Varje företag bör ha en allmän incidentresponsplan som upprättar ett incidentresponsteam, utser medlemmarna och beskriver deras strategi för att reagera på eventuella cybersäkerhetsincidenter.
För att konsekvent agera på den strategin behöver företag dock spelböcker – taktiska guider som leder svarspersoner genom utredning, analys, inneslutning, utrotning och återställning för attacker som ransomware, ett utbrott av skadlig programvara eller kompromiss med e-post. Organisationer som inte följer en spelbok för säkerhet kommer ofta att drabbas av allvarligare incidenter, säger John Hollenberger, senior säkerhetskonsult hos Fortinets Proactive Services-grupp. I nästan 40 % av de globala incidenter som Fortinet hanterar var bristen på adekvata spelböcker en bidragande faktor som ledde till intrånget i första hand.
"Ganska ofta har vi upptäckt att även om företaget kan ha de rätta verktygen för att upptäcka och svara, så fanns det inga eller otillräckliga processer kring dessa verktyg", säger Hollenberger. Även med playbooks, säger han, har analytiker fortfarande komplexa beslut att fatta baserat på detaljerna i kompromissen. Han tillägger, "Utan kunskap och eftertänksamhet från en analytiker kan fel tillvägagångssätt tas eller i slutändan hindra svarsinsatser."
Föga överraskande försöker företag och forskare i allt högre grad att tillämpa maskininlärning och artificiell intelligens på spelböcker – som att få rekommendationer om vilka åtgärder som ska vidtas när de utreder och reagerar på en incident. Ett djupt neuralt nätverk kan tränas för att överträffa nuvarande heuristiska scheman, rekommendera nästa steg automatiskt baserat på funktionerna i en incident och spelböcker representerade som en serie steg i en graf, enligt en tidning som publicerades i början av november av en grupp forskare från Ben-Gurion University of the Negev och teknikjätten NEC.
Forskarna från BGU och NEC hävdar att manuell hantering av spelböcker kan vara ohållbart i det långa loppet.
"När de har definierats är playbooks hårdkodade för en fast uppsättning varningar och är ganska statiska och stela", konstaterade forskarna i sin uppsats. "Detta kan vara acceptabelt i fallet med undersökande spelböcker, som kanske inte behöver bytas ofta, men det är mindre önskvärt i fallet med svarsspelböcker, som kan behöva ändras för att anpassa sig till nya hot och nya, tidigare osynliga varningar."
Korrekt reaktioner kräver Playbooks
Automatisering av detektering, undersökning och svar på händelser är domänerna för säkerhetsorkestrering, automatisering och svarssystem (SOAR), som – bland andra roller – har blivit lagringsplatser för playbooks att använda i de olika omständigheter som företag möter under en cybersäkerhet händelse.
"Säkerhetsvärlden hanterar sannolikheter och osäkerheter - spelböcker är ett sätt att minska ytterligare osäkerhet genom att tillämpa en rigorös process för att få förutsägbara slutresultat", säger Josh Blackwelder, biträdande chef för informationssäkerhet på SentinelOne, och tillägger att upprepningsbara resultat kräver automatiserad tillämpning av playbooks genom SOAR. "Det finns inget magiskt sätt att gå från osäkra säkerhetsvarningar till förutsägbara resultat utan ett konsekvent och logiskt processflöde."
SOAR-system blir allt mer automatiserade, som namnet antyder, och att anta AI/ML-modeller för att lägga till intelligens till systemen är ett naturligt nästa steg, enligt experter.
Det hanterade detektions- och responsföretaget Red Canary, till exempel, använder för närvarande AI för att identifiera mönster och trender som är användbara för att upptäcka och reagera på hot och minska den kognitiva belastningen på analytiker för att göra dem mer effektiva och effektiva. Dessutom kan generativa AI-system göra det lättare att kommunicera både en sammanfattning och de tekniska detaljerna av incidenter till kunder, säger Keith McCammon, säkerhetschef och medgrundare av Red Canary.
"Vi använder inte AI för att göra saker som att göra fler playbooks, men vi använder det i stor utsträckning för att göra exekvering av playbooks och andra säkerhetsoperationsprocesser snabbare och mer effektiv", säger han.
Så småningom kan spelböcker bli helt automatiserade genom neurala nätverk för djupinlärning (DL), skrev forskarna från BGU och NEC. "[Vi strävar efter att utöka vår metod för att stödja en komplett pipeline från slut till ände där, när en varning tas emot av SOAR-systemet, en DL-baserad modell hanterar varningen och distribuerar lämpliga svar automatiskt - dynamiskt och autonomt skapande på -the-fly playbooks - och därmed minska bördan för säkerhetsanalytiker", skrev de.
Men att ge AI/ML-modeller möjligheten att hantera och uppdatera spelböcker bör göras med försiktighet, särskilt i känsliga eller reglerade branscher, säger Andrea Fumagalli, senior chef för orkestrering och automation för Sumo Logic. Det molnbaserade säkerhetshanteringsföretaget använder AI/ML-drivna modeller i sin plattform och för att hitta och lyfta fram hotsignaler i datan.
"Baserat på flera undersökningar som vi har genomfört med våra kunder under åren, är de inte bekväma med att ännu ha AI som anpassar, ändrar och skapar playbooks autonomt, varken av säkerhetsskäl eller för efterlevnad", säger han. "Företagskunder vill ha full kontroll över vad som implementeras som incidenthantering och responsprocedurer."
