Tăng cường cẩm nang ứng phó sự cố với Machine Learning

Mỗi công ty nên có một kế hoạch ứng phó sự cố chung, trong đó thành lập nhóm ứng phó sự cố, chỉ định các thành viên và vạch ra chiến lược ứng phó với mọi sự cố an ninh mạng.

Tuy nhiên, để hành động nhất quán theo chiến lược đó, các công ty cần có cẩm nang — hướng dẫn chiến thuật hướng dẫn người ứng phó thông qua việc điều tra, phân tích, ngăn chặn, xóa bỏ và phục hồi các cuộc tấn công như ransomware, bùng phát phần mềm độc hại hoặc xâm phạm email doanh nghiệp. John Hollenberger, cố vấn bảo mật cấp cao của nhóm Dịch vụ chủ động của Fortinet, cho biết các tổ chức không tuân theo quy tắc bảo mật sẽ thường xuyên gặp phải nhiều sự cố nghiêm trọng hơn. Trong gần 40% sự cố toàn cầu mà Fortinet xử lý, việc thiếu sách hướng dẫn phù hợp là yếu tố góp phần dẫn đến sự xâm nhập ngay từ đầu.

Hollenberger nói: “Chúng tôi thường nhận thấy rằng mặc dù công ty có thể có các công cụ phù hợp để phát hiện và phản hồi nhưng không có hoặc không đầy đủ các quy trình xung quanh các công cụ nói trên”. Ông nói, ngay cả khi có sách vở, các nhà phân tích vẫn phải đưa ra những quyết định phức tạp dựa trên các chi tiết của thỏa hiệp. Ông cho biết thêm, “Nếu nhà phân tích không có kiến ​​thức và suy tính trước, cách tiếp cận sai lầm có thể được thực hiện hoặc cuối cùng cản trở nỗ lực ứng phó.”

Không có gì đáng ngạc nhiên, các công ty và nhà nghiên cứu đang ngày càng cố gắng áp dụng học máy và trí tuệ nhân tạo vào sách vở - chẳng hạn như nhận đề xuất về các bước cần thực hiện khi điều tra và ứng phó với một sự cố. Mạng lưới thần kinh sâu có thể được huấn luyện để hoạt động tốt hơn các sơ đồ dựa trên kinh nghiệm hiện tại, tự động đề xuất các bước tiếp theo dựa trên các đặc điểm của sự cố và sách hướng dẫn được biểu thị dưới dạng một loạt các bước trong biểu đồ, theo một bài báo được xuất bản vào đầu tháng XNUMX bởi một nhóm các nhà nghiên cứu từ Đại học Ben-Gurion của Negev và gã khổng lồ công nghệ NEC.

Các nhà nghiên cứu của BGU và NEC lập luận rằng việc quản lý playbook theo cách thủ công có thể không bền vững về lâu dài.

Các nhà nghiên cứu cho biết trong bài báo của họ: “Sau khi được xác định, playbook được mã hóa cứng cho một bộ cảnh báo cố định và khá tĩnh và cứng nhắc”. “Điều này có thể được chấp nhận trong trường hợp các cẩm nang điều tra, có thể không cần thay đổi thường xuyên, nhưng nó ít được mong muốn hơn trong trường hợp các cẩm nang ứng phó, có thể cần phải thay đổi để thích ứng với các mối đe dọa mới nổi và tính mới, trước đây. những cảnh báo chưa được nhìn thấy.”

Phản ứng thích hợp Yêu cầu Playbook

Tự động hóa việc phát hiện, điều tra và ứng phó với các sự kiện là các lĩnh vực của hệ thống điều phối, tự động hóa và phản hồi bảo mật (SOAR), trong số các vai trò khác, đã trở thành kho lưu trữ các cẩm nang để sử dụng trong nhiều tình huống khác nhau mà các công ty gặp phải trong an ninh mạng sự kiện.

