Улучшение сценариев реагирования на инциденты с помощью машинного обучения

Каждая компания должна иметь общий план реагирования на инциденты, в котором создается группа реагирования на инциденты, назначаются ее члены и описывается их стратегия реагирования на любой инцидент кибербезопасности.

Однако, чтобы последовательно действовать в соответствии с этой стратегией, компаниям необходимы руководства — тактические руководства, которые помогут участникам реагирования пройти через расследование, анализ, сдерживание, искоренение и восстановление после таких атак, как программы-вымогатели, вспышки вредоносных программ или компрометация корпоративной электронной почты. Организации, которые не следуют правилам безопасности, часто страдают от более серьезных инцидентов, говорит Джон Холленбергер, старший консультант по безопасности группы Fortinet Proactive Services. Почти в 40% глобальных инцидентов, с которыми справляется Fortinet, отсутствие адекватных сценариев было фактором, который в первую очередь привел к вторжению.

«Довольно часто мы обнаруживали, что, хотя у компании могли быть подходящие инструменты для обнаружения и реагирования, процессы вокруг этих инструментов отсутствовали или были неадекватными», — говорит Холленбергер. По его словам, даже при наличии сценариев аналитикам по-прежнему приходится принимать сложные решения, основанные на деталях компромисса. Он добавляет: «Без знаний и предусмотрительности аналитика может быть использован неправильный подход, который в конечном итоге помешает усилиям по реагированию».

Неудивительно, что компании и исследователи все чаще пытаются применить машинное обучение и искусственный интеллект к сценариям, например, для получения рекомендаций о том, какие шаги следует предпринять при расследовании инцидента и реагировании на него. Глубокую нейронную сеть можно обучить так, чтобы она превосходила современные схемы, основанные на эвристиках, автоматически рекомендуя следующие шаги на основе особенностей инцидента и сценариев, представленных в виде серии шагов на графике, согласно статья, опубликованная в начале ноября группой исследователей из Университета Бен-Гуриона в Негеве и технологического гиганта NEC.

Исследователи BGU и NEC утверждают, что ручное управление сценариями может оказаться несостоятельным в долгосрочной перспективе.

«После определения плейбуки жестко запрограммированы для фиксированного набора предупреждений и являются довольно статичными и жесткими», — заявили исследователи в своей статье. «Это может быть приемлемо в случае сценариев расследования, которые, возможно, не придется часто менять, но менее желательно в случае сценариев реагирования, которые, возможно, придется изменить, чтобы адаптироваться к возникающим угрозам и новым, ранее невидимые оповещения».

Правильные реакции требуют учебных пособий

Автоматизация обнаружения, расследования и реагирования на события — это области систем управления безопасностью, автоматизации и реагирования (SOAR), которые, помимо других ролей, стали хранилищами сценариев, которые можно использовать в различных обстоятельствах, с которыми фирмы сталкиваются в ходе кибербезопасности. событие.

«Мир безопасности имеет дело с вероятностями и неопределенностями. Сценарии — это способ уменьшить дальнейшую неопределенность, применяя строгий процесс для получения предсказуемых конечных результатов», — говорит Джош Блэквелдер, заместитель директора по информационной безопасности в SentinelOne, добавляя, что для воспроизводимости результатов требуется автоматизированное применение сборников пьес через SOAR. «Не существует волшебного способа перейти от неопределенных предупреждений безопасности к предсказуемым результатам без последовательного и логического процесса».

Системы SOAR становятся все более автоматизированными, как следует из их названия, и, по мнению экспертов, внедрение моделей искусственного интеллекта и машинного обучения для повышения интеллекта систем является естественным следующим шагом.

Например, компания Red Canary, занимающаяся управляемым обнаружением и реагированием, в настоящее время использует ИИ для выявления закономерностей и тенденций, которые полезны для обнаружения угроз и реагирования на них, а также для снижения когнитивной нагрузки на аналитиков, чтобы сделать их более эффективными и результативными. Кроме того, генеративные системы искусственного интеллекта могут упростить передачу клиентам как сводных, так и технических подробностей инцидентов, говорит Кит Маккаммон, директор по безопасности и соучредитель Red Canary.

«Мы не используем ИИ для таких задач, как создание большего количества сборников сценариев, но мы широко используем его, чтобы сделать выполнение сценариев и других процессов обеспечения безопасности более быстрым и эффективным», — говорит он.

В конце концов, игровые книги могут быть полностью автоматизированы с помощью нейронных сетей глубокого обучения (DL), пишут исследователи BGU и NEC. «[Мы] стремимся расширить наш метод для поддержки полного сквозного конвейера, где, как только система SOAR получает предупреждение, модель на основе DL обрабатывает предупреждение и автоматически развертывает соответствующие ответы — динамически и автономно создавая «на лету», и тем самым снижая нагрузку на аналитиков безопасности», — написали они.

Тем не менее, предоставление моделям AI/ML возможности управлять сценариями и обновлять их следует делать с осторожностью, особенно в чувствительных или регулируемых отраслях, — говорит Андреа Фумагалли, старший директор по оркестрации и автоматизации Sumo Logic. Компания по управлению облачной безопасностью использует модели на основе искусственного интеллекта и машинного обучения в своей платформе, а также для поиска и выделения сигналов угроз в данных.

«Основываясь на многочисленных опросах, которые мы проводили с нашими клиентами на протяжении многих лет, они пока не чувствуют себя комфортно, когда ИИ адаптируется, изменяет и создает сценарии автономно, либо по соображениям безопасности, либо для обеспечения соответствия», — говорит он. «Корпоративные клиенты хотят иметь полный контроль над тем, что реализовано в качестве процедур управления инцидентами и реагирования».

Автоматизация должна быть полностью прозрачной, и один из способов сделать это — показать все запросы и данные аналитикам безопасности. «Это позволяет пользователю проверить работоспособность логики и возвращаемых данных, а также проверить результаты перед переходом к следующему шагу», — говорит Блэквелдер из SentinelOne. «Мы считаем, что этот подход с использованием ИИ является подходящим балансом между рисками ИИ и необходимостью повысить эффективность, чтобы соответствовать быстро меняющемуся ландшафту угроз».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better