چگونه به تحلیلگر SOC (مرکز عملیات امنیتی) کمک کنیم تا با "خستگی هشدارها" کنار بیاید؟

سعید ناصریسعید ناصریمارس 9, 20201min0

داده های بررسی شبکه Palo Alto نشان می دهد که تحلیلگران SOC فقط قادر به مدیریت 14٪ هشدارهای ایجاد شده توسط ابزارهای امنیتی هستند. با توجه به داده های IDC که اکثر مثبت های نادرست کاذب هستند ، نتایج قابل پیش بینی است: هشدارها نادیده گرفته می شوند ، تحلیلگران وقت خود را به دنبال سرنخ های اشتباه تلف می کنند و تهدیدهای واقعی مشخص نمی شوند.

گذشته از بازدارندگی اولیه ، بیشتر ابزارهای امنیتی برای انجام یک کارکرد کلیدی "هشدار و پاسخ دادن" طراحی شده اند. سرورها ، روترها ، فایروال ها و ابزارهای ضد ویروس هشدار می دهند. تیم های امنیتی اغلب از سیاست های "کاملاً هوشیار" برای فرآیندهای بالقوه با ریسک بالا که معمولاً مشاغل استفاده می کنند ، استفاده می کنند نه سیاست "مسدود کردن".

فرض بر این است که تحلیلگران بر اساس این هشدارها همه رفتارهای مشکوک را مرور و درک خواهند کرد. اما وقتی تحلیلگران روزانه هزاران هشدار نادرست دریافت می کنند ، این استراتژی به هم می خورد. اگر این هشدارها از طریق ابزارهای امنیتی حاصل شود که هیچ گونه اطلاعاتی در مورد رویدادها ارائه نمی دهند یا میزان آن کم است ، اوضاع رو به وخامت می رود.

لیست چک لیست هشدارهای کاهش خستگی

اگر سنسورها و سیستم های هشدار را حذف کنیم ، در واقع نقاط کور امنیتی ایجاد کرده ایم (اما بسیاری از اطلاعات به شدت نادیده گرفته نمی شوند) ، ما باید از روش های هوشمندانه تری برای حل مشکلات بدون مشکلات جدید استفاده کنیم. ما هنوز به هشدار نیاز داریم ، اما آنها باید دقیق تر باشند. این بدان معنی است که هنگام بررسی ابزارها و فرآیندها باید مفاهیم زیر را درک کنیم:

اتوماسیون

در مرحله اول ، سازمانها می توانند با استفاده از اتوماسیون ، فرایند رتبه بندی هشدار خود را به میزان قابل توجهی بهبود بخشند. پالو آلتو شبکه معتقد است که همه عملیات امنیتی لایه 1 (رتبه بندی هشدار) می توانند با استفاده از فناوری های SOAR (سازمان ، اتوماسیون و پاسخ امنیتی) که از ابزارهای از پیش تعریف شده برای خودکار سازی پاسخ استفاده می شود ، خودکار شوند. و بهتر است این کار را انجام دهیم. این اقدامات در رتبه بندی هشدار شامل تجزیه و تحلیل هشدار ، به روزرسانی مورد در صورت شناخته شدن ، باز کردن مورد در صورت عدم اطلاع و سپس رتبه بندی شدت هشدار برای ارسال به تحلیلگر است. با اتوماسیون این فرآیند ، تعداد هشدارهایی که یک تحلیلگر باید پاسخگو باشد ، به میزان قابل توجهی کاهش می یابد و به او امکان می دهد به جای اینکه خیره شود به سیاهههای مربوط به عیب یابی ، وقت ارزشمندی را بگذراند.

ارتباط دیتا

دوم ، اگر تیم های امنیتی بخواهند دید را بهبود بخشند ، باید ابزارهای یکپارچه را بر روی ابزارهای جداگانه اولویت بندی کنند. اگر هفت ابزار مختلف دارید که هرکدام با قسمت خاصی از زیرساختهای امنیتی سروکار دارند و بهم پیوسته نیستند ، این ابزارها نمی توانند اطلاعاتی را برای کمک به ردیابی تهدید ارائه دهند. اگر یک سری اقدامات که به نظر می رسد در عمل مناسب هستند به گونه ای عمل می کنند که نشان دهنده خصومت با سیستم است ، شما متوجه آن نخواهید شد. همچنین ممکن است یک ساعت را برای ردیابی بدافزارهایی که به EPP شما نفوذ می کنند اختصاص دهید و در نهایت متوجه شوید که توسط فایروال شما مسدود شده است.

یک بستر امنیتی با قابلیت های داخلی نمای وسیع تری را ارائه می دهد. به عنوان مثال Cortex Data Lake ، نقاط انتهایی ، ابر و داده های شبکه را به هم متصل می کند. این ادغام اجزای امنیتی Cortex XDR داده های غنی تری (برای تحقیقات سریع تر و پیگرد قانونی) و هشدارهای آلوده (برای مسدود کردن رفتارهای مخرب قبلی) فراهم می کند.

فراگیری ماشین

سرانجام ، ابزار EDR (Endpoint Response Detection Detection and Response) قابلیت یادگیری ماشینی را دارد که به آن در شناسایی الگوهای و بهبود یادگیری کمک می کند. EDR شما باید از منبع داده شما استفاده کند تا الگوریتم خود را برای تولید هشدارهای دقیق تر و اولویت بندی شده به خصوص برای بهبود هشدارها ادامه دهد.

Cortex XDR تشخیص هوشمندانه تری دارد

Cortex XDR ثابت کرده است که ترکیبی از هشدارهای دقیق را ارائه می دهد. این ترکیب برای کشف تهدیدها و همچنین سیاهههای مربوط به غنی و همبستگی برای تحقیقات و پیگردهای تهدیدات بسیار مفید است. این نوع هشدارها به سازمانها کمک می کنند تا از هشدارهای دروغین جلوگیری کنند ، بنابراین تحلیلگران آنها می توانند بر تهدیدهای واقعی متمرکز شوند.

آزمایش اخیر ابزارهای EDR با استفاده از شبیه سازی حمله APT 3 از طریق MITER ATT & CK نشان داد که Cortex XDR و Traps بیشترین حملات را در بین ده ارائه دهنده EDR دیگر مشاهده کرده اند. این ارزیابی یکی از اولین ارزیابیهای صنعتی باز و عینی از عملکرد مناسب بازار EDR را ارائه می دهد.

Cortex XDR در هنگام آزمایش MITER 20 هشدار پیش فرض و 82 پرونده را با پیکربندی پیش فرض ایجاد کرده است. مشتریان در آرایش واقعی می توانند به سنسورهای بیشتر Cortex Data Lake متصل شوند و دید Cortex XDR و اطلاعات بیشتری را در مورد رفتار عوامل بالقوه تهدید کنند. این امر باعث کاهش مثبت کاذب و بهبود رفتار خرابکارانه به ظاهر مطلوب می شود.

یک نظر بدهید

ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت گذاری شده اند *

دو × 5 =