การปรับปรุง Playbooks ตอบสนองต่อเหตุการณ์ด้วยการเรียนรู้ของเครื่อง

ทุกบริษัทควรมีแผนการตอบสนองต่อเหตุการณ์ทั่วไปที่จัดตั้งทีมตอบสนองต่อเหตุการณ์ กำหนดสมาชิก และสรุปกลยุทธ์ในการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยทางไซเบอร์

อย่างไรก็ตาม เพื่อดำเนินการตามกลยุทธ์ดังกล่าวอย่างต่อเนื่อง บริษัทต่างๆ จำเป็นต้องมี Playbooks ซึ่งเป็นคู่มือเชิงกลยุทธ์ที่จะแนะนำผู้เผชิญเหตุผ่านการสืบสวน การวิเคราะห์ การกักกัน การกำจัด และการกู้คืนจากการโจมตี เช่น แรนซัมแวร์ การระบาดของมัลแวร์ หรือการบุกรุกอีเมลธุรกิจ องค์กรที่ไม่ปฏิบัติตามแนวทางด้านความปลอดภัยมักจะประสบกับเหตุการณ์ที่ร้ายแรงกว่านี้ จอห์น ฮอลเลนเบอร์เกอร์ ที่ปรึกษาอาวุโสด้านความปลอดภัยของกลุ่มบริการเชิงรุกของ Fortinet กล่าว ในเกือบ 40% ของเหตุการณ์ทั่วโลกที่ Fortinet จัดการ การขาด Playbooks ที่เพียงพอเป็นปัจจัยที่นำไปสู่การบุกรุกตั้งแต่แรก

“บ่อยครั้งที่เราพบว่าแม้ว่าบริษัทอาจมีเครื่องมือที่เหมาะสมในการตรวจจับและตอบสนอง แต่ไม่มีกระบวนการหรือกระบวนการที่ไม่เพียงพอสำหรับเครื่องมือดังกล่าว” Hollenberger กล่าว แม้จะมี Playbooks เขากล่าว แต่นักวิเคราะห์ยังคงมีการตัดสินใจที่ซับซ้อนโดยพิจารณาจากรายละเอียดของการประนีประนอม เขากล่าวเสริมว่า “หากไม่มีความรู้และความคิดล่วงหน้าจากนักวิเคราะห์ แนวทางที่ไม่ถูกต้องอาจถูกนำไปใช้หรือขัดขวางความพยายามในการตอบสนองในที่สุด”

ไม่น่าแปลกใจเลยที่บริษัทและนักวิจัยพยายามนำการเรียนรู้ของเครื่องและปัญญาประดิษฐ์มาใช้กับ Playbook มากขึ้นเรื่อยๆ เช่น การขอคำแนะนำเกี่ยวกับขั้นตอนที่ต้องดำเนินการขณะตรวจสอบและตอบสนองต่อเหตุการณ์ โครงข่ายประสาทเทียมระดับลึกสามารถถูกฝึกให้มีประสิทธิภาพเหนือกว่าแผนการศึกษาพฤติกรรมสำนึกในปัจจุบัน โดยจะแนะนำขั้นตอนต่อไปโดยอัตโนมัติตามคุณลักษณะของเหตุการณ์ และคู่มือการเล่นที่แสดงเป็นชุดของขั้นตอนในกราฟ ตาม บทความที่ตีพิมพ์เมื่อต้นเดือนพฤศจิกายน โดยกลุ่มนักวิจัยจากมหาวิทยาลัย Ben-Gurion แห่ง Negev และ NEC ยักษ์ใหญ่ด้านเทคโนโลยี

นักวิจัยของ BGU และ NEC ยืนยันว่าการจัดการ Playbooks ด้วยตนเองนั้นไม่สามารถป้องกันได้ในระยะยาว

“เมื่อกำหนดแล้ว Playbooks จะถูกฮาร์ดโค้ดสำหรับชุดการแจ้งเตือนคงที่ และค่อนข้างคงที่และเข้มงวด” นักวิจัยระบุในรายงานของพวกเขา “สิ่งนี้อาจเป็นที่ยอมรับได้ในกรณีของเพลย์บุ๊คเชิงสืบสวนซึ่งอาจไม่จำเป็นต้องเปลี่ยนบ่อย แต่เป็นที่พึงปรารถนาน้อยกว่าในกรณีของเพลย์บุ๊คเชิงโต้ตอบซึ่งอาจจำเป็นต้องเปลี่ยนเพื่อปรับให้เข้ากับภัยคุกคามที่เกิดขึ้นใหม่และแปลกใหม่ก่อนหน้านี้ การแจ้งเตือนที่มองไม่เห็น”

ปฏิกิริยาที่เหมาะสมต้องใช้ Playbooks

การตรวจจับ การสืบสวน และการตอบสนองต่อเหตุการณ์โดยอัตโนมัติเป็นโดเมนของระบบรักษาความปลอดภัย ระบบอัตโนมัติ และการตอบสนอง (SOAR) ซึ่งนอกเหนือจากบทบาทอื่นๆ แล้ว ได้กลายเป็นที่เก็บข้อมูลของ Playbooks เพื่อใช้ในสถานการณ์ต่างๆ ที่บริษัทต้องเผชิญในระหว่างการรักษาความปลอดภัยทางไซเบอร์ เหตุการณ์.

