Helpex - Trao đổi & giúp đỡ Đăng nhập

An ninh mạng: Vòng đời của Analytics

chào mừng trở lại cuộc phiêu lưu viết blog của tôi. Hôm nay tôi muốn tạm nghỉ việc đi qua kiến ​​trúc an ninh mạng cho quy trình phản ứng sự cố dựa trên phân tích để lùi lại và nhìn vào bức tranh toàn cảnh trong việc áp dụng một vòng đời phân tích trưởng thành cho một nền tảng phân tích an ninh mạng. Tôi đã có nhiều cuộc trò chuyện và đọc nhiều bài báo gần đây tranh luận về loại giao diện người dùng nào là tốt nhất, loại hình trực quan tốt nhất và cách tốt nhất để tương tác với loại nền tảng này là gì. giống như mọi người tranh luận về loài cây tốt nhất; tôi nghĩ chúng ta cần lùi lại một chút và tận hưởng vẻ đẹp của khu rừng nói chung. mỗi cây có vị trí của nó trong hệ sinh thái lớn hơn và sự cân bằng của nó nhiều hơn so với những gì độc canh là tốt nhất.

một kích thước không phù hợp với tất cả

bây giờ, lặp lại sau khi tôi; ứng phó sự cố là một quá trình (phức tạp), không phải là một sản phẩm hoặc nền tảng. công việc của chúng tôi với tư cách là nhà công nghệ là hỗ trợ tự động hóa quy trình đó; không tạo ra một bảng điều khiển sáng bóng mới. tôi tin rằng wolfgang pauli sẽ xem xét cuộc tranh luận về hình ảnh hóa hoặc giao diện người dùng tốt nhất và sẽ lặp lại câu nói nổi tiếng của anh ấy: “Bạn không đúng; bạn thậm chí không sai. ” ngụy biện tin rằng quy trình phức tạp này có một giao diện người dùng duy nhất, một người dùng duy nhất hoặc thậm chí là một mục tiêu duy nhất để đạt được thông qua bảng điều khiển sáng bóng mới chứa đầy hình ảnh trực quan gọn gàng của bạn. để thực sự hiểu không gian vấn đề, chúng ta cần lùi lại và nhìn vào bức tranh lớn - vòng đời phân tích.

làm cho điều chưa biết được biết đến

vấn đề cốt lõi mà chúng tôi đang cố gắng giải quyết bằng cách áp dụng các khái niệm phân tích vào không gian an ninh mạng là phát hiện những điều chưa biết và làm cho nó được biết đến. vì vậy, những gì tôi có nghĩa là không biết? trong lĩnh vực ứng phó sự cố, có hai thách thức lớn đối với phản ứng tự động và hiệu quả:

  1. khả năng phát hiện của chúng tôi
  2. khả năng của chúng tôi để đáp ứng

nếu chúng ta vẽ những thách thức này thành trục của biểu đồ vấn đề của chúng ta từ “tôi không có manh mối” (không xác định) đến “tôi có một giải pháp tự động” (đã biết); chúng ta có thể vẽ biểu đồ khả năng tương đối của mình với từng vectơ mối đe dọa (động cơ, phương pháp, cơ hội) vào một không gian giải pháp.

phát hiện và phản hồi đồ thị

bây giờ, nếu chúng tôi vạch ra nơi mà các công cụ bảo mật dựa trên quy tắc / chữ ký truyền thống của chúng tôi hoạt động cùng với nguy cơ tấn công có chủ đích mới nổi, chúng tôi thường trông giống như bên dưới. vâng, đồ thị của bạn sẽ khác; tuy nhiên, điểm chung là có rất ít, nếu có, trùng lặp với các công cụ hiện có của chúng tôi và rủi ro nằm ở đâu.

An ninh mạng: Vòng đời của Analytics

quy tắc so với rủi ro

thực hiện cách tiếp cận này xa hơn và đưa chúng ta trở lại lập luận chính của tôi về việc không có một bảng điều khiển hoặc hình ảnh hóa-kích thước-phù hợp với tất cả; chúng ta hãy phân tích đồ thị này dựa trên việc chia nhỏ các trục chưa biết / đã biết. điều này dẫn đến biểu đồ bốn bảng bên dưới.

