隨著2021年的到來(lái)��,我們已經(jīng)習(xí)慣了新的工作方式和新的工作環(huán)境��。許多人可能還采用居家辦公的方式工作��,采用數(shù)字通信方法進(jìn)行項(xiàng)目協(xié)作和討論��。我們的雇主已經(jīng)開(kāi)發(fā)出敏捷的方法��,為員工配備合適的工具��,以便有效和靈活地工作��,遠(yuǎn)程工作已成為業(yè)務(wù)預(yù)算和員工招聘決定的長(zhǎng)期考慮因素��。
這種轉(zhuǎn)變不太可能改變��。我們可能會(huì)在2021年回到辦公室��,但不會(huì)回到標(biāo)準(zhǔn)的5天工作周��。報(bào)告顯示��,許多組織正在計(jì)劃采用混合方式��,給員工更多選擇��。遠(yuǎn)程工作在這里是永恒的��,隨之而來(lái)的是��,安全和安全獲得了更大的意義��。
這種變化的一個(gè)影響是安全運(yùn)營(yíng)中心(SOC)處理的警報(bào)的可視性和數(shù)量��。以前該團(tuán)隊(duì)處理的是辦公地點(diǎn)內(nèi)的數(shù)據(jù)中心,這意味著威脅的藏身之處有限?�,F(xiàn)在隨著遠(yuǎn)程辦公��,無(wú)人管理的個(gè)人設(shè)備--包括家庭物聯(lián)網(wǎng)和家庭電腦--有數(shù)千種選擇可以隱藏起來(lái)��。以前在企業(yè)網(wǎng)絡(luò)上可見(jiàn)的威脅已經(jīng)變得無(wú)所遁形��,它們躲在家庭網(wǎng)絡(luò)中��,伺機(jī)發(fā)動(dòng)攻擊��。
自動(dòng)化幫助解決警報(bào)過(guò)載和疲勞問(wèn)題
自動(dòng)化��、人工智能和機(jī)器學(xué)習(xí)應(yīng)該是任何現(xiàn)代SOC的雷達(dá)��。假設(shè)網(wǎng)絡(luò)犯罪分子已經(jīng)在利用這些技術(shù)在這個(gè)廣泛的新表面發(fā)起有效的攻擊��。在這種情況下��,安全分析師也應(yīng)該利用這些相同的技術(shù)來(lái)幫助保護(hù)他們的組織��,并保證數(shù)據(jù)和用戶的安全��。
安全分析師每天都會(huì)收到成千上萬(wàn)的警報(bào)��,現(xiàn)在有這么多的遠(yuǎn)程工作人員��,這些警報(bào)可能來(lái)自成千上萬(wàn)的地點(diǎn)��。許多人會(huì)是良性的��,但團(tuán)隊(duì)必須保持完整的可見(jiàn)性��,以防錯(cuò)過(guò)嚴(yán)重的威脅��。這項(xiàng)工作是重復(fù)性的��,可能會(huì)導(dǎo)致分析師疲勞或錯(cuò)誤��。以下是自動(dòng)化可以提供幫助的方法��。
對(duì)警報(bào)進(jìn)行分析和標(biāo)記��。如果數(shù)據(jù)是 "好的 "或 "壞的"��,現(xiàn)有的規(guī)則會(huì)應(yīng)用自動(dòng)化操作來(lái)允許或拒絕信息��。對(duì)于任何其他警報(bào)��,數(shù)據(jù)被標(biāo)記為 "未知"��,并報(bào)告給分析師進(jìn)行進(jìn)一步分析,這意味著團(tuán)隊(duì)現(xiàn)在正在處理更多的有效警報(bào)和更少的誤報(bào)��。當(dāng)警報(bào)被標(biāo)記為不良時(shí)��,必須快速激活并應(yīng)用幾個(gè)動(dòng)作��。這些行動(dòng)可能包括刪除電子郵件中的附件��,隔離設(shè)備��,甚至關(guān)閉部分網(wǎng)絡(luò)進(jìn)行補(bǔ)救��。安全自動(dòng)化規(guī)則可以用來(lái)執(zhí)行這些行動(dòng)��,可以完全自動(dòng)化��,也可以由分析人員點(diǎn)擊按鈕��。
因此��,從幾個(gè)例子可以看出��,自動(dòng)化如何幫助現(xiàn)代SOC早期檢測(cè)和補(bǔ)救威脅��,以及減少安全團(tuán)隊(duì)的工作量��。然而��,人工智能和機(jī)器學(xué)習(xí)呢?直到最近��,這些都是流行語(yǔ)��,但當(dāng)適當(dāng)?shù)貞?yīng)用到環(huán)境中時(shí)��,這些技術(shù)成為分析的關(guān)鍵推動(dòng)力��,有助于提高團(tuán)隊(duì)效率��,并使網(wǎng)絡(luò)安全快速��、一致和準(zhǔn)確��。
使用人工智能將數(shù)據(jù)轉(zhuǎn)化為智能
人工智能將處理數(shù)以百萬(wàn)計(jì)的威脅數(shù)據(jù)的輸出與現(xiàn)有的環(huán)境信息相結(jié)合��,包括網(wǎng)絡(luò)信息��、進(jìn)入載體��、使用的協(xié)議��,甚至進(jìn)行云分析��,以了解威脅是新的還是以前在其他環(huán)境中看到的。這些數(shù)據(jù)為安全工程師提供了有價(jià)值的背景信息��,而以前這些信息需要人工努力和時(shí)間來(lái)提取��。檢測(cè)時(shí)間縮短��,因?yàn)槿斯ぶ悄軙?huì)比人類更快地看到網(wǎng)絡(luò)中的變化��,收集相關(guān)數(shù)據(jù)并向團(tuán)隊(duì)提供積極的警報(bào)��。響應(yīng)時(shí)間得到改善��,因?yàn)楣こ處煵槐貜纳钊敕治霭l(fā)生的事情開(kāi)始��。他們立即與可操作的數(shù)據(jù)一起工作��,并使用這些數(shù)據(jù)來(lái)創(chuàng)建補(bǔ)救計(jì)劃��。
通過(guò)機(jī)器學(xué)習(xí)了解網(wǎng)絡(luò)��,提高團(tuán)隊(duì)效率
將機(jī)器學(xué)習(xí)(ML)與人工智能結(jié)合使用��,意味著可以對(duì)工具進(jìn)行訓(xùn)練��,以便更好地處理數(shù)據(jù)��,ML系統(tǒng)將能夠提出改進(jìn)建議��。ML可以評(píng)估在網(wǎng)絡(luò)上看到的行為��,發(fā)現(xiàn)可能超出正常模式的行為��,并向團(tuán)隊(duì)提出建議提醒��,并在問(wèn)題成為威脅之前捕捉到問(wèn)題��,這些問(wèn)題可能包括異常的網(wǎng)絡(luò)端口使用��、DNS操縱或潛在的流量風(fēng)暴��。這不僅提高了安全團(tuán)隊(duì)的效率��,而且ML將利用數(shù)據(jù)逐步增加情報(bào)��,成為一種更有效的技術(shù)��,使之成為網(wǎng)絡(luò)安全的雙贏!
