Tech

Como construir sua estratégia SOC autônoma

Photo of LifeTechWeb LifeTechWebMay 30, 2024
0 8 minutes read
soc
Estratégia SOC Autônoma

Os líderes de segurança estão numa posição complicada ao tentar discernir até que ponto as novas ferramentas de segurança cibernética baseadas em IA poderiam realmente beneficiar um centro de operações de segurança (SOC). O entusiasmo pela IA generativa ainda está por toda parte, mas as equipes de segurança precisam viver na realidade. Eles enfrentam alertas constantes de plataformas de segurança de endpoint, ferramentas SIEM e e-mails de phishing relatados por usuários internos. As equipes de segurança também enfrentam uma grave escassez de talentos.

Neste guia, apresentaremos etapas práticas que as organizações podem seguir para automatizar mais seus processos e construir uma estratégia SOC autônoma. Isto deverá resolver a grave escassez de talentos nas equipas de segurança, ao empregar inteligência synthetic e aprendizagem automática com uma variedade de técnicas, estes sistemas simulam a tomada de decisão e os processos investigativos de analistas humanos.

Primeiro, definiremos objetivos para uma estratégia SOC autônoma e depois consideraremos os principais processos que poderiam ser automatizados. A seguir, consideraremos diferentes produtos de IA e automação e, finalmente, veremos alguns exemplos de como essas ferramentas poderiam ser usadas como parte de uma estratégia SOC autônoma.

O objetivo de uma estratégia SOC autônoma

O objetivo da estratégia SOC autônoma é automatizar cada etapa da triagem de alertas do início ao fim, reduzindo o risco por meio de investigação, triagem e resolução independentes. tantos alertas quanto possível sem qualquer intervenção humana.

É importante definir expectativas aqui – o objetivo de uma estratégia SOC autônoma não deve ser substituir todos os humanos de uma equipe de segurança por tecnologia de IA. Como qualquer estratégia de segurança cibernética completa, o resultado closing é proteger a organização incorporando “pessoas, processos e tecnologia”. Nenhum profissional de segurança razoável acha que podemos tirar as pessoas dessa equação.

Você pode pensar em um SOC autônomo funcionando como uma equipe additional de analistas de nível 1 ou 2, expandindo a capacidade e as habilidades de sua equipe. O sistema deve ser projetado para escalar ameaças críticas aos analistas humanos. Um SOC autônomo deve trabalhar para pessoasusando tecnologia que se adapta aos seus processos, facilita seu trabalho e amplia seus recursos.

6 principais processos SOC para automatizar

Primeiro, temos que reconhecer que cada SOC é diferente (falaremos sobre ferramentas para automação na próxima seção). Você precisará considerar as necessidades específicas do seu SOC, para poder priorizar a automação dos fluxos de trabalho que criam gargalos ou sobrecarregar sua equipe. Tarefas manuais repetitivas e demoradas são oportunidades importantes a serem consideradas para automação.

Aqui veremos 6 processos principais do SOC – eles irão delinear o que chamaremos de nosso SOC Autônomo:

  1. Monitor – O SOC Autônomo monitora e coleta continuamente alertas 24 horas por dia, 7 dias por semana, de suas ferramentas de segurança integradas, garantindo que nenhuma ameaça potencial passe despercebida.
  2. Colete evidências – Ao receber um alerta, o SOC Autônomo coleta todos os dados relevantes associados ao alerta. Isso inclui arquivos, processos, linhas de comando, evidências de argumentos de processos, URLs, IPs, processos pai e filho, imagens de memória e muito mais.
  3. Investigar – O SOC Autônomo analisa cada evidência coletada usando IA e uma variedade de técnicas sofisticadas. Isso inclui sandboxing, análise de código genético, análise estática, inteligência de código aberto (OSINT), análise de memória e engenharia reversa. Os resultados dessas análises individuais são então resumidos em uma avaliação coesa de todo o incidente, usando modelos generativos de IA.
  4. Triagem – O SOC Autônomo categoriza o risco associado a cada alerta e resolve se deve escalá-lo com base nos resultados da investigação. Além disso, o SOC Autônomo reduz o ruído ao corrigir automaticamente os falsos positivos nos sistemas de detecção, uma vez que estes não requerem nenhuma outra ação.
  5. Responder – Ameaças graves são imediatamente encaminhadas aos analistas. Para todas as ameaças confirmadas, o SOC Autônomo fornece avaliações, recomendações, criando tickets no sistema de gerenciamento de casos. Isso inclui conteúdo de detecção e regras de caça prontas para uso para orientar o processo de resposta.
  6. Relatório – O SOC Autônomo gera relatórios para manter sua equipe informada e fornecer sugestões de ajustes, permitindo a melhoria contínua em suas operações de segurança.