An ninh mạng: Vòng đời của Analytics

biểu đồ bốn bảng không xác định / đã biết

bây giờ, chúng tôi đang đến một nơi nào đó. Nhìn vào biểu đồ này, chúng tôi thấy chúng tôi có bốn vấn đề cấp cao mà chúng tôi đang cố gắng giải quyết:

  1. chưa biết / chưa biết: bước đầu tiên để nhận ra rằng chúng ta có vấn đề là chấp nhận rằng chúng ta có thể không có câu trả lời. chúng ta có thể không có mô hình tính toán hoặc tinh thần phù hợp; hoặc thậm chí là dữ liệu phù hợp để tìm ra những điều xấu.
  2. đã biết / chưa biết: chúng tôi đã đầu tư thời gian và năng lượng để suy nghĩ về những gì có thể xảy ra, tìm kiếm và thu thập dữ liệu mà chúng tôi tin rằng sẽ hữu ích, đồng thời tạo ra các mô hình tinh thần và khái niệm có thể phát hiện / hình dung những điều tồi tệ này. bây giờ, chúng ta cần phải săn lùng và tìm kiếm để xem liệu chúng ta có đúng hay không.
  3. chưa biết / đã biết: chúng tôi đã săn lùng và tìm kiếm trong một thời gian để điều chỉnh và đào tạo các mô hình phân tích của mình cho đến khi chúng có thể tự động phát hiện ra điều tồi tệ mới này. bây giờ chúng ta cần dành một chút thời gian để chính thức hóa quy trình phản hồi của chúng ta đối với trường hợp sử dụng mới này.
  4. đã biết / đã biết: tuyệt vời, chúng tôi đã hoàn thiện trường hợp sử dụng này đến mức chúng tôi có thể tin tưởng vào khả năng phát hiện của mình; thậm chí có thể đến mức các quy tắc và chữ ký hiệu quả. chúng tôi có những cuốn sách dạy về phản hồi dành cho người trưởng thành được viết để các nhà phân tích soc của chúng tôi làm theo. bây giờ chúng tôi có thể cảm thấy đủ thoải mái để thiết kế và triển khai phản hồi tự động cho trường hợp sử dụng này.

nếu bạn xem xét kỹ lưỡng, bạn sẽ thấy rằng không có một con đường duy nhất từ ​​chưa biết / chưa biết đến đã biết / đã biết mà là một chu trình mà mỗi phần thông tin mới bắt đầu lại vòng đời phân tích.

vòng đời phân tích: bốn bảng, bốn kỹ năng, bốn nhu cầu.

hy vọng rằng bây giờ bạn thấy sai lầm hợp lý khi tranh cãi về giao diện người dùng hoặc hình ảnh tốt nhất. tối thiểu, chúng tôi cần bốn giao diện người dùng khác nhau; mỗi người có nhu cầu về quy trình làm việc và hình dung cụ thể của riêng họ.

