Îmbunătățirea manualelor de răspuns la incident cu învățare automată

Fiecare companie ar trebui să aibă un plan general de răspuns la incident, care stabilește o echipă de răspuns la incident, desemnează membrii și schițează strategia acestora de reacție la orice incident de securitate cibernetică.

Cu toate acestea, pentru a acționa în mod consecvent asupra acestei strategii, companiile au nevoie de manuale – ghiduri tactice care să-i ghideze pe cei care răspund prin investigații, analize, izolare, eradicare și recuperare pentru atacuri precum ransomware, o epidemie malware sau compromiterea e-mailurilor de afaceri. Organizațiile care nu respectă un manual pentru securitate vor suferi frecvent incidente mai grave, spune John Hollenberger, consultant senior de securitate al grupului Fortinet Servicii proactive. În aproape 40% dintre incidentele globale gestionate de Fortinet, lipsa unor manuale adecvate a fost un factor care a dus la intruziune în primul rând.

„Destul de des am constatat că, deși compania poate avea instrumentele potrivite pentru a detecta și a răspunde, nu au existat procese sau nu au existat procese în jurul acestor instrumente”, spune Hollenberger. Chiar și cu manuale, spune el, analiștii au încă decizii complexe de luat pe baza detaliilor compromisului. El adaugă: „Fără cunoștințe și gândire anticipată de către un analist, o abordare greșită poate fi adoptată sau, în cele din urmă, poate împiedica eforturile de răspuns.”

În mod deloc surprinzător, companiile și cercetătorii încearcă din ce în ce mai mult să aplice învățarea automată și inteligența artificială în manuale, cum ar fi obținerea de recomandări cu privire la pașii pe care trebuie să îi ia în timp ce investighează și răspunde la un incident. O rețea neuronală profundă poate fi antrenată pentru a depăși schemele euristice actuale, recomandând pașii următori în mod automat pe baza caracteristicilor unui incident și a manualelor reprezentate ca o serie de pași într-un grafic, în conformitate cu o lucrare publicată la începutul lunii noiembrie de un grup de cercetători de la Universitatea Ben-Gurion din Negev și gigantul tehnologic NEC.

Cercetătorii BGU și NEC susțin că gestionarea manuală a manualelor poate fi insuportabilă pe termen lung.

„Odată definite, manualele sunt codificate pentru un set fix de alerte și sunt destul de statice și rigide”, au declarat cercetătorii în lucrarea lor. „Acest lucru poate fi acceptabil în cazul manualelor de investigație, care poate nu trebuie schimbate frecvent, dar este mai puțin de dorit în cazul manualelor de răspuns, care ar putea trebui modificate pentru a se adapta la amenințările emergente și noi, anterior. alerte nevăzute.”

Reacțiile adecvate necesită manuale

Automatizarea detectării, investigației și răspunsului la evenimente sunt domeniile sistemelor de orchestrare, automatizare și răspuns a securității (SOAR), care, printre alte roluri, au devenit depozite de manuale de utilizare în diversele circumstanțe cu care se confruntă firmele în timpul unei securități cibernetice. eveniment.

„Lumea securității se confruntă cu probabilități și incertitudini – manualele sunt o modalitate de a reduce incertitudinea suplimentară prin aplicarea unui proces riguros pentru a obține rezultate finale previzibile”, spune Josh Blackwelder, director adjunct pentru securitatea informațiilor la SentinelOne, adăugând că rezultatele repetabile necesită aplicarea automată a playbook-urilor prin SOAR. „Nu există nicio modalitate magică de a trece de la alerte de securitate incerte la rezultate previzibile fără un flux de proces consistent și logic.”

Sistemele SOAR devin din ce în ce mai automatizate, așa cum sugerează și numele, iar adoptarea modelelor AI/ML pentru a adăuga inteligență sistemelor este un pas natural următor, potrivit experților.

Firma de detectare și răspuns gestionată Red Canary, de exemplu, utilizează în prezent AI pentru a identifica modele și tendințe care sunt utile în detectarea și răspunsul la amenințări și pentru reducerea sarcinii cognitive asupra analiștilor pentru a-i face mai eficienți și mai eficienți. În plus, sistemele AI generative pot facilita comunicarea atât a unui rezumat, cât și a detaliilor tehnice ale incidentelor către clienți, spune Keith McCammon, ofițer șef de securitate și co-fondator al Red Canary.

„Nu folosim inteligența artificială pentru a face lucruri precum mai multe manuale, dar o folosim pe scară largă pentru a face execuția manualelor și a altor procese de operațiuni de securitate mai rapidă și mai eficientă”, spune el.

În cele din urmă, manualele pot fi complet automatizate prin intermediul rețelelor neuronale de deep learning (DL), au scris cercetătorii BGU și NEC. „Ne propunem să extindem metoda noastră pentru a sprijini o conductă completă de la capăt la capăt, în care, odată ce o alertă este primită de sistemul SOAR, un model bazat pe DL gestionează alerta și implementează răspunsurile adecvate în mod automat - creând dinamic și autonom pe - cărțile de joc - și reducând astfel povara analiștilor de securitate”, au scris aceștia.

Cu toate acestea, oferirea modelelor AI/ML a capacității de a gestiona și actualiza manualele de joc ar trebui făcută cu grijă, în special în industriile sensibile sau reglementate, spune Andrea Fumagalli, director senior de orchestrare și automatizare pentru Sumo Logic. Compania de management de securitate bazată pe cloud folosește modele bazate pe AI/ML în platforma sa și pentru a găsi și evidenția semnale de amenințare în date.

„Pe baza multiplelor sondaje pe care le-am efectuat cu clienții noștri de-a lungul anilor, aceștia nu sunt confortabili încă să aibă AI care se adaptează, modifică și creează manuale autonome, fie din motive de securitate, fie din motive de conformitate”, spune el. „Clienții întreprinderi doresc să aibă control deplin asupra a ceea ce este implementat ca gestionare a incidentelor și proceduri de răspuns.”

Automatizarea trebuie să fie pe deplin transparentă și o modalitate de a face acest lucru este arătând toate interogările și datele analiștilor de securitate. „Acest lucru permite utilizatorului să verifice logica și datele care sunt returnate și să valideze rezultatele înainte de a trece la pasul următor”, spune Blackwelder de la SentinelOne. „Considerăm că această abordare asistată de IA este echilibrul potrivit între riscurile AI și nevoia de a accelera eficiența pentru a se potrivi cu peisajul amenințărilor în schimbare rapidă.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better