Каждая компания должна иметь общий план реагирования на инциденты, в котором создается группа реагирования на инциденты, назначаются ее члены и описывается их стратегия реагирования на любой инцидент кибербезопасности.
Однако, чтобы последовательно действовать в соответствии с этой стратегией, компаниям необходимы руководства — тактические руководства, которые помогут участникам реагирования пройти через расследование, анализ, сдерживание, искоренение и восстановление после таких атак, как программы-вымогатели, вспышки вредоносных программ или компрометация корпоративной электронной почты. Организации, которые не следуют правилам безопасности, часто страдают от более серьезных инцидентов, говорит Джон Холленбергер, старший консультант по безопасности группы Fortinet Proactive Services. Почти в 40% глобальных инцидентов, с которыми справляется Fortinet, отсутствие адекватных сценариев было фактором, который в первую очередь привел к вторжению.
«Довольно часто мы обнаруживали, что, хотя у компании могли быть подходящие инструменты для обнаружения и реагирования, процессы вокруг этих инструментов отсутствовали или были неадекватными», — говорит Холленбергер. По его словам, даже при наличии сценариев аналитикам по-прежнему приходится принимать сложные решения, основанные на деталях компромисса. Он добавляет: «Без знаний и предусмотрительности аналитика может быть использован неправильный подход, который в конечном итоге помешает усилиям по реагированию».
Неудивительно, что компании и исследователи все чаще пытаются применить машинное обучение и искусственный интеллект к сценариям, например, для получения рекомендаций о том, какие шаги следует предпринять при расследовании инцидента и реагировании на него. Глубокую нейронную сеть можно обучить так, чтобы она превосходила современные схемы, основанные на эвристиках, автоматически рекомендуя следующие шаги на основе особенностей инцидента и сценариев, представленных в виде серии шагов на графике, согласно статья, опубликованная в начале ноября группой исследователей из Университета Бен-Гуриона в Негеве и технологического гиганта NEC.
Исследователи BGU и NEC утверждают, что ручное управление сценариями может оказаться несостоятельным в долгосрочной перспективе.
«После определения плейбуки жестко запрограммированы для фиксированного набора предупреждений и являются довольно статичными и жесткими», — заявили исследователи в своей статье. «Это может быть приемлемо в случае сценариев расследования, которые, возможно, не придется часто менять, но менее желательно в случае сценариев реагирования, которые, возможно, придется изменить, чтобы адаптироваться к возникающим угрозам и новым, ранее невидимые оповещения».
Правильные реакции требуют учебных пособий
Автоматизация обнаружения, расследования и реагирования на события — это области систем управления безопасностью, автоматизации и реагирования (SOAR), которые, помимо других ролей, стали хранилищами сценариев, которые можно использовать в различных обстоятельствах, с которыми фирмы сталкиваются в ходе кибербезопасности. событие.
«Мир безопасности имеет дело с вероятностями и неопределенностями. Сценарии — это способ уменьшить дальнейшую неопределенность, применяя строгий процесс для получения предсказуемых конечных результатов», — говорит Джош Блэквелдер, заместитель директора по информационной безопасности в SentinelOne, добавляя, что для воспроизводимости результатов требуется автоматизированное применение сборников пьес через SOAR. «Не существует волшебного способа перейти от неопределенных предупреждений безопасности к предсказуемым результатам без последовательного и логического процесса».
Системы SOAR становятся все более автоматизированными, как следует из их названия, и, по мнению экспертов, внедрение моделей искусственного интеллекта и машинного обучения для повышения интеллекта систем является естественным следующим шагом.
Например, компания Red Canary, занимающаяся управляемым обнаружением и реагированием, в настоящее время использует ИИ для выявления закономерностей и тенденций, которые полезны для обнаружения угроз и реагирования на них, а также для снижения когнитивной нагрузки на аналитиков, чтобы сделать их более эффективными и результативными. Кроме того, генеративные системы искусственного интеллекта могут упростить передачу клиентам как сводных, так и технических подробностей инцидентов, говорит Кит Маккаммон, директор по безопасности и соучредитель Red Canary.
«Мы не используем ИИ для таких задач, как создание большего количества сборников сценариев, но мы широко используем его, чтобы сделать выполнение сценариев и других процессов обеспечения безопасности более быстрым и эффективным», — говорит он.
В конце концов, игровые книги могут быть полностью автоматизированы с помощью нейронных сетей глубокого обучения (DL), пишут исследователи BGU и NEC. «[Мы] стремимся расширить наш метод для поддержки полного сквозного конвейера, где, как только система SOAR получает предупреждение, модель на основе DL обрабатывает предупреждение и автоматически развертывает соответствующие ответы — динамически и автономно создавая «на лету», и тем самым снижая нагрузку на аналитиков безопасности», — написали они.
Тем не менее, предоставление моделям AI/ML возможности управлять сценариями и обновлять их следует делать с осторожностью, особенно в чувствительных или регулируемых отраслях, — говорит Андреа Фумагалли, старший директор по оркестрации и автоматизации Sumo Logic. Компания по управлению облачной безопасностью использует модели на основе искусственного интеллекта и машинного обучения в своей платформе, а также для поиска и выделения сигналов угроз в данных.
«Основываясь на многочисленных опросах, которые мы проводили с нашими клиентами на протяжении многих лет, они пока не чувствуют себя комфортно, когда ИИ адаптируется, изменяет и создает сценарии автономно, либо по соображениям безопасности, либо для обеспечения соответствия», — говорит он. «Корпоративные клиенты хотят иметь полный контроль над тем, что реализовано в качестве процедур управления инцидентами и реагирования».
