Analitika ponašanja, dugo povezana s otkrivanjem prijetnji (tj. UEBA ili UBA), doživljava renesansu. Nekada se prvenstveno koristio za identifikaciju sumnjivih aktivnosti, sada se ponovo zamišlja kao moćna tehnologija post-detekcije koja poboljšava procese odgovora na incidente. Koristeći uvide u ponašanje tokom trijaže upozorenja i istrage, SOC-ovi mogu transformirati svoje radne tokove kako bi postali precizniji, efikasniji i učinkovitiji. Srećom, mnogi novi proizvodi za cyber sigurnost poput AI SOC analitičara su u mogućnosti da ugrade ove tehnike u svoje istražne sposobnosti, omogućavajući tako SOC-ima da ih iskoriste u svojim procesima odgovora.
Ovaj tekst će pokazati kratak pregled analitike ponašanja, a zatim diskutovati o 5 načina na koje se ponovo izmišlja kako bi se uzdrmala istraga SOC-a i rad na odgovoru na incidente.
Analiza ponašanja se vratila, ali zašto?
Analitika ponašanja bila je vruća tema još 2015. godine, obećavajući da će revolucionirati statičke SIEM i SOC detekcije s dinamičkom detekcijom anomalija kako bi se otkrile “nepoznate nepoznanice”. U roku od godinu dana, SIEM provajderi su brzo nabavili platforme za ponašanje korisnika, a ubrzo se koncept bihevioralnog sočiva u sigurnosnim podacima proširio na mnoge druge kategorije proizvoda za detekciju.
Pa zašto više ne pravi talase?
Analitika ponašanja pomalo je poput mikrovalne pećnice u smislu da ponekad prva primjena tehnologije nije najbolja. Kada je američki inženjer Percy Spencer slučajno otkrio mikrotalasnu tehnologiju primetivši da mu se čokolada topi u džepu tokom eksperimenta sa radio tehnologijom, verovatno nije imao pojma da će to revolucionisati kuhinje širom sveta. U početku mikrovalne pećnice nisu bile namijenjene kuhanju, ali s vremenom je njihova praktičnost za zagrijavanje hrane postala očigledna, mijenjajući način na koji razmišljamo o njihovoj upotrebi. Slično tome, bihejvioralna analitika je prvobitno dizajnirana kao alat za detekciju u cyber sigurnosti, usmjeren na uočavanje prijetnji u realnom vremenu. Međutim, ova rana upotreba zahtijevala je opsežno postavljanje i održavanje i često je zatrpavala sigurnosne timove lažno pozitivnim rezultatima. Sada je bihejvioralna analitika pronašla daleko efikasniju ulogu u analizi nakon detekcije. Sužavanjem opsega analize radi pružanja uvida u specifična sigurnosna upozorenja, ona isporučuje informacije visoke vrijednosti sa manje lažnih alarma, što ga čini neprocjenjivim dijelom procesa odgovora na incident, a ne stalnim izvorom buke.
5 načina na koje Behavioral-ana analitika revolucionira odgovor na incidente
Evo pet ključnih načina na koje Behavioral-ana analitika poboljšava reakciju na incidente, pomažući sigurnosnim timovima da odgovore brže i preciznije.
1. Poboljšanje tačnosti u istrazi incidenata
Jedan od najvećih izazova u reagovanju na incidente je probiranje lažnih pozitivnih rezultata kako bi se identificirale stvarne prijetnje. Uz analitiku ponašanja nakon detekcije, analitičari mogu odgovoriti na ključna kontekstualna pitanja koja donose jasnoću u istrage incidenata. Bez razumijevanja kako se korisnik, entitet ili sistem normalno ponašaju, teško je odlučiti da li upozorenje ukazuje na legitimnu aktivnost ili potencijalnu prijetnju.
Na primjer, upozorenje o “nemogućem putovanju”, koje često stvara lažne pozitivne rezultate, označava prijave sa lokacija do kojih je ljudski nemoguće doći u kratkom vremenu (npr. prijava u New York nakon koje slijedi prijava u Singapuru pet minuta kasnije). Polazne linije ponašanja i aktivnosti pružaju korisne podatke za efikasnu procjenu ovih upozorenja, kao što su:
- Je li putovanje na ovu lokaciju tipično za ovog korisnika?
- Da li je ponašanje pri prijavljivanju uobičajeno?
- Da li je uređaj poznat?
- Da li koriste proxy ili VPN, i da li je to normalno?
