Her şirketin, bir olay müdahale ekibi oluşturan, üyeleri belirleyen ve herhangi bir siber güvenlik olayına tepki verme stratejisinin ana hatlarını çizen genel bir olay müdahale planı olması gerekir.
Bununla birlikte, bu stratejiye göre tutarlı bir şekilde hareket etmek için şirketlerin, fidye yazılımı, kötü amaçlı yazılım salgını veya iş e-postasının ele geçirilmesi gibi saldırılara yönelik soruşturma, analiz, kontrol altına alma, ortadan kaldırma ve kurtarma aşamalarında müdahale ekiplerine yol gösterecek taktik kılavuzlar olan taktik kılavuzlara ihtiyacı var. Fortinet’in Proaktif Hizmetler grubunun kıdemli güvenlik danışmanı John Hollenberger, güvenlik için bir strateji kitabını takip etmeyen kuruluşların sıklıkla daha ciddi olaylarla karşılaşacağını söylüyor. Fortinet’in ele aldığı küresel olayların neredeyse %40’ında, yeterli taktik kitaplarının bulunmaması, ilk etapta izinsiz girişe yol açan katkıda bulunan bir faktördü.
Hollenberger, “Şirketin tespit etmek ve yanıt vermek için doğru araçlara sahip olmasına rağmen, söz konusu araçlarla ilgili süreçlerin bulunmadığını veya yetersiz olduğunu sıklıkla gördük” diyor. Ona göre, taktik kitaplarda bile analistlerin hâlâ uzlaşmanın ayrıntılarına dayanarak vermeleri gereken karmaşık kararlar var. Şöyle ekliyor: “Bir analistin bilgisi ve öngörüsü olmadan, yanlış yaklaşım benimsenebilir veya sonuçta müdahale çabaları engellenebilir.”
Şaşırtıcı olmayan bir şekilde, şirketler ve araştırmacılar, bir olayı araştırırken ve olaya müdahale ederken hangi adımların atılması gerektiğine dair tavsiyeler almak gibi, makine öğrenimini ve yapay zekayı taktik kitaplara giderek daha fazla uygulamaya çalışıyor. Derin bir sinir ağı, bir olayın özelliklerine ve bir grafikte bir dizi adım olarak temsil edilen taktik kitaplarına göre sonraki adımları otomatik olarak önererek mevcut sezgisel tabanlı şemalardan daha iyi performans gösterecek şekilde eğitilebilir. kasım ayı başlarında yayınlanan bir makale Negev’deki Ben-Gurion Üniversitesi’nden ve teknoloji devi NEC’den bir grup araştırmacı tarafından.
BGU ve NEC araştırmacıları, taktik kitaplarını manuel olarak yönetmenin uzun vadede savunulamaz olabileceğini savunuyor.
Araştırmacılar makalelerinde “Bir kez tanımlandıktan sonra taktik kitapları sabit bir dizi uyarı için sabit kodlanır ve oldukça statik ve katıdır” dedi. “Bu, sık sık değiştirilmesi gerekmeyen araştırma taktik kitapları durumunda kabul edilebilir olabilir, ancak daha önce ortaya çıkan tehditlere ve yeniliğe uyum sağlamak için değiştirilmesi gerekebilecek yanıt taktik kitapları durumunda daha az arzu edilir. Görünmeyen uyarılar.”
Doğru Tepkiler Başucu Kitapları Gerektirir
Tespit, soruşturma ve olaylara yanıt vermenin otomatikleştirilmesi, güvenlik orkestrasyonu, otomasyon ve yanıt (SOAR) sistemlerinin etki alanlarıdır ve diğer rollerin yanı sıra, firmaların siber güvenlik sırasında karşılaştığı çeşitli durumlarda kullanılacak taktik kitaplarının depoları haline gelmiştir. etkinlik.