An ninh mạng: Vòng đời của Analytics

bốn vai trò của vòng đời phân tích

chưa biết / chưa biết: khoa học dữ liệu

vai trò của nhóm khoa học dữ liệu an ninh mạng là hành động đưa ra các mô hình tính toán và tinh thần mới. nhóm này troll các cộng đồng ngầm để tán gẫu về các cách tiếp cận và kỹ thuật mới để xâm nhập vào các hệ thống (phương pháp), về các mối đe dọa mới như lợi ích tài chính và chủ nghĩa hacktivism (động cơ) và nguồn cấp dữ liệu từ trước đến nay về các lỗ hổng mới trong hệ thống của chúng tôi (cơ hội) bằng cách sử dụng thông tin này, các chuyên gia tên miền (tin tặc có đạo đức) đưa ra các tình huống tận dụng thông tin mới này để xâm phạm hệ thống của chúng tôi theo những cách mới và độc đáo. các cá nhân được đào tạo về kỹ thuật thống kê, kỹ thuật dữ liệu và lập trình - các nhà khoa học dữ liệu - thiết kế và thử nghiệm các mô hình tính toán và tinh thần mới có thể có khả năng phát hiện những kỹ thuật mới này. điều này có thể liên quan đến việc tạo và / hoặc thu thập dữ liệu mới để làm cho các mô hình hoạt động. là một mô hình mới nổi (phân tích mô tả), các cách mới để hình dung kết quả đầu ra của mô hình có thể cần được tạo ra để con người (thợ săn / người tìm kiếm) có thể xác minh và xác thực tiện ích của mô hình mới và cung cấp phản hồi cho nhóm khoa học dữ liệu an ninh mạng. khi các mô hình trưởng thành, chúng chuyển từ mô tả về bản chất sang phát hiện bất thường (phân tích dự đoán) trong tự nhiên; điều này thúc đẩy yêu cầu mới về việc chuyển từ mô hình dữ liệu hàng loạt / lịch sử sang mô hình dựa trên luồng. những mô hình này trước tiên được tiêm cho nhóm thợ săn / người tìm kiếm để xác nhận và sau đó cho nhóm phân tích viên soc để đào tạo. khi các mô hình trưởng thành, chúng chuyển từ mô tả về bản chất sang phát hiện bất thường (phân tích dự đoán) trong tự nhiên; điều này thúc đẩy yêu cầu mới về việc chuyển từ mô hình dữ liệu hàng loạt / lịch sử sang mô hình dựa trên luồng. những mô hình này trước tiên được tiêm cho nhóm thợ săn / người tìm kiếm để xác nhận và sau đó cho nhóm phân tích viên soc để đào tạo. khi các mô hình trưởng thành, chúng chuyển từ mô tả về bản chất sang phát hiện bất thường (phân tích dự đoán) trong tự nhiên; điều này thúc đẩy yêu cầu mới về việc chuyển từ mô hình dữ liệu hàng loạt / lịch sử sang mô hình dựa trên luồng. những mô hình này trước tiên được tiêm cho nhóm thợ săn / người tìm kiếm để xác nhận và sau đó cho nhóm phân tích viên soc để đào tạo.

