Udoskonalanie podręczników reagowania na incydenty za pomocą uczenia maszynowego

Każda firma powinna posiadać ogólny plan reagowania na incydenty, który ustanawia zespół reagowania na incydenty, wyznacza członków i określa strategię reagowania na wszelkie incydenty związane z cyberbezpieczeństwem.

Aby jednak konsekwentnie realizować tę strategię, firmy potrzebują podręczników — taktycznych przewodników, które przeprowadzą osoby reagujące przez dochodzenie, analizę, powstrzymywanie, eliminowanie i odzyskiwanie w przypadku ataków takich jak oprogramowanie ransomware, epidemia złośliwego oprogramowania lub naruszenie bezpieczeństwa poczty biznesowej. Organizacje, które nie przestrzegają podręcznika dotyczącego bezpieczeństwa, często spotykają się z poważniejszymi incydentami, mówi John Hollenberger, starszy konsultant ds. bezpieczeństwa w grupie usług proaktywnych firmy Fortinet. W przypadku prawie 40% globalnych incydentów, którymi zajmuje się Fortinet, brak odpowiednich podręczników był czynnikiem, który w pierwszej kolejności doprowadził do włamania.

„Dość często stwierdzamy, że chociaż firma może posiadać odpowiednie narzędzia do wykrywania i reagowania, nie ma żadnych procesów związanych z tymi narzędziami lub są one nieodpowiednie” – mówi Hollenberger. Jego zdaniem nawet korzystając ze scenariuszy, analitycy wciąż muszą podejmować złożone decyzje w oparciu o szczegóły kompromisu. Dodaje: „Bez wiedzy i przezorności analityka można zastosować niewłaściwe podejście lub ostatecznie utrudnić wysiłki w zakresie reagowania”.

Nic więc dziwnego, że firmy i badacze coraz częściej próbują zastosować uczenie maszynowe i sztuczną inteligencję w podręcznikach — na przykład uzyskując zalecenia dotyczące kroków, jakie należy podjąć podczas badania incydentu i reagowania na niego. Według nich głęboką sieć neuronową można wytrenować tak, aby przewyższała obecne schematy oparte na heurystyce, automatycznie zalecając kolejne kroki na podstawie cech zdarzenia i scenariuszy przedstawionych w postaci serii kroków na wykresie. artykuł opublikowany na początku listopada przez grupę naukowców z Uniwersytetu Ben Guriona w Negewie i giganta technologicznego NEC.

Badacze z BGU i NEC argumentują, że ręczne zarządzanie podręcznikami może na dłuższą metę być nie do utrzymania.

„Po zdefiniowaniu podręczniki są na stałe zakodowane pod kątem ustalonego zestawu alertów i są dość statyczne i sztywne” – stwierdzili naukowcy w swoim artykule. „Może to być akceptowalne w przypadku schematów dochodzeniowych, które być może nie wymagają częstej zmiany, ale jest mniej pożądane w przypadku schematów reagowania, które mogą wymagać zmiany w celu dostosowania do pojawiających się zagrożeń i nowatorskich, wcześniej niewidoczne alerty.”

Właściwe reakcje wymagają podręczników

Automatyzacja wykrywania, badania i reagowania na zdarzenia to domeny systemów orkiestracji, automatyzacji i reagowania na zagrożenia (SOAR), które – między innymi – stały się repozytoriami podręczników do wykorzystania w różnych okolicznościach, z jakimi spotykają się firmy podczas cyberbezpieczeństwa wydarzenie.

„Świat bezpieczeństwa radzi sobie z prawdopodobieństwami i niepewnościami — podręczniki są sposobem na zmniejszenie dalszej niepewności poprzez zastosowanie rygorystycznego procesu w celu uzyskania przewidywalnych wyników końcowych” – mówi Josh Blackwelder, zastępca dyrektora ds. bezpieczeństwa informacji w SentinelOne, dodając, że powtarzalne wyniki wymagają automatyczne stosowanie podręczników poprzez SOAR. „Nie ma magicznego sposobu, aby przejść od niepewnych alertów bezpieczeństwa do przewidywalnych wyników bez spójnego i logicznego przebiegu procesów”.

Systemy SOAR stają się coraz bardziej zautomatyzowane, jak sugeruje ich nazwa, a zdaniem ekspertów naturalnym kolejnym krokiem jest przyjęcie modeli AI/ML w celu dodania inteligencji do systemów.

Na przykład firma Red Canary zajmująca się zarządzaniem wykrywaniem i reagowaniem wykorzystuje obecnie sztuczną inteligencję do identyfikowania wzorców i trendów przydatnych w wykrywaniu zagrożeń i reagowaniu na nie, a także zmniejszaniu obciążenia poznawczego analityków, aby uczynić ich bardziej wydajnymi i skutecznymi. Ponadto generatywne systemy sztucznej inteligencji mogą ułatwić przekazywanie klientom zarówno podsumowań, jak i szczegółów technicznych incydentów, mówi Keith McCammon, dyrektor ds. bezpieczeństwa i współzałożyciel Red Canary.

„Nie używamy sztucznej inteligencji do tworzenia większej liczby scenariuszy, ale używamy jej szeroko, aby wykonywanie scenariuszy i innych procesów operacji związanych z bezpieczeństwem było szybsze i skuteczniejsze” – mówi.

Ostatecznie podręczniki mogą zostać w pełni zautomatyzowane dzięki sieciom neuronowym głębokiego uczenia się (DL), napisali badacze z BGU i NEC. „Zamierzamy rozszerzyć naszą metodę, aby obsługiwała kompletny potok typu end-to-end, w którym po odebraniu alertu przez system SOAR model oparty na DL obsługuje alert i automatycznie wdraża odpowiednie odpowiedzi — dynamicznie i autonomicznie tworząc na gotowe podręczniki, zmniejszając w ten sposób obciążenie analityków bezpieczeństwa” – napisali.

Jednak zapewnianie modelom AI/ML możliwości zarządzania i aktualizowania podręczników powinno odbywać się ostrożnie, szczególnie w branżach wrażliwych lub regulowanych, mówi Andrea Fumagalli, starszy dyrektor ds. orkiestracji i automatyzacji w Sumo Logic. Oparta na chmurze firma zajmująca się zarządzaniem bezpieczeństwem wykorzystuje na swojej platformie modele oparte na sztucznej inteligencji/ML oraz do wyszukiwania i podkreślania sygnałów zagrożeń w danych.

„Na podstawie wielu ankiet, które przeprowadziliśmy z naszymi klientami na przestrzeni lat, wynika, że ​​nie czują się oni komfortowo, gdy sztuczna inteligencja samodzielnie dostosowuje, zmienia i tworzy podręczniki, czy to ze względów bezpieczeństwa, czy ze względów zgodności” – mówi. „Klienci korporacyjni chcą mieć pełną kontrolę nad wdrażanymi procedurami zarządzania incydentami i reagowania”.

Automatyzacja musi być w pełni przejrzysta, a jednym ze sposobów osiągnięcia tego jest pokazywanie wszystkich zapytań i danych analitykom bezpieczeństwa. „Dzięki temu użytkownik może sprawdzić logikę i zwracane dane oraz zweryfikować wyniki przed przejściem do następnego kroku”, mówi Blackwelder z SentinelOne. „Uważamy, że to podejście wspomagane sztuczną inteligencją zapewnia odpowiednią równowagę między ryzykiem związanym ze sztuczną inteligencją a potrzebą przyspieszenia wydajności, aby dopasować się do szybko zmieniającego się krajobrazu zagrożeń”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better