, sikkerhetssjef og medgründer av Red Canary.
"Vi bruker ikke AI til å gjøre ting som å lage flere playbooks, men vi bruker det mye for å gjøre utførelse av playbooks og andre sikkerhetsoperasjonsprosesser raskere og mer effektiv," sier han.
Etter hvert kan playbooks bli fullstendig automatisert gjennom deep learning (DL) nevrale nettverk, skrev BGU og NEC-forskerne. "[Vi har som mål å utvide metoden vår til å støtte komplett ende-til-ende-pipeline der, når et varsel er mottatt av SOAR-systemet, håndterer en DL-basert modell varselet og distribuerer passende svar automatisk - dynamisk og autonomt oppretter på -the-fly playbooks - og dermed redusere byrden på sikkerhetsanalytikere," skrev de.
Likevel bør det å gi AI/ML-modeller muligheten til å administrere og oppdatere playbooks gjøres med forsiktighet, spesielt i sensitive eller regulerte bransjer, sier Andrea Fumagalli, seniordirektør for orkestrering og automatisering for Sumo Logic. Det skybaserte sikkerhetsadministrasjonsselskapet bruker AI/ML-drevne modeller i sin plattform og for å finne og fremheve trusselsignaler i dataene.
"Basert på flere undersøkelser som vi har utført med kundene våre i løpet av årene, er de ikke komfortable ennå med å ha AI som tilpasser, endrer og lager playbooks autonomt, enten av sikkerhetsgrunner eller for samsvar," sier han. "Bedriftskunder ønsker å ha full kontroll over hva som implementeres som hendelseshåndtering og responsprosedyrer."
Automatisering må være fullstendig gjennomsiktig, og en måte å gjøre det på er ved å vise alle spørringene og dataene til sikkerhetsanalytikerne. "Dette lar brukeren sjekke logikken og dataene som returneres og validere resultatene før han går videre til neste trinn," sier SentinelOnes Blackwelder. "Vi føler at denne AI-assisterte tilnærmingen er den passende balansen mellom risikoen ved AI og behovet for å akselerere effektiviteten for å matche det raskt skiftende trussellandskapet."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better
- :er
- :ikke
- :hvor
- 7
- a
- evne
- akselerere
- akseptabelt
- Ifølge
- Handling
- tilpasse
- tilpasse
- legge til
- legge
- tillegg
- Legger
- vedta
- AI
- AI-systemer
- AI / ML
- sikte
- Varsle
- Varsler
- Alle
- tillater
- blant
- an
- analyse
- analytiker
- analytikere
- og
- noen
- Søknad
- Påfør
- påføring
- tilnærming
- hensiktsmessig
- ER
- argumentere
- rundt
- kunstig
- kunstig intelligens
- AS
- At
- Angrep
- Automatisert
- automatisk
- Automatisering
- autonomt
- Balansere
- basert
- BE
- bli
- bli
- før du
- Ben-Gurion universitetet
- mellom
- både
- byrde
- virksomhet
- bedriftens e-postkompromiss
- men
- by
- CAN
- hvilken
- saken
- endret
- endring
- sjef
- sjef for informasjonssikkerhet
- omstendigheter
- Med-grunnlegger
- kognitiv
- komfortabel
- Kommunikasjon
- Selskaper
- Selskapet
- fullføre
- komplekse
- samsvar
- kompromiss
- gjennomført
- konsistent
- konsekvent
- konsulent
- Begrensning
- medvirkende
- kontroll
- Opprette
- Gjeldende
- I dag
- Kunder
- Cybersecurity
- dato
- håndtering
- avgjørelser
- dyp
- dyp læring
- definert
- Distribueres
- nestleder
- detaljer
- oppdage
- Gjenkjenning
- Regissør
- do
- domener
- Don
- gjort
- under
- dynamisk
- Tidlig
- enklere
- Effektiv
- effektivitet
- effektiv
- innsats
- enten
- emalje
- Emery
- ende til ende
- styrke
- Enterprise
- spesielt
- etablerer
- Selv
- Event
- hendelser
- eksempel
- gjennomføring
- eksperter
- strekker
- omfattende
- Face
- faktor
- ganske
- raskere
- Egenskaper
- føler
- slutt~~POS=TRUNC
- finne
- Firm
- bedrifter
- Først
- fikset
- flyten
- følge
- Til
- Fortinet
- funnet
- ofte
- fra
- fullt
- fullt
- videre
- Gevinst
- general
- generative
- Generativ AI
- få
- giganten
- Giving
- Global
- Go
- graf
- Gruppe
- Guider
- Håndterer
- Ha
- å ha
- he
- utheving
- hindre
- Men
- HTTPS
- identifisere
- implementert
- in
- hendelse
- hendelsesrespons
- stadig
- bransjer
- informasjon
- informasjonssikkerhet
- Intelligens
- undersøker
- etterforskning
- etterforskende
- IT
- DET ER
- John
- jpg
- keith
- kunnskap
- maling
- landskap
- læring
- Led
- mindre
- i likhet med
- laste
- logikk
- logisk
- Lang
- maskin
- maskinlæring
- gjøre
- malware
- administrer
- ledelse
- administrerende
- manuelt
- Match
- Kan..
- medlemmer
- metode
- modell
- modeller
- mer
- mer effektivt
- flytting
- flere
- navn
- Naturlig
- nesten
- Trenger
- behov
- nettverk
- nettverk
- nevrale
- nevrale nettverket
- nevrale nettverk
- neste
- Nei.
- roman
- of
- Offiser
- ofte
- on
- gang
- ONE
- Drift
- or
- orkestre
- rekkefølge
- organisasjoner
- Annen
- vår
- utbrudd
- utfall
- skisserer
- outperform
- enn
- Papir
- mønstre
- rørledning
- Sted
- fly
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Forutsigbar
- tidligere
- Proaktiv
- prosedyrer
- prosess
- Prosesser
- publisert
- spørsmål
- ganske
- ransomware
- raskt
- reaksjoner
- grunner
- mottatt
- anbefalinger
- anbefale
- utvinning
- Rød
- redusere
- redusere
- regulert
- regulerte næringer
- repeterbar
- representert
- krever
- Krever
- forskere
- Svare
- svare
- svar
- svar
- Resultater
- ikke sant
- rigid
- streng
- risikoer
- roller
- Kjør
- s
- Sa
- sier
- ordninger
- sikkerhet
- senior
- sensitive
- Serien
- alvorlig
- Tjenester
- sett
- bør
- signaler
- sveve
- uttalte
- statisk
- Trinn
- Steps
- Still
- Strategi
- slik
- foreslår
- SAMMENDRAG
- støtte
- system
- Systemer
- Ta
- tatt
- lag
- Teknisk
- Teknologi
- Det
- De
- verden
- deres
- Dem
- Der.
- de
- ting
- denne
- trussel
- trusler
- Gjennom
- Dermed
- til
- verktøy
- trent
- gjennomsiktig
- Trender
- prøver
- Til syvende og sist
- Usikker
- usikkerheter
- Usikkerhet
- universitet
- Oppdater
- bruke
- Bruker
- bruker
- ved hjelp av
- VALIDERE
- variasjon
- Ve
- W
- gå
- ønsker
- var
- Vei..
- we
- Hva
- Hva er
- hvilken
- mens
- vil
- med
- uten
- verden
- Feil
- skrev
- år
- ennå
- zephyrnet
