Trí thông minh dữ liệu tạo

An ninh mạng

Playbooks giúp CISO cải thiện SecOps như thế nào?

Tái bản bởi Plato
Tái bản bởi Plato

Ngày:

Lượt xem: 83

Câu hỏi: Playbook hữu ích như thế nào trong SecOps?

Aimei Wei, người sáng lập và CTO, Stellar Cyber: Mỗi ngày đều mang đến một giải pháp mới để các CISO xem xét. Thật không may, việc kết hợp những hiểu biết sâu sắc mà các công cụ này cung cấp và sử dụng chúng để trả lời những câu hỏi khó từ hội đồng quản trị và các nhà phân tích là một thách thức. CISO cần các giải pháp SecOps toàn diện hơn dựa trên bối cảnh và hiểu biết sâu sắc chứ không phải chỉ là một từ viết tắt khác hứa hẹn sẽ giải quyết mọi mối đe dọa an ninh. Đó là lúc các kỹ thuật tự động như sách hướng dẫn xuất hiện.

Nói một cách đơn giản, các kỹ thuật SecOps truyền thống không thể kết hợp tất cả cảnh báo và thông tin chi tiết mà mỗi công cụ đưa ra thành một báo cáo dễ hiểu. Ví dụ: một công cụ quản lý danh tính rất hữu ích — nó gắn cờ các truy cập trái phép hoặc thông tin xác thực truy cập đã hết hạn. Tuy nhiên, nó không kết nối những hiểu biết sâu sắc đó với bức tranh lớn hơn. Cảnh báo nào xứng đáng được ưu tiên dựa trên rủi ro của tài sản? Làm thế nào để bạn loại bỏ các kết quả dương tính giả? CISO cần câu trả lời nhưng thường phải ghép các mảnh lại với nhau một cách thủ công.

Playbook thường được sử dụng trong bối cảnh bảo mật điều phối, tự động hóa và phản hồi (BAY LÊN). Playbook trong các sản phẩm SOAR chủ yếu tập trung vào việc tự động hóa quá trình cách nhà phân tích SOC phân loại cảnh báo. Người dùng phải phát triển một cẩm nang cụ thể để phân loại một cảnh báo hoặc nhóm cụ thể và liên hệ với một nhóm cảnh báo. Sau khi phân loại cảnh báo, sổ tay cũng có thể kết hợp chính sách của tổ chức và thực hiện một số hành động.

Gần đây, các giải pháp phát hiện và phản hồi mở rộng (XDR) đã phát triển để cung cấp cho CISO nhiều bối cảnh hơn. XDR cung cấp khả năng hiển thị toàn bộ bề mặt tấn công đồng thời liên kết các cảnh báo để giảm bớt công việc thủ công cần thiết. Sách hướng dẫn cũng có thể cung cấp thông tin chuyên sâu về phân tích nguyên nhân gốc rễ tốt hơn, nâng cao năng suất của nhà phân tích.

Với XDR, rất nhiều hoạt động phân loại, phân nhóm và tương quan cảnh báo đã được thực hiện tự động bằng trí tuệ nhân tạo (AI) và máy học (ML) mà người dùng không cần phải phát triển các sổ tay cụ thể. Playbook trong XDR tập trung vào việc tự động hóa các hành động phản hồi cho các cảnh báo tương quan khác nhau với các ngữ cảnh đã được hệ thống cung cấp cho nhà phân tích.

Việc sử dụng thuật toán AI và ML để nhóm các cảnh báo giúp phát hiện cuộc tấn công nhanh hơn nhờ mọi thứ hiển thị trên một bảng điều khiển duy nhất — một cải tiến vượt bậc so với công nghệ cũ yêu cầu các nhà phân tích kiểm tra các hệ thống khác nhau. Và tự động hóa phản hồi có thể thực thi các tác vụ khi đáp ứng một số điều kiện nhất định, chẳng hạn như tắt cổng tường lửa khi phát hiện các mối đe dọa mạng. Các quy trình làm việc tự động như vậy có thể được biên dịch thành sổ tay XDR, cho phép nhóm SecOps tự động hóa phản hồi của mình khi phát sinh các tình huống nghi vấn.

Với tốc độ nghiên cứu và phát triển AI nhanh chóng, việc XDR kết hợp các phân tích AI dự đoán để đưa ra bối cảnh cho các mối đe dọa và hành động được đề xuất chỉ là vấn đề thời gian. AI dự đoán có thể gắn cờ các phân tích xung quanh thông tin được thu thập, các lỗ hổng trong hệ thống và các cấu hình sai để nhà phân tích SecOps của con người đánh giá, sau đó gửi phản hồi tự động. Mặc dù chi phí và ROI có thể khiến AI dự đoán nằm ngoài tầm với của tất cả mọi người ngoại trừ các doanh nghiệp lớn hơn ngay bây giờ, chúng ta có thể mong đợi sự dân chủ hóa trong tương lai, mở ra lĩnh vực này cho các tổ chức thuộc mọi quy mô.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.