Automatisering måste vara helt transparent, och ett sätt att göra det är genom att visa alla frågor och data för säkerhetsanalytikerna. "Detta gör att användaren kan kontrollera logiken och data som returneras och validera resultaten innan han går vidare till nästa steg", säger SentinelOnes Blackwelder. "Vi anser att detta AI-assisterade tillvägagångssätt är den lämpliga balansen mellan riskerna med AI och behovet av att påskynda effektiviteten för att matcha det snabbt föränderliga hotlandskapet."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better
- :är
- :inte
- :var
- 7
- a
- förmåga
- accelerera
- godtagbart
- Enligt
- Agera
- anpassa
- anpassning
- lägga till
- tillsats
- Dessutom
- Lägger
- Anta
- AI
- AI-system
- AI / ML
- Syftet
- Varna
- Varningar
- Alla
- tillåter
- bland
- an
- analys
- analytiker
- analytiker
- och
- vilken som helst
- Ansökan
- Ansök
- Tillämpa
- tillvägagångssätt
- lämpligt
- ÄR
- argumenterar
- runt
- konstgjord
- artificiell intelligens
- AS
- At
- Attacker
- Automatiserad
- automatiskt
- Automation
- autonomt
- Balansera
- baserat
- BE
- blir
- passande
- innan
- Ben-Gurion universitet
- mellan
- båda
- belastning
- företag
- företags e-postkompromiss
- men
- by
- KAN
- vilken
- Vid
- ändrats
- byte
- chef
- chef för informationssäkerhet
- omständigheter
- Medgrundare
- kognitiv
- bekväm
- Kommunikation
- Företag
- företag
- fullborda
- komplex
- Efterlevnad
- kompromiss
- genomfördes
- konsekvent
- konsekvent
- konsult
- inneslutning
- Bidragande
- kontroll
- Skapa
- Aktuella
- För närvarande
- Kunder
- Cybersäkerhet
- datum
- som handlar om
- beslut
- djup
- djupt lärande
- definierade
- vecklas ut
- biträdande
- detaljer
- upptäcka
- Detektering
- Direktör
- do
- domäner
- donation
- gjort
- under
- dynamiskt
- Tidig
- lättare
- Effektiv
- effektiviteter
- effektiv
- ansträngningar
- antingen
- smärgel
- början till slut
- förbättra
- Företag
- speciellt
- upprättar
- Även
- händelse
- händelser
- exempel
- utförande
- experter
- sträcker
- extensivt
- Ansikte
- faktor
- ganska
- snabbare
- Funktioner
- känna
- slutlig
- finna
- Firm
- företag
- Förnamn
- fixerad
- flöda
- följer
- För
- Fortinet
- hittade
- ofta
- från
- full
- fullständigt
- ytterligare
- Få
- Allmänt
- generativ
- Generativ AI
- få
- jätte
- Ge
- Välgörenhet
- Go
- diagram
- Grupp
- Guider
- Handtag
- Har
- har
- he
- belysa
- hindra
- Men
- HTTPS
- identifiera
- genomföras
- in
- incident
- incidentrespons
- alltmer
- industrier
- informationen
- informationssäkerhet
- Intelligens
- undersöker
- Undersökningen
- undersökande
- IT
- DESS
- John
- jpg
- keith
- kunskap
- Brist
- liggande
- inlärning
- Led
- mindre
- tycka om
- läsa in
- Logiken
- logisk
- Lång
- Maskinen
- maskininlärning
- göra
- malware
- hantera
- ledning
- hantera
- manuellt
- Match
- Maj..
- Medlemmar
- metod
- modell
- modeller
- mer
- mer effektiv
- rörliga
- multipel
- namn
- Natural
- nästan
- Behöver
- behov
- nät
- nätverk
- neurala
- neurala nätverk
- neurala nätverk
- Nästa
- Nej
- roman
- of
- Officer
- Ofta
- on
- gång
- ONE
- Verksamhet
- or
- orkestrering
- beställa
- organisationer
- Övriga
- vår
- utbrott
- utfall
- konturer
- Överträffa
- över
- Papper
- mönster
- rörledning
- Plats
- Planen
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Förutsägbar
- tidigare
- Proaktiv
- förfaranden
- process
- processer
- publicerade
- sökfrågor
- ganska
- Ransomware
- snabbt
- reaktioner
- skäl
- mottagna
- rekommendationer
- rekommendera
- återvinning
- Red
- minska
- reducerande
- reglerad
- reglerade industrier
- repeterbar
- representerade
- kräver
- Kräver
- forskare
- Svara
- reagera
- respons
- svar
- Resultat
- höger
- styv
- rigorös
- risker
- roller
- Körning
- s
- Nämnda
- säger
- system
- säkerhet
- senior
- känslig
- Serier
- allvarlig
- Tjänster
- in
- skall
- signaler
- sväva
- anges
- statisk
- Steg
- Steg
- Fortfarande
- Strategi
- sådana
- Föreslår
- SAMMANFATTNING
- stödja
- system
- System
- Ta
- tagen
- grupp
- Teknisk
- Teknologi
- den där
- Smakämnen
- världen
- deras
- Dem
- Där.
- de
- saker
- detta
- hot
- hot
- Genom
- Således
- till
- verktyg
- tränad
- transparent
- Trender
- försöker
- Ytterst
- Osäker
- oklarheter
- Osäkerhet
- universitet
- Uppdatering
- användning
- Användare
- användningar
- med hjälp av
- BEKRÄFTA
- mängd
- Ve
- W
- gå
- vill
- var
- Sätt..
- we
- Vad
- Vad är
- som
- medan
- kommer
- med
- utan
- världen
- Fel
- skrev
- år
- ännu
- zephyrnet