đã biết / chưa biết: thợ săn / người tìm kiếm

được biết đến nhiều hơn với cái tên nhiệm vụ bất khả thi là bới tung đống cỏ khô để tìm ra cái kim sáng bóng mới sáng tỏ của hoạt động xấu, nhóm thợ săn / người tìm kiếm bao gồm các chuyên gia miền (tin tặc có đạo đức và nhà phân tích soc cao cấp) được đào tạo về các kỹ thuật thống kê thay đổi thông qua dữ liệu lịch sử đã thu thập bằng cách sử dụng các mô hình tính toán tạo ra và chỉ là dữ liệu thô đã được nâng cao và làm phong phú bằng cách sử dụng thư viện hình ảnh trực quan trong tay. họ được giao nhiệm vụ chính là cung cấp phản hồi cho nhóm khoa học dữ liệu an ninh mạng về chất lượng của các mô hình với đầu vào được sử dụng để chuyển đổi các mô hình phân tích mô tả thành các mô hình phân tích dự báo tự động phát hiện, phản hồi về các kỹ thuật trực quan có thể giúp công việc của họ dễ dàng hơn và hiệu quả hơn, và tắt phản hồi thủ công khi họ xử lý các vấn đề. họ cần một giao diện người dùng mà họ có thể tùy chỉnh và thích ứng theo cách không ngừng phát triển khi các công cụ và kỹ thuật mới được phát hiện và áp dụng theo những cách bất ngờ. họ cũng cần được gắn với quy trình phản hồi để họ có thể nhóm dữ liệu liên quan đến phản hồi được rút gọn và đưa dữ liệu đó vào quy trình xử lý trường hợp và quy trình ứng phó sự cố. playbook mà nhóm thợ săn / người tìm kiếm, làm việc với những người ứng phó sự cố được tạo và đưa vào cơ sở kiến ​​thức quy trình ứng phó sự cố. khi các mô hình dự đoán này trưởng thành, các ngưỡng được tạo dựa trên dữ liệu cho điểm mô hình tự động xác định điều gì là bình thường và bất thường (phân tích mô tả), đó là kết quả phân tích mô tả được đưa vào quy trình phân tích của nhà phân tích soc. họ cần một giao diện người dùng mà họ có thể tùy chỉnh và thích ứng theo cách không ngừng phát triển khi các công cụ và kỹ thuật mới được phát hiện và áp dụng theo những cách bất ngờ. họ cũng cần được gắn với quy trình ứng phó để họ có thể nhóm dữ liệu liên quan đến phản hồi được rút gọn và đưa nó vào quy trình xử lý sự cố và quy trình quản lý trường hợp. playbook mà nhóm thợ săn / người tìm kiếm, làm việc với những người ứng phó sự cố được tạo và đưa vào cơ sở kiến ​​thức quy trình ứng phó sự cố. khi các mô hình dự đoán này trưởng thành, các ngưỡng được tạo dựa trên dữ liệu cho điểm mô hình tự động xác định điều gì là bình thường và bất thường (phân tích mô tả), đó là kết quả phân tích mô tả được đưa vào quy trình phân tích của nhà phân tích soc. họ cần một giao diện người dùng mà họ có thể tùy chỉnh và thích ứng theo cách không ngừng phát triển khi các công cụ và kỹ thuật mới được phát hiện và áp dụng theo những cách bất ngờ. họ cũng cần được gắn với quy trình phản hồi để họ có thể nhóm dữ liệu liên quan đến phản hồi được rút gọn và đưa dữ liệu đó vào quy trình xử lý trường hợp và quy trình ứng phó sự cố. playbook mà nhóm thợ săn / người tìm kiếm, làm việc với những người ứng phó sự cố được tạo và đưa vào cơ sở kiến ​​thức quy trình ứng phó sự cố. khi các mô hình dự đoán này trưởng thành, các ngưỡng được tạo dựa trên dữ liệu cho điểm mô hình tự động xác định điều gì là bình thường và bất thường (phân tích mô tả), đó là kết quả phân tích mô tả được đưa vào quy trình phân tích của nhà phân tích soc. họ cũng cần được gắn với quy trình ứng phó để họ có thể nhóm dữ liệu liên quan đến phản hồi được rút gọn và đưa nó vào quy trình xử lý sự cố và quy trình quản lý trường hợp. playbook mà nhóm thợ săn / người tìm kiếm, làm việc với những người ứng phó sự cố được tạo và đưa vào cơ sở kiến ​​thức quy trình ứng phó sự cố. khi các mô hình dự đoán này trưởng thành, các ngưỡng được tạo dựa trên dữ liệu cho điểm mô hình tự động xác định điều gì là bình thường và bất thường (phân tích mô tả), đó là kết quả phân tích mô tả được đưa vào quy trình phân tích của nhà phân tích soc. họ cũng cần được gắn với quy trình phản hồi để họ có thể nhóm dữ liệu liên quan đến phản hồi được rút gọn và đưa dữ liệu đó vào quy trình xử lý trường hợp và quy trình ứng phó sự cố. playbook mà nhóm thợ săn / người tìm kiếm, làm việc với những người ứng phó sự cố được tạo và đưa vào cơ sở kiến ​​thức quy trình ứng phó sự cố. khi các mô hình dự đoán này trưởng thành, các ngưỡng được tạo dựa trên dữ liệu cho điểm mô hình tự động xác định điều gì là bình thường và bất thường (phân tích mô tả), đó là kết quả phân tích mô tả được đưa vào quy trình phân tích của nhà phân tích soc. làm việc với những người ứng phó sự cố được tạo và đưa vào cơ sở kiến ​​thức quy trình ứng phó sự cố. khi các mô hình dự đoán này trưởng thành, các ngưỡng được tạo dựa trên dữ liệu cho điểm mô hình tự động xác định điều gì là bình thường và bất thường (phân tích mô tả), đó là kết quả phân tích mô tả được đưa vào quy trình phân tích của nhà phân tích soc. làm việc với những người ứng phó sự cố được tạo và đưa vào cơ sở kiến ​​thức quy trình ứng phó sự cố. khi các mô hình dự đoán này trưởng thành, các ngưỡng được tạo dựa trên dữ liệu cho điểm mô hình tự động xác định điều gì là bình thường và bất thường (phân tích mô tả), đó là kết quả phân tích mô tả được đưa vào quy trình phân tích của nhà phân tích soc.

