Olay Müdahalesi Oyun Kitaplarını Makine Öğrenimiyle İyileştirme

Her şirketin, bir olay müdahale ekibi oluşturan, üyeleri belirleyen ve herhangi bir siber güvenlik olayına tepki verme stratejisinin ana hatlarını çizen genel bir olay müdahale planı olması gerekir.

Bununla birlikte, bu stratejiye göre tutarlı bir şekilde hareket etmek için şirketlerin, fidye yazılımı, kötü amaçlı yazılım salgını veya iş e-postasının ele geçirilmesi gibi saldırılara yönelik soruşturma, analiz, kontrol altına alma, ortadan kaldırma ve kurtarma aşamalarında müdahale ekiplerine yol gösterecek taktik kılavuzlar olan taktik kılavuzlara ihtiyacı var. Fortinet'in Proaktif Hizmetler grubunun kıdemli güvenlik danışmanı John Hollenberger, güvenlik için bir strateji kitabını takip etmeyen kuruluşların sıklıkla daha ciddi olaylarla karşılaşacağını söylüyor. Fortinet'in ele aldığı küresel olayların neredeyse %40'ında, yeterli taktik kitaplarının bulunmaması, ilk etapta izinsiz girişe yol açan katkıda bulunan bir faktördü.

Hollenberger, "Şirketin tespit etmek ve yanıt vermek için doğru araçlara sahip olmasına rağmen, söz konusu araçlarla ilgili süreçlerin bulunmadığını veya yetersiz olduğunu sıklıkla gördük" diyor. Ona göre, taktik kitaplarda bile analistlerin hâlâ uzlaşmanın ayrıntılarına dayanarak vermeleri gereken karmaşık kararlar var. Şöyle ekliyor: "Bir analistin bilgisi ve öngörüsü olmadan, yanlış yaklaşım benimsenebilir veya sonuç olarak müdahale çabaları engellenebilir."

Şaşırtıcı olmayan bir şekilde, şirketler ve araştırmacılar, makine öğrenimini ve yapay zekayı giderek daha fazla taktik kitaplara uygulamaya çalışıyor; örneğin bir olayı araştırırken ve olaya müdahale ederken hangi adımların atılması gerektiğine dair öneriler almak gibi. Derin bir sinir ağı, mevcut sezgisel tabanlı şemalardan daha iyi performans gösterecek şekilde eğitilebilir; bir olayın özelliklerine ve bir grafikte bir dizi adım olarak temsil edilen taktik kitaplarına göre sonraki adımları otomatik olarak önerir. kasım ayı başlarında yayınlanan bir makale Negev'deki Ben-Gurion Üniversitesi'nden ve teknoloji devi NEC'den bir grup araştırmacı tarafından.

BGU ve NEC araştırmacıları, taktik kitaplarını manuel olarak yönetmenin uzun vadede savunulamaz olabileceğini savunuyor.

Araştırmacılar makalelerinde "Bir kez tanımlandıktan sonra taktik kitapları sabit bir dizi uyarı için sabit kodlanır ve oldukça statik ve katıdır" dedi. "Bu, sık sık değiştirilmesi gerekmeyen araştırma taktik kitapları durumunda kabul edilebilir olabilir, ancak daha önce ortaya çıkan tehditlere ve yeniliğe uyum sağlamak için değiştirilmesi gerekebilecek yanıt taktik kitapları durumunda daha az arzu edilir. Görünmeyen uyarılar."

Doğru Tepkiler Başucu Kitapları Gerektirir

Tespit, soruşturma ve olaylara yanıt vermenin otomatikleştirilmesi, güvenlik düzenleme, otomasyon ve yanıt (SOAR) sistemlerinin etki alanlarıdır ve diğer rollerin yanı sıra, firmaların siber güvenlik sırasında karşılaştığı çeşitli durumlarda kullanılacak taktik kitaplarının depoları haline gelmiştir. etkinlik.

