Küsimus: Kuidas on mänguraamatud SecOpsis kasulikud?
Aimei Wei, Stellar Cyberi asutaja ja CTO: Iga päev toob CISO-dele kaalumiseks uue lahenduse. Kahjuks on nende tööriistade pakutavate teadmiste ühendamine ja nende kasutamine juhatuse ja analüütikute rasketele küsimustele vastamiseks keeruline. CISO-d vajavad ulatuslikumaid SecOpsi lahendusi, mis põhinevad kontekstil ja arusaamadel, mitte lihtsalt veel üks akronüüm mis tõotab lahendada kõik julgeolekuohud. Siin tulevadki kasutusele automatiseeritud tehnikad, nagu mänguraamatud.
Lihtsamalt öeldes ei saa traditsioonilised SecOpsi tehnikad ühendada kõiki iga tööriista antud hoiatusi ja teadmisi kergesti mõistetavaks aruandeks. Näiteks on kasulik identiteedihaldustööriist – see märgib volitamata juurdepääsu või aegunud juurdepääsumandaadid. Siiski ei seo see selliseid teadmisi suurema pildiga. Millised hoiatused väärivad vara riski põhjal prioriteeti? Kuidas välja rookida valepositiivseid tulemusi? CISO-d vajavad vastuseid, kuid sageli peavad need osad käsitsi kokku panema.
Mänguraamatuid kasutatakse tavaliselt turvalisuse kontekstis orkestreerimine, automatiseerimine ja reageerimine (SOAR). SOAR-toodete mänguraamatud keskenduvad enamasti protsessi automatiseerimisele kuidas SOC analüütik hoiatuse triageeris. Kasutajad peavad konkreetse hoiatuse või rühma määramiseks ja hoiatuste rühma korreleerimiseks välja töötama konkreetse mänguraamatu. Pärast hoiatuste triaaži võivad mänguraamatud hõlmata ka organisatsiooni poliitikat ja võtta teatud toiminguid.
Viimasel ajal on laiendatud tuvastamise ja reageerimise (XDR) lahendused arenenud, et pakkuda CISO-dele rohkem konteksti. XDR annab nähtavuse kogu rünnaku pinnale, samal ajal korreleerib hoiatusi, et vähendada käsitsi tööd. Mänguraamatud võivad pakkuda ka paremat algpõhjuste analüüsi, suurendades analüütikute tootlikkust.
XDR-iga on tehisintellekti (AI) ja masinõppe (ML) abil tehtud palju hoiatusi, rühmitamist ja korreleerimist automaatselt, ilma et kasutaja peaks välja töötama konkreetseid mänguraamatuid. XDR-i mänguraamatud keskenduvad erinevatele korrelatsiooniga seotud hoiatustele reageerimise automatiseerimisele kontekstidega, mille süsteem on analüütikule juba edastanud.
AI- ja ML-algoritmide kasutamine hoiatuste rühmitamiseks tagab rünnakute kiirema tuvastamise tänu sellele, et kõik kuvatakse ühel konsoolil – see on tohutu edasiminek võrreldes pärandtehnoloogiaga, mis nõuab, et analüütikud kontrolliksid erinevaid süsteeme. Ja reageerimise automatiseerimine võib teatud tingimuste täitmisel ülesandeid täita, näiteks tulemüüri pordid võrguohtude tuvastamisel sulgeda. Selliseid automatiseeritud töövooge saab koostada XDR-i esitusraamatusse, mis võimaldab SecOpsi meeskonnal küsitavate olukordade ilmnemisel oma reageerimist automatiseerida.
Arvestades tehisintellekti uurimis- ja arendustegevuse kiiret tempot, on vaid aja küsimus, millal XDR kaasab ennustava AI-analüütika, et pakkuda konteksti ohtudele ja soovitatud tegevustele. Ennustav AI saab märgistada analüüsi kogutud teabe, süsteemi haavatavuste ja valede konfiguratsioonide kohta inimese SecOpsi analüütikute ülevaatamiseks ning seejärel saata välja automaatsed vastused. Kuigi kulud ja investeeringutasuvus võivad ennustada tehisintellekti kõigile, välja arvatud suurematele ettevõtetele, praegu kättesaamatuks muuta, võime tulevikus oodata demokratiseerumist, mis avab valdkonna igas suuruses organisatsioonidele.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://www.darkreading.com/edge-ask-the-experts/how-do-playbooks-help-cisos-improve-secops-