“โลกแห่งความปลอดภัยกำลังรับมือกับความน่าจะเป็นและความไม่แน่นอน หนังสือกลยุทธ์เป็นวิธีหนึ่งในการลดความไม่แน่นอนเพิ่มเติมโดยการใช้กระบวนการที่เข้มงวดเพื่อให้ได้ผลลัพธ์สุดท้ายที่คาดการณ์ได้” Josh Blackwelder รองหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ SentinelOne กล่าว พร้อมเสริมว่าผลลัพธ์ที่สามารถทำซ้ำได้นั้นจำเป็นต้องมี การประยุกต์ใช้ Playbooks อัตโนมัติผ่าน SOAR “ไม่มีวิธีที่วิเศษในการเปลี่ยนจากการแจ้งเตือนด้านความปลอดภัยที่ไม่แน่นอนไปสู่ผลลัพธ์ที่คาดการณ์ได้ โดยไม่มีกระบวนการที่สอดคล้องและสมเหตุสมผล”

ระบบ SOAR กำลังกลายเป็นระบบอัตโนมัติมากขึ้นตามชื่อของมัน และการใช้โมเดล AI/ML เพื่อเพิ่มความชาญฉลาดให้กับระบบถือเป็นขั้นตอนต่อไปที่เป็นธรรมชาติ ตามที่ผู้เชี่ยวชาญระบุ

ตัวอย่างเช่น บริษัทตรวจจับและตอบสนองที่มีการจัดการอย่าง Red Canary ปัจจุบันใช้ AI เพื่อระบุรูปแบบและแนวโน้มที่เป็นประโยชน์ในการตรวจจับและตอบสนองต่อภัยคุกคาม และลดภาระการรับรู้ของนักวิเคราะห์เพื่อให้มีประสิทธิภาพและประสิทธิผลมากขึ้น นอกจากนี้ ระบบ generative AI ยังช่วยให้การสื่อสารทั้งสรุปและรายละเอียดทางเทคนิคของเหตุการณ์ให้กับลูกค้าได้ง่ายขึ้น Keith McCammon ประธานเจ้าหน้าที่รักษาความปลอดภัยและผู้ร่วมก่อตั้ง Red Canary กล่าว

“เราไม่ได้ใช้ AI เพื่อทำสิ่งต่าง ๆ เช่น สร้าง playbooks มากขึ้น แต่เรากำลังใช้มันอย่างกว้างขวางเพื่อทำให้การดำเนินการ playbooks และกระบวนการดำเนินการด้านความปลอดภัยอื่น ๆ เร็วขึ้นและมีประสิทธิภาพมากขึ้น” เขากล่าว

ในที่สุด Playbooks อาจถูกดำเนินการอัตโนมัติอย่างสมบูรณ์ผ่านโครงข่ายประสาทเทียมการเรียนรู้เชิงลึก (DL) นักวิจัยของ BGU และ NEC เขียน “[W]e มุ่งเป้าไปที่การขยายวิธีการของเราเพื่อรองรับไปป์ไลน์แบบ end-to-end ที่สมบูรณ์ โดยที่เมื่อระบบ SOAR ได้รับการแจ้งเตือน โมเดลที่ใช้ DL จะจัดการการแจ้งเตือนและปรับใช้การตอบสนองที่เหมาะสมโดยอัตโนมัติ — สร้างแบบไดนามิกและอัตโนมัติ -คู่มือการเล่นแบบทันที - และลดภาระของนักวิเคราะห์ความปลอดภัย” พวกเขาเขียน

Andrea Fumagalli ผู้อำนวยการอาวุโสฝ่ายการจัดการและระบบอัตโนมัติของ Sumo Logic กล่าวว่าการให้ความสามารถในการจัดการและอัปเดต Playbooks แก่โมเดล AI/ML ควรทำด้วยความระมัดระวัง โดยเฉพาะอย่างยิ่งในอุตสาหกรรมที่มีความละเอียดอ่อนหรือมีการควบคุม บริษัทจัดการความปลอดภัยบนคลาวด์แห่งนี้ใช้โมเดลที่ขับเคลื่อนด้วย AI/ML ในแพลตฟอร์มของตน และสำหรับการค้นหาและเน้นสัญญาณภัยคุกคามในข้อมูล

“จากการสำรวจหลายครั้งที่เราดำเนินการกับลูกค้าของเราในช่วงหลายปีที่ผ่านมา พวกเขายังไม่สบายใจที่จะมี AI ปรับเปลี่ยน แก้ไข และสร้าง Playbooks โดยอัตโนมัติ ไม่ว่าจะด้วยเหตุผลด้านความปลอดภัยหรือเพื่อการปฏิบัติตามข้อกำหนด” เขากล่าว “ลูกค้าองค์กรต้องการควบคุมสิ่งที่นำมาใช้เป็นขั้นตอนการจัดการเหตุการณ์และการตอบสนองอย่างสมบูรณ์”

ระบบอัตโนมัติจะต้องมีความโปร่งใสอย่างสมบูรณ์ และวิธีหนึ่งในการทำเช่นนั้นคือการแสดงคำค้นหาและข้อมูลทั้งหมดแก่นักวิเคราะห์ความปลอดภัย “สิ่งนี้ช่วยให้ผู้ใช้สามารถตรวจสอบตรรกะและข้อมูลที่ส่งคืน และตรวจสอบความถูกต้องของผลลัพธ์ก่อนที่จะไปยังขั้นตอนถัดไป” Blackwelder ของ SentinelOne กล่าว “เรารู้สึกว่าแนวทางที่ได้รับความช่วยเหลือจาก AI นี้เป็นความสมดุลที่เหมาะสมระหว่างความเสี่ยงของ AI และความจำเป็นในการเร่งประสิทธิภาพเพื่อให้สอดคล้องกับแนวภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็ว”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better