SentinelOne bilgi güvenliği başkan yardımcısı Josh Blackwelder, "Güvenlik dünyası olasılıklar ve belirsizliklerle uğraşmaktadır; taktik kitaplar, öngörülebilir nihai sonuçlar elde etmek için sıkı bir süreç uygulayarak daha fazla belirsizliği azaltmanın bir yoludur" diyor ve tekrarlanabilir sonuçların, SOAR aracılığıyla başucu kitaplarının otomatik olarak uygulanması. "Tutarlı ve mantıksal bir süreç akışı olmadan, belirsiz güvenlik uyarılarından öngörülebilir sonuçlara ulaşmanın sihirli bir yolu yok."

Uzmanlara göre SOAR sistemleri, adından da anlaşılacağı üzere giderek daha fazla otomatik hale geliyor ve sistemlere zeka eklemek için AI/ML modellerini benimsemek doğal bir sonraki adım.

Örneğin, yönetilen tespit ve müdahale firması Red Canary, tehditleri tespit etme ve bunlara yanıt vermede yararlı olan kalıpları ve eğilimleri belirlemek ve onları daha verimli ve etkili kılmak için analistler üzerindeki bilişsel yükü azaltmak için halihazırda yapay zekayı kullanıyor. Ayrıca Red Canary'nin kurucu ortağı ve güvenlik şefi Keith McCammon, üretken yapay zeka sistemlerinin müşterilere olayların hem özetini hem de teknik ayrıntılarını iletmeyi kolaylaştırabileceğini söylüyor.

"Yapay zekayı daha fazla taktik kitabı oluşturmak gibi şeyler yapmak için kullanmıyoruz, ancak taktik kitaplarının ve diğer güvenlik işlemleri süreçlerinin daha hızlı ve daha etkili yürütülmesini sağlamak için onu kapsamlı bir şekilde kullanıyoruz" diyor.

BGU ve NEC araştırmacıları, sonunda oyun kitaplarının derin öğrenme (DL) sinir ağları aracılığıyla tamamen otomatikleştirilebileceğini yazdı. "[W]e, SOAR sistemi tarafından bir uyarı alındığında, DL tabanlı bir modelin uyarıyı ele aldığı ve uygun yanıtları otomatik olarak - dinamik ve özerk bir şekilde oluşturarak - dağıttığı, uçtan uca boru hattının tamamını destekleyecek şekilde yöntemimizi genişletmeyi hedefliyoruz. - sinek taktik kitapları - ve böylece güvenlik analistlerinin üzerindeki yükü azaltıyor" diye yazdılar.

Ancak Sumo Logic'in orkestrasyon ve otomasyondan sorumlu kıdemli yöneticisi Andrea Fumagalli, AI/ML modellerine oyun kitaplarını yönetme ve güncelleme yeteneği vermenin, özellikle hassas veya düzenlemeye tabi endüstrilerde dikkatli bir şekilde yapılması gerektiğini söylüyor. Bulut tabanlı güvenlik yönetimi şirketi, platformunda ve verilerdeki tehdit sinyallerini bulup vurgulamak için AI/ML odaklı modelleri kullanıyor.

"Yıllar boyunca müşterilerimizle yürüttüğümüz çok sayıda ankete göre, müşterilerimiz henüz yapay zekanın gerek güvenlik nedenleriyle gerek uyumluluk nedeniyle uyum sağlaması, değiştirmesi ve başucu kitaplarını özerk bir şekilde oluşturması konusunda rahat değiller" diyor. "Kurumsal müşteriler, olay yönetimi ve müdahale prosedürleri olarak uygulananlar üzerinde tam kontrole sahip olmak istiyor."

Otomasyonun tamamen şeffaf olması gerekir ve bunu yapmanın bir yolu da tüm sorguları ve verileri güvenlik analistlerine göstermektir. SentinelOne'dan Blackwelder, "Bu, kullanıcının, bir sonraki adıma geçmeden önce, döndürülen mantığı ve verileri kontrol etmesine ve sonuçları doğrulamasına olanak tanıyor" diyor. "Bu yapay zeka destekli yaklaşımın, yapay zekanın riskleri ile hızla değişen tehdit ortamına uyum sağlamak için verimliliği hızlandırma ihtiyacı arasındaki uygun denge olduğunu düşünüyoruz."

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better