SentinelOne bilgi güvenliği başkan yardımcısı Josh Blackwelder, “Güvenlik dünyası olasılıklar ve belirsizliklerle uğraşmaktadır; taktik kitaplar, öngörülebilir nihai sonuçlar elde etmek için sıkı bir süreç uygulayarak daha fazla belirsizliği azaltmanın bir yoludur” diyor ve tekrarlanabilir sonuçların, SOAR aracılığıyla başucu kitaplarının otomatik olarak uygulanması. “Tutarlı ve mantıksal bir süreç akışı olmadan, belirsiz güvenlik uyarılarından öngörülebilir sonuçlara ulaşmanın sihirli bir yolu yok.”
Uzmanlara göre SOAR sistemleri, adından da anlaşılacağı üzere giderek daha fazla otomatik hale geliyor ve sistemlere zeka eklemek için AI/ML modellerini benimsemek doğal bir sonraki adım.
Örneğin, yönetilen tespit ve müdahale firması Red Canary, tehditleri tespit etme ve bunlara yanıt vermede yararlı olan kalıpları ve eğilimleri belirlemek ve onları daha verimli ve etkili kılmak için analistler üzerindeki bilişsel yükü azaltmak için halihazırda yapay zekayı kullanıyor. Ayrıca Red Canary’nin kurucu ortağı ve güvenlik şefi Keith McCammon, üretken yapay zeka sistemlerinin müşterilere olayların hem özetini hem de teknik ayrıntılarını iletmeyi kolaylaştırabileceğini söylüyor.
“Yapay zekayı daha fazla taktik kitabı oluşturmak gibi şeyler yapmak için kullanmıyoruz, ancak taktik kitaplarının ve diğer güvenlik işlemleri süreçlerinin daha hızlı ve daha etkili yürütülmesini sağlamak için onu kapsamlı bir şekilde kullanıyoruz” diyor.
BGU ve NEC araştırmacıları, sonunda oyun kitaplarının derin öğrenme (DL) sinir ağları aracılığıyla tamamen otomatikleştirilebileceğini yazdı. “[W]SOAR sistemi tarafından bir uyarı alındığında, DL tabanlı bir modelin uyarıyı ele aldığı ve uygun yanıtları otomatik olarak dağıttığı, dinamik ve özerk bir şekilde anında yaratıldığı, uçtan uca boru hattının tamamını destekleyecek şekilde yöntemimizi genişletmeyi amaçlıyoruz. başucu kitapları – ve böylece güvenlik analistlerinin üzerindeki yükü azaltıyor” diye yazdılar.
Ancak Sumo Logic’in orkestrasyon ve otomasyondan sorumlu kıdemli yöneticisi Andrea Fumagalli, AI/ML modellerine oyun kitaplarını yönetme ve güncelleme yeteneği vermenin, özellikle hassas veya düzenlemeye tabi endüstrilerde dikkatli bir şekilde yapılması gerektiğini söylüyor. Bulut tabanlı güvenlik yönetimi şirketi, platformunda ve verilerdeki tehdit sinyallerini bulup vurgulamak için AI/ML odaklı modelleri kullanıyor.
“Yıllar boyunca müşterilerimizle yürüttüğümüz çok sayıda ankete göre, müşterilerimiz henüz yapay zekanın, güvenlik nedenleriyle veya uyumluluk nedeniyle özerk bir şekilde uyum sağlaması, değiştirmesi ve oyun kitapları oluşturması konusunda rahat değiller” diyor. “Kurumsal müşteriler, olay yönetimi ve müdahale prosedürleri olarak uygulananlar üzerinde tam kontrole sahip olmak istiyor.”
Otomasyonun tamamen şeffaf olması gerekir ve bunu yapmanın bir yolu da tüm sorguları ve verileri güvenlik analistlerine göstermektir. SentinelOne’dan Blackwelder, “Bu, kullanıcının döndürülen mantığı ve verileri kontrol etmesine ve bir sonraki adıma geçmeden önce sonuçları doğrulamasına olanak tanıyor” diyor. “Bu yapay zeka destekli yaklaşımın, yapay zekanın riskleri ile hızla değişen tehdit ortamına uyum sağlamak için verimliliği hızlandırma ihtiyacı arasındaki uygun denge olduğunu düşünüyoruz.”