Analiza ponašanja postaje moćna u istraživanju pružanjem konteksta koji omogućava analitičarima da filtriraju lažne pozitivne rezultate potvrđivanjem očekivanog ponašanja, posebno s upozorenjima poput identiteta koje bi inače bilo teško istražiti. Na ovaj način, SOC timovi se mogu fokusirati na istinske pozitivne stvari s većom preciznošću i samopouzdanjem.
2. Uklanjanje potrebe za kontaktiranjem krajnjih korisnika
Neka upozorenja, posebno ona koja se odnose na ponašanje korisnika, zahtijevaju od SOC analitičara da kontaktiraju krajnje korisnike za dodatne informacije. Ove interakcije mogu biti spore, frustrirajuće, a ponekad i beskorisne ako korisnici oklijevaju da odgovore ili im nije jasno šta se pita. Koristeći modele ponašanja koji hvataju tipične obrasce, SOC alati sa AI-om mogu automatski odgovoriti na mnoga od ovih kontekstualnih pitanja. Umjesto da čekate da pitate korisnike: “Da li trenutno putujete u Francusku?” ili “koristite li Chrome?” sistem već zna, omogućavajući analitičarima da nastave bez ometanja krajnjih korisnika, što pojednostavljuje istragu.
3. Brže srednje vrijeme za odgovor (MTTR)
Brzinu odgovora na incident diktira najsporiji zadatak u procesu. Tradicionalni tokovi posla često uključuju ponavljajuće, ručne zadatke za svako upozorenje, kao što je kopanje po istorijskim podacima, provjera normalnih obrazaca ili komunikacija s krajnjim korisnicima. Sa AI alatima sposobnim za izvođenje analize ponašanja nakon detekcije, ovi upiti i provjere su automatizirani, što znači da analitičari više ne moraju izvršavati spore, ručne upite kako bi razumjeli obrasce ponašanja. Kao rezultat toga, SOC timovi mogu trijažirati i istražiti upozorenja za kraće vrijeme, značajno smanjujući srednje vrijeme za odgovor (MTTR) sa dana na samo minute.
4. Poboljšani uvidi za dublju istragu
Analitika ponašanja omogućava SOC-ima da zahvate širok spektar uvida koji bi inače mogli ostati neistraženi. Na primjer, razumijevanje ponašanja aplikacije, obrazaca izvršavanja procesa (kao što je uobičajeno pokretanje firefox.exe sa date lokacije) ili interakcije korisnika mogu pružiti vrijedan kontekst tokom istraživanja. Iako je ove uvide često teško ili dugotrajno prikupiti ručno, SOC alati sa ugrađenom analitikom ponašanja nakon detekcije mogu automatski analizirati i uključiti ove informacije u istrage. Ovo osnažuje analitičare uvidima koje inače ne bi imali, omogućavajući informiranije donošenje odluka tokom trijaže upozorenja i odgovora na incident.
5. Poboljšano korištenje resursa#
Izgradnja i održavanje modela ponašanja je proces koji zahtijeva puno resursa, koji često zahtijeva značajno skladištenje podataka, moć obrade i vrijeme analitičara. Mnogi SOC jednostavno nemaju stručnost, resurse ili kapacitet da iskoriste uvid u ponašanje za zadatke nakon otkrivanja. Međutim, AI SOC rješenja opremljena automatiziranom analitikom ponašanja omogućavaju organizacijama da pristupe ovim prednostima bez povećanja troškova infrastrukture ili ljudskog radnog opterećenja. Ova mogućnost eliminiše potrebu za dodatnim skladištenjem i složenim upitima, pružajući uvid u ponašanje za svako upozorenje u roku od nekoliko minuta i oslobađajući analitičare da se usredsrede na zadatke veće vrednosti.
Analitika ponašanja i analitika redefinira način na koji SOC pristupaju odgovoru na incidente. Prelaskom sa alata za otkrivanje na prvim linijama na moćnu elektranu nakon detekcije, analiza ponašanja pruža kontekst potreban za razlikovanje stvarnih prijetnji od buke, izbjegavanje ometanja krajnjih korisnika i ubrzavanje vremena odgovora. Timovi SOC-a imaju koristi od bržih, preciznijih istraga, poboljšanih uvida i optimizovane alokacije resursa, a sve to uz sticanje proaktivne prednosti u otkrivanju prijetnji. Kako SOC-ovi nastavljaju da usvajaju analitiku ponašanja vođenu vještačkom inteligencijom , odgovor na incidente će postati samo učinkovitiji, otporniji i upečatljiviji suočeni s današnjim dinamičkim okruženjem prijetnji.
Izvor:The Hacker News