Essas etapas usam a tecnologia para filtrar alertas de forma “autônoma”, escalando apenas aqueles que realmente exigem análise humana. Isso ajuda a gerenciar com eficácia um grande quantity de alertas e reduz drasticamente o tempo gasto em falsos positivos.

Ferramentas de automação SOC para construir seu SOC autônomo

No nível prático, você precisa das ferramentas certas para executar sua estratégia. Vejamos algumas das principais ferramentas que você pode integrar em seus sistemas para projetar um plano de implementação passo a passo.

  1. Produtos SOAR: esta é uma categoria de produto estabelecida, com muitas equipes SOC automatizando tarefas usando ferramentas de Orquestração, Automação e Resposta de Segurança (SOAR). Tem desafios, uma vez que SOAR geralmente envolve engenharia pesada ou construção de manuais complexos. Alguns SOARs integraram recentemente a IA ou oferecem manuais pré-construídos e ferramentas sem código que simplificam a automação de alguns processos.
  2. Produtos SOC autônomos: esta é uma categoria de produto mais recente, que usa fluxos de trabalho automatizados nativos e IA para ingerir, investigar e fazer triagem de alertas. As mais novas startups desta categoria foram lançadas em 2023 ou 2024, utilizando tecnologia baseada em IA generativa. Produtos SOC autônomos mais maduros integraram IA generativa, usando-a para complementar tecnologias essenciais, como análise genética ou aprendizado de máquina.
  3. Produtos AI Co-piloto: Esta é a categoria mais recente aqui, que surgiu em 2023. Novas ferramentas de “copiloto” podem usar IA generativa para ajudar os analistas para que possam consultar facilmente os sistemas para obter respostas durante uma investigação. Estes poderiam potencialmente integrar-se com outras ferramentas, acelerando a resposta a incidentes ou tomando medidas de forma autónoma, mas não está claro quão eficazes ou populares estes assistentes de IA se tornarão.

Ambientes diferentes exigem ferramentas diferentes, mas estamos em um ponto em que as ferramentas estão ficando mais fáceis de implantar e é viável selecionar ferramentas que funcionem bem juntas. Os produtos de segurança utilizados devem suportar a integração com ferramentas de automação SOC para permitir a automatização dos processos de investigação e triagem de alertas para qualquer tipo de alerta.

Três exemplos diferentes de estratégia SOC autônoma

Uma estratégia SOC autônoma deve ser adaptável, pois cada equipe e organização de segurança tem necessidades diferentes. Aqui temos alguns exemplos de estratégias SOC autônomas, mostrando como diferentes tipos de equipes ou organizações de segurança podem implementar uma estratégia SOC autônoma.

Exemplo 1

Vamos considerar este cenário: uma equipe SOC já possui um SOAR que fornece alguma automação, mas seus fluxos de trabalho para triagem de alertas não são totalmente automatizados. A triagem, as investigações e a resposta são realizadas por uma pequena equipe interna de analistas SOC, com assistência de um provedor terceirizado de serviços de segurança gerenciados. Eles ainda estão realizando muitas tarefas manuais, muitos falsos positivos e querem melhorar o tempo médio de resposta. Eles não querem automatizar mais processos criando e mantendo manuais de resposta a incidentes mais complexos. Eles decidiram usar uma plataforma SOC autônoma que possa ser integrada às suas ferramentas de detecção.

1

Na ilustração acima podemos observar os processos automatizados pelo produto SOC autônomo, que será parte basic da estratégia desta equipe.

Eles começam integrando-o ao seu produto de segurança de endpoint para monitorar e fazer a triagem desses alertas. Eles testam os resultados e criam confiança em seu sistema SOC autônomo para alertas de endpoint, usando seu SOAR para escalar alertas e gerenciamento de casos. Com este sistema, o tempo de triagem para alertas de endpoint é em média inferior a 2 minutos. Assim que os analistas estiverem satisfeitos, o processo SOC autônomo foi implementado de forma eficaz, a equipe integra o produto SOC autônomo para também ingerir e fazer a triagem de e-mails de phishing relatados pelo usuário e alertas SIEM.

Exemplo #2

A seguir, vamos dar uma olhada em uma equipe SOC em um provedor de Detecção e Resposta Gerenciada. Esta equipe de MDR vê a adoção de uma estratégia orientada por IA como uma vantagem competitiva para melhorar os serviços ao cliente e aumentar a receita. Eles precisam monitorar e fazer a triagem de alertas de muitos clientes, que usam muitas ferramentas diferentes para detecção e resposta.