Josh Blackwelder, phó giám đốc an ninh thông tin tại SentinelOne cho biết: “Thế giới bảo mật đang phải đối mặt với các xác suất và sự không chắc chắn - các vở kịch là một cách để giảm bớt sự không chắc chắn hơn nữa bằng cách áp dụng một quy trình nghiêm ngặt để đạt được kết quả cuối cùng có thể dự đoán được”. ứng dụng tự động các playbook thông qua SOAR. “Không có cách thần kỳ nào để chuyển từ cảnh báo bảo mật không chắc chắn đến kết quả có thể dự đoán được nếu không có quy trình nhất quán và hợp lý.”

Theo các chuyên gia, các hệ thống SOAR ngày càng trở nên tự động hóa, đúng như tên gọi của chúng và việc áp dụng các mô hình AI/ML để bổ sung trí thông minh cho hệ thống là bước tự nhiên tiếp theo.

Ví dụ, công ty phát hiện và ứng phó được quản lý Red Canary hiện đang sử dụng AI để xác định các mô hình và xu hướng hữu ích trong việc phát hiện và ứng phó với các mối đe dọa cũng như giảm tải nhận thức cho các nhà phân tích để làm cho chúng hoạt động hiệu quả hơn. Ngoài ra, hệ thống AI tổng hợp có thể giúp việc truyền đạt cả bản tóm tắt và chi tiết kỹ thuật của sự cố tới khách hàng trở nên dễ dàng hơn, Keith McCammon, giám đốc an ninh và đồng sáng lập của Red Canary cho biết.

Ông nói: “Chúng tôi không sử dụng AI để làm những việc như tạo ra nhiều cẩm nang hơn, nhưng chúng tôi đang sử dụng nó một cách rộng rãi để giúp việc thực thi các cẩm nang và các quy trình hoạt động bảo mật khác nhanh hơn và hiệu quả hơn”.

Các nhà nghiên cứu của BGU và NEC đã viết rằng cuối cùng, playbook có thể được tự động hóa hoàn toàn thông qua mạng lưới thần kinh học sâu (DL). “[W]e nhằm mục đích mở rộng phương pháp của chúng tôi để hỗ trợ quy trình hoàn chỉnh từ đầu đến cuối, trong đó, khi hệ thống SOAR nhận được cảnh báo, mô hình dựa trên DL sẽ xử lý cảnh báo và triển khai các phản hồi thích hợp một cách tự động - tạo ra một cách linh hoạt và tự chủ trên -các vở kịch nhanh chóng — và do đó giảm bớt gánh nặng cho các nhà phân tích chứng khoán,” họ viết.

Tuy nhiên, việc cung cấp cho các mô hình AI/ML khả năng quản lý và cập nhật sổ tay phải được thực hiện một cách cẩn thận, đặc biệt là trong các ngành nhạy cảm hoặc được quản lý, Andrea Fumagalli, giám đốc cấp cao về điều phối và tự động hóa của Sumo Logic, cho biết. Công ty quản lý bảo mật dựa trên đám mây này sử dụng các mô hình dựa trên AI/ML trong nền tảng của mình để tìm và nêu bật các tín hiệu mối đe dọa trong dữ liệu.

Ông nói: “Dựa trên nhiều cuộc khảo sát mà chúng tôi đã thực hiện với khách hàng của mình trong nhiều năm, họ vẫn chưa thấy thoải mái khi để AI điều chỉnh, sửa đổi và tạo sách hướng dẫn một cách tự động, vì lý do bảo mật hoặc để tuân thủ”. “Khách hàng doanh nghiệp muốn có toàn quyền kiểm soát những gì được thực hiện như quy trình quản lý và ứng phó sự cố.”

Tự động hóa cần phải hoàn toàn minh bạch và một cách để làm điều đó là hiển thị tất cả các truy vấn và dữ liệu cho các nhà phân tích bảo mật. Blackwelder của SentinelOne cho biết: “Điều này cho phép người dùng kiểm tra logic và dữ liệu được trả về cũng như xác thực kết quả trước khi chuyển sang bước tiếp theo”. “Chúng tôi cảm thấy cách tiếp cận được hỗ trợ bởi AI này là sự cân bằng phù hợp giữa rủi ro của AI và nhu cầu tăng tốc hiệu quả để phù hợp với bối cảnh mối đe dọa đang thay đổi nhanh chóng.”

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better