chưa biết / đã biết: soc analyst / model trainer

khi nhóm khoa học dữ liệu an ninh mạng đã tạo ra một mô hình phân tích mô tả trực tuyến cho trường hợp sử dụng mới, mô hình sẽ được đưa vào quy trình phân loại soc thông thường cùng với hình ảnh trực quan tùy chỉnh giúp làm phong phú thêm kết quả mô hình với dữ liệu hỗ trợ nhà phân tích soc phân tích và đào tạo ngươi mâu. hình ảnh hóa mới này được gắn với playbook mới nổi từ cơ sở kiến ​​thức để hỗ trợ và hướng dẫn nhà phân tích soc. nhà phân tích soc có một công việc: xem xét các cảnh báo và sự kiện trong hàng đợi. các sự kiện này khác nhau thì chúng là loại sự kiện mà một nhà phân tích soc sẽ xem xét từ một công cụ dựa trên các quy tắc truyền thống. mô hình quy định đang cho điểm dữ liệu và xác định xem hoạt động là bình thường hay bất thường. chỉ hoạt động mà mô hình dự đoán không thể cho điểm chính xác mới được chuyển thành một sự kiện để phân loại. khi nhà phân tích soc xử lý các cảnh báo này, kết quả được mô hình học máy tận dụng để đào tạo công cụ tính điểm. khi mô hình trưởng thành và được đào tạo bài bản, ít sự kiện hơn được tạo ra và tự động hóa phản ứng nhiều hơn được kích hoạt.

đã biết / đã biết: phản hồi tự động

một khi các mô hình quy định được đào tạo đầy đủ để phát hiện hoạt động bất thường, mối quan tâm của lái xe là tự động hóa phản ứng. điều này xảy ra qua hai giai đoạn. giai đoạn đầu tiên là bỏ qua quy trình phân tích soc của nhà phân tích và mở các trường hợp quy trình công việc ứng phó sự cố mới để báo cáo và khắc phục cho hoạt động được cho là chắc chắn là bất thường. giai đoạn thứ hai là kỹ thuật một phản ứng tự động có tính chất phòng ngừa có khả năng phản ứng đủ nhanh để ngăn chặn hoạt động bất thường trước khi nó có thể gây hại. giai đoạn thứ hai này đòi hỏi khả năng mô phỏng và mô phỏng hành động phản ứng để cả hai xác định rằng hành động đó sẽ có hiệu quả trong việc ngăn ngừa tác hại và không gây gián đoạn hoạt động kinh doanh bình thường.

tl, dr (quá dài, không đọc)

cuộc tranh luận đâu là giao diện người dùng hoặc trực quan tốt nhất mắc phải lỗi ngụy biện logic rằng cần phải có một giao diện người dùng hoặc trực quan duy nhất. “Bạn không đúng; bạn thậm chí không sai. ” - hoa cẩm chướng. bằng cách phân tích vấn đề, chúng ta thấy chúng ta có bốn lĩnh vực mà mỗi lĩnh vực có kỹ năng riêng và nhu cầu về giao diện người dùng, tất cả đều là một phần của vòng đời phân tích.

tham gia với tôi lần sau khi tôi quay lại loạt bài về kiến ​​trúc an ninh mạng, nơi chúng ta xem xét bus dữ liệu an ninh mạng và cách apache nifi có thể được tận dụng để đơn giản hóa vấn đề phức tạp này.

20 hữu ích 0 bình luận 4.1k xem chia sẻ

Có thể bạn quan tâm

loading