Eles decidiram implementar uma estratégia SOC autônoma, que inclui o uso de um produto SOC autônomo que pode ser integrado a qualquer ferramenta de seus clientes. Isso permitirá que eles monitorem, investiguem e façam a triagem com eficiência de cada alerta de vários ambientes de clientes, proporcionando tempos de triagem rápidos impulsionados por IA e automação. Ao expandir suas capacidades com IA e automação, a equipe MSSP pode integrar clientes adicionais e lidar com maiores volumes de alertas, sem os desafios de recrutar e contratar analistas adicionais. Depois de implementar o produto SOC autônomo, eles também poderão expandir as ofertas aos clientes, fornecendo novos serviços, como cobertura para e-mails de phishing relatados por usuários.

Exemplo #3

A seguir, vamos imaginar um exemplo de equipe SOC com uma estratégia SOC autônoma estabelecida. O produto Autonomous SOC investiga e faz a triagem de alertas de sistemas de detecção integrados e o SOAR é usado para escalonamentos e gerenciamento de casos. Depois que essas ferramentas são totalmente implementadas, a equipe adiciona um copiloto de IA para ajudar a equipe de segurança a consultar mais informações.

2

Isso ajuda a mostrar como essas ferramentas podem se encaixar em diferentes partes de um SOC, mas é menos realista, pois ferramentas como copilotos de IA são muito novas e poucas equipes as utilizam de forma eficaz ainda.

3 benefícios dos produtos SOC autônomos

Os processos de monitoramento de alertas, investigações e triagem são oportunidades significativas de automação para muitas equipes SOC. Como os processos de triagem de alertas incluem diversas tarefas repetitivas e demoradas, a simplificação dessa carga de trabalho com um produto SOC autônomo torna os analistas mais eficazes e eficientes.

Os produtos SOC autônomos oferecem uma opção atraente, especialmente porque foram desenvolvidos para serem fáceis de implantar e integrar com outras ferramentas de segurança. Eles podem ajudar as equipes a enfrentar os desafios decorrentes de grandes volumes de alertas, bem como da escassez de talentos.

Esses produtos especializados oferecem três benefícios importantes:

  1. Reduza o risco garantindo que cada artefato e alerta ingerido de fontes de alerta integradas seja investigado de forma abrangente e triado com eficiência.
  2. Permita que os analistas se concentrem em ameaças reais e evitem a fadiga de alertas, fazendo a triagem de alertas usando a automação de IA para tomar decisões e resolver tipos específicos de alertas.
  3. Escale os alertas mais críticos por meio de processos SOC autônomos, fornecendo informações importantes e permitindo que os analistas priorizem a resposta a incidentes graves.

Em última análise, a inteligência synthetic e a automação podem integrar fontes de dados para fornecer uma experiência de triagem unificada e automatizada, aprimorar as investigações, apoiar os analistas e acelerar os tempos de resposta. Uma estratégia SOC autônoma deve ser projetada para usar essas tecnologias avançadas para apoiar sua equipe de segurança e ampliar seus recursos.

Sobre Intezer

A Intezer é fornecedora líder de tecnologia alimentada por IA para operações de segurança autônomas. Com foco na inovação e na qualidade, sua plataforma SOC autônoma foi projetada para investigar incidentes, tomar decisões de triagem e escalar descobertas sobre ameaças graves, como um analista SOC especializado de nível 1 (mas sem esgotamento, lacunas de habilidades e fadiga de alerta).

Os clientes da Intezer incluem empresas Fortune 500 como Adobe e Equifax, empresas de médio porte, bem como MSSPs que usam a plataforma SOC autônoma da Intezer para fazer triagem de alertas e automatizar totalmente seus processos SOC de nível 1.

Em 2016, a Intezer foi fundada com a missão de pesquisar e desenvolver tecnologia para ajudar equipes SOC que tinham muito trabalho, muitos alertas e poucas pessoas. A Plataforma SOC Autônoma foi lançada pela primeira vez em 2022. Suas tecnologias principais usam uma estrutura de Inteligência Synthetic que incorpora aprendizado de máquina, IA generativa e análise genética proprietária.

Quer saber mais? Reserve uma demonstração com a Intezer para ver você mesmo a Plataforma SOC Autônoma.

Tags
Photo of LifeTechWeb LifeTechWebMay 30, 2024
0 8 minutes read
Photo of LifeTechWeb

LifeTechWeb

Related Articles

touchscreen mini PC

Mini PC AtomMan X7 Ti Intel Core Extremely 9 com tela sensível ao toque

May 22, 2024
bf

BreachForums retorna poucas semanas após a apreensão do FBI

May 29, 2024
JBL L42ms

Lançamento do sistema de música integrado JBL L42ms no Reino Unido

February 9, 2024
image9 10

IA indetectável versus gramática: qual combina melhor com você

May 28, 2024

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button