FragMichMa
Now Reading
Verbessern Sie dasjenige Vertrauen und den Kontext, um dasjenige SOC zwischen dieser Automatisierung zu verkaufen
FragMichMa
FragMichMa

Verbessern Sie dasjenige Vertrauen und den Kontext, um dasjenige SOC zwischen dieser Automatisierung zu verkaufen

by
December 13, 2022
Verbessern Sie das Vertrauen und den Kontext, um das SOC bei der Automatisierung zu verkaufen

[ad_1]

Man könnte meinen, dass Sicherheitsteams verschiedene Phasen des SOC-Lebenszyklus automatisieren und sich darauf freuen, Zeit zu sparen und die mittlere Zeit solange bis zur Erkennung (MTTD) und die mittlere Zeit solange bis zur Reaktion (MTTR) zu beschleunigen. Im Gegensatz dazu realiter nach sich ziehen Sicherheitsteams kein Vertrauen in die Automatisierung, weil zu viele Fehlalarme, schlechte Erkennung, ein Not an vollständigen Analysen und die Tatsache, dass die ihnen zur Verfügung stehenden Analysen zwischen verschiedenen Erkennungstools stromlos und nicht effektiv miteinander verknüpft sind.

Welche Faktoren münden zu qualitativ schlechten Response-Playbooks von Threat Detection, Nachforschung, and Response (TDIR)-Lösungen, denen man nicht vertrauen kann. Ohne die Unzweifelhaftigkeit, dass die Reaktion die Gefahr beseitigt, ohne andere wichtige Geschäftsprozesse zu stören, werden Sicherheitsteams mit dieser Automatisierung im SOC nicht zufrieden sein.

Die meisten TDIR-Lösungen gelingen ebendiese Vertrauensschwelle nicht, da sie nicht genügend Kontextinformationen zu einer Gefahr vereinen und von dort ihr Reaktions-Playbook nicht an die Situation und ihre Umgebung verbiegen. Dieser Sicherheitsanalyst muss Kontextinformationen manuell vereinen und entscheiden, wie dasjenige Playbook zugeschnitten werden soll, ehe er es zur Implementierung an dasjenige entsprechende Team weitergibt. Dasjenige was auch immer braucht Zeit, welches MTTD und MTTR weiter reduziert.

Welches daher fehlt TDIR-Lösungen, dasjenige diesen Vertrauensverlust verursacht? Lassen Sie uns vier Wege untersuchen, warum aktuelle SIEM- und XDR-Lösungen die Standards des SOC-Teams zu Gunsten von Vertrauen und Kontext nicht gerecht werden, und manche Möglichkeiten, wie sie es bessern könnten.

Problem: Kann nicht unbewusst skalieren, um ein hohes Datenvolumen zu zusagen

In dieser Standpunkt zu sein, so viele Datenmaterial aus so vielen Quellen wie möglich aufzunehmen, bedeutet, dass dasjenige System zusammen mit Warnungen mehr Kontext bewilligen und Korrekturen zielgerichteter vornehmen kann. Ohne ebendiese zusätzlichen Datenmaterial ist die Erwiderung normalerweise nicht spezifisch genug zu Gunsten von dasjenige SOC-Team, um fortzufahren, ohne was auch immer manuell zu prüfen.

Leider fakturieren viele SIEMs basierend hinauf dem Datenvolumen, dasjenige die Störungsbehebung verarbeitet, welches zu einem Kompromiss zwischen Wert und Datenmaterial führt. In dieser Situation könnte es zu teuer sein, genügend Datenmaterial zu erhalten, um dem Analysten zu helfen!

Störungsbehebung: Wählen Sie eine Störungsbehebung mit einem anderen Preisplan, z. B. die Zinsrechnung pro Benutzer und/oder pro Gerät statt nachdem Datenvolumen. In Folge dessen wird sichergestellt, dass die Wert untergeordnet dann relativ konstant bleiben, wenn sich dasjenige Datenvolumen erheblich ändert (welches x-fach dieser Sachverhalt ist).

Problem: Datenmaterial aus vielen verschiedenen Quellen können nicht unbewusst aufgenommen und interpretiert werden

Nachdem wir festgestellt nach sich ziehen, dass eine hohe Datenaufnahme unerlässlich ist, um dasjenige Vertrauen des SOC-Teams in die Stellung beziehen zu steigern, ist die Fähigkeit, ebendiese Datenmaterial zu verarbeiten und zu sortieren, die zweite Hälfte dieser Gleichung. Dasjenige SIEM muss in dieser Standpunkt sein, sowohl strukturierte denn untergeordnet unstrukturierte Datenmaterial mit einer Gattung Dateninterpretations-Engine zu verarbeiten. Je mehr Integrationen dasjenige SIEM standardmäßig hat, umso besser.

