Каждый центр управления безопасностью зависит от возможностей обнаружения решения SIEM. Но он основан на устаревшем принципе. Тот же устаревший принцип является причиной провала традиционных решений для защиты от вредоносных программ — обнаружение на основе сигнатур. В отрасли это знают, и они отреагировали, добавив возможности машинного обучения на платформу SIEM. Поверх устаревшей базы. И эти возможности машинного обучения иногда также следуют этим принципам. Они действительно хотят, чтобы вы потерпели неудачу и стали жертвой серьезного инцидента с безопасностью?

Общим элементом между традиционным решением SIEM для обнаружения на основе сигнатур и решением SIEM, основанным на обнаружении с помощью машинного обучения, является то, что им обоим требуются данные (события). И вот проблема номер 1. С традиционным решением SIEM у вас был выбор ограничить прием событий, не всегда пересылая данные. Этого можно достичь, проанализировав, какие данные требуются для вариантов использования. В основном это решение было продиктовано соображениями затрат, поскольку больше лицензий на решения SIEM основаны на полученных данных (объемах).



SIEM — все дело в данных, но знаете ли вы, что поглощаете все?
Решения SIEM нуждаются в данных. Очень голоден. Чем больше вы их кормите, тем счастливее они становятся и тем больше вы…рассказы-от-профессионала-безопасности.com



Решение не пересылать данные для обнаружения машинного обучения принять еще сложнее, потому что как точно узнать, какие данные о событии используются моделью машинного обучения.

И что еще хуже, часто (не всегда) этим моделям машинного обучения также требовались контекстные данные. Например, из CMDB и таблиц маршрутизации. Если у вас есть комбинированное решение SIEM и машинного обучения, добиться этого может быть довольно проблематично. Опять же, элемент затрат, о котором большинство поставщиков забыли сообщить вам, когда демонстрировали возможности машинного обучения.

Но прием данных — не единственная проблема. Большинство доступных в настоящее время решений безопасности на основе машинного обучения ориентированы на расчет вероятности того, что что-то произошло/происходит. Это похоже на то, как генерируется прогноз погоды. На основе данных из прошлого прогнозируется будущая погода на следующие дни. И, как правило, прогноз погоды отклоняется.

Модели машинного обучения на основе безопасности ничем не отличаются. Основываясь на изученном поведении, алгоритм машинного обучения пытается определить, является ли текущее поведение странным. Но как узнать, что расчетное поведение правильное? Действительно ли элемент смещения исключен из уравнения?



Нерассказанная история User Behavior Analytics
Год за годом поставщики средств защиты советовали нам внедрить UBA. Но…medium.com



Прочтите эту статью о том, что вам следует знать, когда вы запускаете или планируете запустить User Behavior Analytics в своем отделе безопасности.

Еще один элемент затрат, который может сделать ваши возможности машинного обучения бесполезными, — это то, где вы храните данные. И это решение напрямую влияет на возможности как традиционных функций обнаружения на основе сигнатур, так и функций машинного обучения. Думали ли вы об этом, когда разрабатывали и внедряли политику хранения данных?



Горячий, теплый или холодный — где вы храните данные о каких событиях?
Факт: в среднем злоумышленник находится внутри более 180 дней, прежде чем его/ее обнаружат. рассказы-от-a-security-professional.com



Отсутствие подходящего инструментария усугубляет проблему усталости аналитиков SOC. Инструменты генерируют большое количество предупреждений (истинных и ложноположительных), и аналитик SOC должен выяснить на основе доступной информации, является ли сгенерированное предупреждение истинно положительным. И обычно это действие, основанное на времени (SLA), которое еще больше увеличивает нагрузку на аналитика SOC.



Усталость аналитика — модное маркетинговое слово или реальная проблема?
Конечно, если верить индустрии безопасности, это серьезная проблема. И очень даже может быть. Но…истории-от-профессионала-безопасности.com



Я против текущего ландшафта обнаружения технологий безопасности? Нет, но это потому, что нет подходящей альтернативы. Я уже экспериментирую с небольшими решениями, чтобы определить, как мы можем бороться с той или иной проблемой.



Создание основы для решения SIEM
В предыдущих статьях я рассказывал о разработке собственного решения SIEM, включая некоторые пользовательские истории. Продолжим…рассказы-от-a-security-professional.com



Все возможности обнаружения безопасности должны быть переработаны с нуля. Нам нужно оценить последние 25 лет, чтобы увидеть, что пошло не так, где и почему. Существует множество общедоступных нарушений безопасности, из которых мы все можем извлечь уроки. После этих уроков нам действительно нужно вернуться к чертежной доске и разработать решение, которое действительно может помочь Центру управления безопасностью защитить окружающую среду от сегодняшнего и завтрашнего противника.

И хорошо, что индустрия безопасности не в первый раз сталкивается с этой гигантской задачей. Изначально у нас были решения для защиты от вредоносных программ, которые могли обнаруживать вирус/вредоносное ПО только в том случае, если была идентифицирована сигнатура. В настоящее время решение для защиты от вредоносных программ также использует возможности обнаружения поведения для обнаружения неизвестных вирусов и вредоносных программ.