迫使 SOC 改变其检测方法
长期以来,警报疲劳一直是负责管理安全运营中心 (SOC) 的安全分析师面临的主要问题。 误报占 第五 根据最近的一份报告,SOC 中的所有警报都会严重耗尽资源,影响安全团队的效率和士气。结果——警觉疲劳——可能会导致沮丧、沟通不畅和倦怠,并且可能会错过真正的事件或降低其优先级。因此,找到误报的解决方案以转变安全运营的终极目标已成为。 安全编排自动化和响应 (SOAR) 等自动化解决方案被吹捧为解决方案,但基本上未能交付。这些技术很难将来自不同安全工具的信号融合在一起,表明攻击正在进行,并有效地自动进行调查。根据英国政府的数据,过去一年中,违规行为持续发生,超过 70% 的中型企业和 74% 的大型企业报告称遭受过攻击 2024 年网络安全漏洞调查。 检测失败 与此同时,我们看到了不会触发警报的威胁。现代攻击可以利用操作系统的功能在组织中传播。依赖陆地二进制文件和脚本 (LOLBAS) 不会将任何代码引入系统,并且无需使用任何工具即可在网络中运行,因此非常难以检测。 此外,由于 SOC 团队逐票线性工作,这可能会妨碍分析师在更广泛的背景下看待事件。即使他们确实发现了一些东西,他们也几乎没有机会将这一事件与之前的事件联系起来,这意味着错过一些表明攻击升级的信息的风险相当大。 为了解决这些问题,我们需要在 SOC 中采用一种新的检测方法,减轻分析师的压力,并且不是连续地而是将警报作为更广泛的事件模式的一部分来查看。人脑很难做到这一点,但人工智能现在使我们能够通过采取全新的方法来解决此类问题。 人工智能,但不是你所知道的那样 毫无疑问,在威胁检测方面,我们并不是在谈论通常意义上的人工智能应用。到目前为止,人工智能已经看到大型语言模型(LLM)仅用于总结调查结果以用于事件响应中的报告目的。相反,我们指的是更真实、更广泛意义上的人工智能应用,即通过机器学习、代理、图、超图和其他方法——这些有望使检测更加精确和易于理解。 超图使我们能够将数百个观察结果连接在一起,形成可能的事件链。这可以通过对观察结果以及观察链进行评分来实现,评分由启发式确定,例如我们从特定工作站看到检测的频率。可能以某种方式相关的不同检测通常会共享一个可观察值,例如指向同一恶意软件组的用户、事务 ID 或网络威胁情报。这些可以通过超图进行整理,超图使用各种参数来组合这些信息,直观地呈现它并分析和关联它。然后,将检测映射到 ATT&CK 框架可以根据攻击者在杀伤链上移动的距离来衡量攻击的进展情况。 增强分析师能力 最终结果是安全分析师不再永远陷入救火模式。分析师不必每天响应数百个警报,而是可以使用超图和人工智能来检测并将具有共同点的长警报链串在一起,从而获得威胁的完整情况。实际上,预计采用这种方法后,警报量将减少高达 90%。 但事情并没有就此结束。通过将机器学习应用于事件链,可以确定响应的优先级,确定哪些威胁需要立即分类。然后,生成式人工智能可以为分析师提供一系列行动方案来补救威胁,确保事件响应一致且相称。 将生成式人工智能与超图分析相结合将显着降低误报率,并通过增强分析师的能力来应对复杂的威胁。但这是勇敢的一步,要求 CISO 首先认识到他们的 SOC 不起作用,其次认识到人工智能不仅限于法学硕士。如果首席信息安全官能够超越营销炒作并发挥一点想象力,他们就会意识到人工智能可以解决他们在过去几年中一直在努力解决的许多安全问题;他们只需提出以前无法回答的问题。 Kennet Harpsøe 是以下公司的首席安全工程师 日志点。 阅读更多 如何构建安全运营中心(按预算) – 在一本电子书中获取 AlienVault 如何构建安全运营中心(按预算)的全部 5 章! 1735377753 […]