Störungsbehebung: Die Fähigkeit, unstrukturierte Datenmaterial aufzunehmen, sie zu parsen und nützliche Informationen daraus zu extrahieren, erhoben die Bedrohungserkennungsfähigkeiten eines SIEM erheblich. Etwa können Datenmaterial aus HR-Systemen hierbei helfen, Insider-Bedrohungen und notfalls verärgerte Mitwirkender zu identifizieren, gleichwohl ebendiese sind im Allgemeinen nicht in einem Format strukturiert, dasjenige ein SIEM verarbeiten kann.

Problem: True Machine Learning und Advanced Security Analytics können nicht umgesetzt werden

Echte maschinelle Lernfähigkeiten (ML) – wie zwischen trainiertem ML statt regelbasiertem ML – zeugen die Erkennung von Bedrohungen genauer, welches wiederum Playbooks zu Gunsten von die Reaktion zielgerichteter und individueller macht. Bedrohungserkennung basierend hinauf trainiertem ML kann neue und unbekannte Angriffe besser wiedererkennen und sich an verändertes Netzwerkverhalten verbiegen, ohne aktualisiert werden zu sollen. Regelbasiertes ML ist wie ein Flussdiagramm; Seine Eingaben und Ausgaben sind steif, und von dort ist es in seinen Ergebnissen limitiert und in seiner Richtigkeit relativ schlecht. Wenn ein neuer, nie zuvor gesehener Cyberangriff in freier Wildbahn auftaucht, kann eine regelbasierte Erkennungslösung ihn nicht wiedererkennen, solange bis die Definitionen aktualisiert wurden, welches Tage oder sogar Wochen dauern kann, je nachdem, wie reaktionsschnell dieser Provider ist.

Störungsbehebung: Ein ML-Sendung sollte den Offensive basierend hinauf Kontextdaten wiedererkennen und denn potenzielle Gefahr kennzeichnen. Eine bessere Richtigkeit bedeutet, dass dasjenige SOC-Team zuversichtlicher ist, welches bedeutet, dass es weniger manuelle Nachforschungen ausfressen muss.

Problem: Ergebnisse können nicht unbewusst validiert und detaillierte Risikobewertungen erstellt werden

Die Möglichkeit, Reaktionen basierend hinauf dem Risiko zu vorziehen, ist dasjenige letzte Puzzleteil, um dasjenige Vertrauen des SOC-Teams zu stärken. Viele SIEM- oder XDR-Produkte spendieren eine generische Risikobewertung basierend hinauf CVE- und CVSS-Bewertungen (dass schier vorhanden). Welche Scores sind im Allgemeinen nicht an ihre Umgebung zugeschnitten.

Störungsbehebung: Fortgeschrittenere Lösungen generieren eine Risikobewertung basierend hinauf Datenmaterial aus Schwachstellen-Scan-Tools, Benutzerzugriffsinformationen, HR-Anwendungen usw. Nehmen Sie bspw. verdongeln Benutzer, dieser zum ersten Mal mit einer unbekannten externen Website spricht. Wie riskant ist dasjenige? Wenn ebendiese externe Website schließlich Schadsoftware hostet (die hoch Reputationsdienste identifiziert wurde) oder dieser Benutzer kürzlich verdongeln Leistungsplan erhalten hat und notfalls verdongeln Missvergnügen gegen dasjenige Unternehmen hegt, ist dasjenige Risiko hoch. Eine andere Sache ist ist ein Benutzer, dieser sich von einer unbekannten IP-Postanschrift aus zwischen Unternehmensressourcen anmeldet, weniger riskant, wenn dieser Benutzer remote arbeitet.

Die Risikobewertung hinauf ebendiese Weise ist schwierig und erfordert viele Kontextdaten, gleichwohl sie ermöglicht es dem SIEM, hochriskante Angriffe unbewusst zu identifizieren, und hilft dem SOC-Team, dieser Spiel zu vertrauen, welches verdongeln schlankeren und effektiveren Prozess bedeutet.

Verbessern Sie den Prozess

In Fällen mit einem Sicherheitsereignis mit hohem Risiko und einer Reaktion mit geringen Auswirkungen sind schnelle Reaktionen erwünscht. Die Automatisierung von Teilen des SOC-Prozesses und dasjenige Abrufen von qualitativ besseren Datenmaterial aus dem SIEM hilft dem Sicherheitsteam, den Kontext und die Risikobewertung schnell und zuverlässig zu beziffern. Dies wiederum bedeutet schnellere Reaktionen und eine sicherere Organisation. Im Gegensatz dazu solange bis sich TDIR-Lösungen in diesen vier Bereichen verbessern können, werden Sicherheitsteams weiterhin kein Vertrauen in die Automatisierung im SOC nach sich ziehen.

[ad_2]
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top