Автоматизация должна быть полностью прозрачной, и один из способов сделать это — показать все запросы и данные аналитикам безопасности. «Это позволяет пользователю проверить работоспособность логики и возвращаемых данных, а также проверить результаты перед переходом к следующему шагу», — говорит Блэквелдер из SentinelOne. «Мы считаем, что этот подход с использованием ИИ является подходящим балансом между рисками ИИ и необходимостью повысить эффективность, чтобы соответствовать быстро меняющемуся ландшафту угроз».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better
- :является
- :нет
- :куда
- 7
- a
- способность
- ускорять
- приемлемый
- По
- Действие (Act):
- приспосабливать
- адаптация
- Добавить
- добавить
- дополнение
- Добавляет
- Принятие
- AI
- Системы искусственного интеллекта
- AI / ML
- цель
- Оповещение
- Оповещения
- Все
- позволяет
- среди
- an
- анализ
- аналитик
- Аналитики
- и
- любой
- Применение
- Применить
- Применение
- подхода
- соответствующий
- МЫ
- спорить
- около
- искусственный
- искусственный интеллект
- AS
- At
- нападки
- Автоматизированный
- автоматически
- автоматизация
- автономно
- Баланс
- основанный
- BE
- становиться
- становление
- до
- Университет Бен-Гуриона
- между
- изоферменты печени
- бремя
- бизнес
- компромисс деловой почты
- но
- by
- CAN
- заботится
- случаев
- менялась
- изменения
- главный
- начальник отдела информационной безопасности
- обстоятельства
- Соучредитель
- познавательный
- удобный
- Связь
- Компании
- Компания
- полный
- комплекс
- Соответствие закону
- скомпрометированы
- проводятся
- последовательный
- последовательно
- консультант
- Политика сдерживания
- содействие
- контроль
- Создающий
- Текущий
- В настоящее время
- Клиенты
- Информационная безопасность
- данным
- занимавшийся
- решения
- глубоко
- глубокое обучение
- определенный
- развертывает
- заместитель
- подробнее
- обнаруживать
- обнаружение
- директор
- do
- доменов
- Дон
- сделанный
- в течение
- динамично
- Рано
- легче
- Эффективный
- Эффективность
- эффективный
- усилия
- или
- появление
- впритык
- повышение
- Предприятие
- особенно
- налаживает
- Даже
- События
- События
- пример
- выполнение
- эксперты
- простирающийся
- широко
- Face
- фактор
- достаточно
- быстрее
- Особенности
- чувствовать
- окончательный
- обнаружение
- Фирма
- Компаний
- Во-первых,
- фиксированной
- поток
- следовать
- Что касается
- Fortinet
- найденный
- часто
- от
- полный
- полностью
- далее
- Gain
- Общие
- генеративный
- Генеративный ИИ
- получающий
- гигант
- Отдаете
- Глобальный
- Go
- график
- группы
- Гиды
- Ручки
- Есть
- имеющий
- he
- выделив
- препятствовать
- Однако
- HTTPS
- определения
- в XNUMX году
- in
- инцидент
- реакция на инцидент
- все больше и больше
- промышленности
- информация
- информационная безопасность
- Интеллекта
- расследование
- ходе расследования,
- следственный
- IT
- ЕГО
- John
- JPG
- Кит
- знания
- Отсутствие
- пейзаж
- изучение
- привело
- Меньше
- такое как
- загрузка
- логика
- логический
- Длинное
- машина
- обучение с помощью машины
- сделать
- вредоносных программ
- управлять
- управление
- управления
- вручную
- Совпадение
- Май..
- Участники
- метод
- модель
- Модели
- БОЛЕЕ
- более эффективным
- перемещение
- с разными
- имя
- натуральный
- почти
- Необходимость
- потребности
- сеть
- сетей
- нервный
- нейронной сети
- нейронные сети
- следующий
- нет
- роман
- of
- сотрудник
- .
- on
- консолидировать
- ONE
- Операционный отдел
- or
- оркестровка
- заказ
- организации
- Другое
- наши
- вспышка
- Результаты
- контуры
- опережать
- за
- бумага & картон
- паттеранами
- трубопровод
- Часть
- план
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- предсказуемый
- предварительно
- Проактивная
- Процедуры
- процесс
- Процессы
- опубликованный
- Запросы
- вполне
- вымогателей
- быстро
- реакции
- причины
- получила
- рекомендаций
- рекомендуя
- выздоровление
- Red
- уменьшить
- снижение
- регулируемых брокеров
- регулируемые отрасли
- повторяемый
- представленный
- требовать
- требуется
- исследователи
- Реагируйте
- ответ
- ответ
- ответы
- Итоги
- правую
- жесткий
- тщательный
- рисках,
- роли
- Run
- s
- Сказал
- говорит
- схемы
- безопасность
- старший
- чувствительный
- Серии
- серьезный
- Услуги
- набор
- должен
- сигналы
- витать
- заявил
- статический
- Шаг
- Шаги
- По-прежнему
- Стратегия
- такие
- Предлагает
- РЕЗЮМЕ
- поддержка
- система
- системы
- взять
- приняты
- команда
- Технический
- Технологии
- который
- Ассоциация
- мир
- их
- Их
- Там.
- они
- вещи
- этой
- угроза
- угрозы
- Через
- Таким образом
- в
- инструменты
- специалистов
- прозрачный
- Тенденции
- пытается
- В конечном счете
- Неопределенный
- неопределенности
- Неопределенность
- Университет
- Обновление ПО
- использование
- Информация о пользователе
- использования
- через
- VALIDATE
- разнообразие
- Ve
- W
- от
- хотеть
- законопроект
- Путь..
- we
- Что
- Что такое
- , которые
- в то время как
- будете
- без
- Мир
- Неправильно
- писал
- лет
- еще
- зефирнет