Izboljšanje priročnikov za odzivanje na incidente s strojnim učenjem

Vsako podjetje bi moralo imeti splošen načrt za odzivanje na incidente, v katerem je ustanovljena ekipa za odzivanje na incidente, imenovani člani in opisana njihova strategija za odzivanje na vsak incident kibernetske varnosti.

Za dosledno ukrepanje v skladu s to strategijo pa podjetja potrebujejo priročnike – taktične vodnike, ki vodijo odzivnike skozi preiskavo, analizo, zadrževanje, izkoreninjenje in obnovitev napadov, kot so izsiljevalska programska oprema, izbruh zlonamerne programske opreme ali ogrožanje poslovne e-pošte. Organizacije, ki ne upoštevajo navodil za varnost, bodo pogosto utrpele resnejše incidente, pravi John Hollenberger, višji varnostni svetovalec pri Fortinetovi skupini Proactive Services. Pri skoraj 40 % globalnih incidentov, ki jih obravnava Fortinet, je pomanjkanje ustreznih priročnikov prispevalo dejavnik, ki je sploh pripeljal do vdora.

»Pogosto smo ugotovili, da čeprav ima podjetje prava orodja za odkrivanje in odzivanje, procesov v zvezi z omenjenimi orodji ni bilo ali so bili neustrezni,« pravi Hollenberger. Tudi s knjigami iger, pravi, morajo analitiki še vedno sprejemati zapletene odločitve na podlagi podrobnosti kompromisa. Dodaja: "Brez znanja in vnaprejšnjega premisleka analitika se lahko uporabi napačen pristop ali na koncu ovira prizadevanja za odziv."

Ni presenetljivo, da podjetja in raziskovalci vse pogosteje poskušajo uporabiti strojno učenje in umetno inteligenco v knjigah iger – na primer za pridobivanje priporočil o tem, katere korake je treba sprejeti med preiskavo in odzivom na incident. Globoko nevronsko mrežo je mogoče usposobiti, da prekaša trenutne sheme, ki temeljijo na hevristiki, pri čemer samodejno priporoča naslednje korake na podlagi značilnosti dogodka in priročnikov, predstavljenih kot niz korakov v grafu, v skladu z članek, objavljen v začetku novembra skupina raziskovalcev z Univerze Ben-Gurion v Negevu in tehnološkega velikana NEC.

Raziskovalci BGU in NEC trdijo, da je lahko ročno upravljanje knjig dolgoročno nevzdržno.

"Ko so knjige iger definirane, so trdo kodirane za fiksen nabor opozoril in so dokaj statične in toge," so raziskovalci navedli v svojem prispevku. »To je morda sprejemljivo v primeru preiskovalnih priročnikov, ki jih morda ni treba pogosto spreminjati, vendar je manj zaželeno v primeru odzivnih priročnikov, ki jih bo morda treba spremeniti, da se prilagodijo nastajajočim grožnjam in predhodnim novim nevidena opozorila."

Za pravilne reakcije so potrebne knjige iger

Avtomatizacija odkrivanja, preiskovanja in odzivanja na dogodke je področje sistemov varnostne orkestracije, avtomatizacije in odzivanja (SOAR), ki so – med drugimi vlogami – postali skladišča priročnikov za uporabo v različnih okoliščinah, s katerimi se podjetja soočajo med kibernetsko varnostjo. dogodek.

»Svet varnosti se ukvarja z verjetnostmi in negotovostmi – knjige iger so način za zmanjšanje dodatne negotovosti z uporabo strogega postopka za doseganje predvidljivih končnih rezultatov,« pravi Josh Blackwelder, namestnik glavnega uradnika za informacijsko varnost pri SentinelOne, in dodaja, da ponovljivi rezultati zahtevajo avtomatizirana uporaba knjig iger prek SOAR. "Ni čarobnega načina za prehod od negotovih varnostnih opozoril do predvidljivih rezultatov brez doslednega in logičnega toka procesa."

Sistemi SOAR postajajo vse bolj avtomatizirani, kot pove že njihovo ime, in po mnenju strokovnjakov je sprejetje modelov AI/ML za dodajanje inteligence sistemom naraven naslednji korak.

Red Canary, podjetje za upravljano odkrivanje in odzivanje, na primer, trenutno uporablja AI za prepoznavanje vzorcev in trendov, ki so uporabni pri odkrivanju in odzivanju na grožnje ter zmanjšujejo kognitivno obremenitev analitikov, da postanejo učinkovitejši in uspešnejši. Poleg tega lahko generativni sistemi umetne inteligence strankam olajšajo sporočanje tako povzetka kot tehničnih podrobnosti incidentov, pravi Keith McCammon, glavni varnostnik in soustanovitelj podjetja Red Canary.

»Umetne inteligence ne uporabljamo za stvari, kot je izdelava več knjig iger, vendar jo obširno uporabljamo za hitrejše in učinkovitejše izvajanje knjig in drugih varnostnih operacij,« pravi.

Sčasoma bodo lahko knjige iger popolnoma avtomatizirane z nevronskimi mrežami globokega učenja (DL), so zapisali raziskovalci BGU in NEC. »Naš cilj je razširiti našo metodo za podporo celotnega cevovoda od konca do konca, kjer, ko sistem SOAR prejme opozorilo, model, ki temelji na DL, obravnava opozorilo in samodejno uvede ustrezne odzive — dinamično in avtonomno ustvarja na -the-fly playbooks — in tako zmanjšati obremenitev varnostnih analitikov,« so zapisali.

Kljub temu je treba modelom AI/ML omogočiti upravljanje in posodabljanje knjig iger, zlasti v občutljivih ali reguliranih panogah, pravi Andrea Fumagalli, višji direktor za orkestracijo in avtomatizacijo pri Sumo Logic. Podjetje za upravljanje varnosti v oblaku uporablja modele, ki jih poganja AI/ML, v svoji platformi ter za iskanje in poudarjanje signalov groženj v podatkih.

»Glede na številne ankete, ki smo jih v preteklih letih izvedli z našimi strankami, jim kljub temu ni všeč, da AI samostojno prilagaja, spreminja in ustvarja priročnike, bodisi zaradi varnosti bodisi zaradi skladnosti,« pravi. "Podjetniške stranke želijo imeti popoln nadzor nad tem, kaj se izvaja kot postopki upravljanja incidentov in odzivanja."

Avtomatizacija mora biti popolnoma pregledna in eden od načinov za to je prikazovanje vseh poizvedb in podatkov varnostnim analitikom. »To omogoča uporabniku, da razumno preveri logiko in podatke, ki so vrnjeni, ter potrdi rezultate, preden se premakne na naslednji korak,« pravi Blackwelder iz SentinelOne. "Menimo, da je ta pristop, podprt z umetno inteligenco, ustrezno ravnovesje med tveganji umetne inteligence in potrebo po pospešitvi učinkovitosti, da bi se lahko ujemali s hitro spreminjajočim se okoljem groženj."

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better