Máy học là một nền tảng điều phối, tự động hóa và phản hồi bảo mật (SOAR) được xây dựng từ đầu với nền tảng máy học, Cortex® XSOAR mang đến cho khách hàng những lợi ích có thể kiểm chứng được ở các trung tâm điều hành an ninh (các SOC) của mình trên các khu vực địa lý, mức độ trưởng thành và phạm vi hoạt động. Khả năng máy học của Cortex XSOAR giúp tăng năng suất phản hồi, đẩy nhanh quá trình phát triển playbook (kịch bản xử lý) và cho phép các hoạt động bảo mật tinh gọn hơn, hiệu quả hơn.

Bài viết này trình bày các trường hợp sử dụng có mô tả những thách thức mà các SOC phải đối mặt, cách Cortex XSOAR trợ giúp và những lợi ích mang lại.

Trường hợp sử dụng số 1: Khuyến nghị chủ sở hữu sự cố

Thách thức

Khi các SOC mở rộng quy mô, họ sẽ kết thúc theo phương pháp tiếp cận “bất kỳ ai có mặt” để chỉ định chủ sở hữu sự cố. Điều này không chỉ dẫn đến khối lượng công việc không đồng đều cho các nhà phân tích vốn đã quá tải, mà còn dẫn đến  việc chuyên môn của nhà phân tích bị bỏ qua đối với các nhiệm vụ được giao. Các sự cố được chỉ định không đúng cách cuối cùng sẽ dẫn đến việc xử lý không đúng cách.

Giải pháp

Bất cứ khi nào chủ sở hữu sự cố được chỉ định, Cortex XSOAR sẽ nghiên cứu chi tiết về tất cả các sự cố trước đây trong hệ  thống, bao gồm các loại sự cố và nhiều trường khác nhau. Sử dụng công nghệ máy học, Cortex XSOAR tham chiếu chéo dữ  liệu này với số lượng nhà phân tích hiện có để đề xuất 03 nhà phân tích hàng đầu phù hợp nhất xử lý sự cố.

Hình 1: Khuyến nghị nhà phân tích thông minh

Cortex XSOAR nghiên cứu các trường sự cố và khối lượng công việc của nhà phân tích trước khi đề xuất quyền sở hữu sự cố.

Lợi ích

Những đề xuất này đảm bảo rằng khối lượng công việc không phải là tiêu chí duy nhất được xem xét trong quá trình phân công sự cố. Bằng cách nghiên cứu các loại và trường sự cố, Cortex XSOAR có thể đưa ra đề xuất các nhà phân tích phù hợp nhất để xử lý các sự cố về cả thời gian và chuyên môn.
 
Trường hợp sử dụng số 2:  Đề xuất chuyên gia bảo mật

Thách thức

Xử lý từ đầu đến cuối của ứng phó sự cố hiếm khi là một quy trình riêng biệt. Thật không may, các nhà phân tích SOC thường hoạt động trong các phòng riêng biệt khi thực hiện các cuộc điều tra, mà không chú ý đến các bộ kỹ năng cụ thể của  đồng nghiệp có thể hữu ích cho những sự cố phức tạp. Các nhà phân tích ít kinh nghiệm làm việc tại đây, họ phải một mình đối mặt với các sự cố vì các nhà phân tích cấp cao đang bận rộn với các hoạt động hằng ngày khác.

Giải pháp

Phòng War Room (Phòng Cuộc chiến) của Cortex XSOAR cho phép thực hiện điều tra hợp tác. Đây là nơi các nhà phân tích  có thể mời đồng đội của họ tham gia các cuộc điều tra chung. Ở đây, Cortex XSOAR sử dụng máy học  để nghiên cứu lịch sử của tất cả các sự cố đã được giải quyết, đặc biệt xem xét các thao tác thủ công được thực hiện bởi các nhà phân tích trong  quá khứ. Sau khi phân tích dữ liệu này, Cortex XSOAR đề xuất 03 nhà phân tích hàng đầu, họ có thể cung cấp hỗ trợ liên  quan cho một sự cố cụ thể.

Hình 2: Các quyết định dựa trên phân tích lịch sử

Cortex XSOAR xem xét các thao tác thủ công được thực hiện trong Phòng War Room và lịch sử các sự cố đã được giải quyết trước khi đề xuất các chuyên gia bảo mật tham  gia điều tra.

Lợi ích

Bằng cách vừa cho phép điều tra chung, vừa tạo điều kiện hình thành nhóm thông minh, War Room của Cortex XSOAR báo trước việc giảm thiểu thời gian giải quyết và tăng chất lượng giải quyết sự cố một cách nhất quán. Tính năng này cũng hoạt  động như một người hướng dẫn cho các nhà phân tích ít kinh nghiệm bằng cách làm nổi bật những chuyên gia nào có thể  giúp họ vượt qua các sự cố cụ thể, do đó giảm tỷ lệ sai sót và sự lo lắng của nhà phân tích.
 

Trường hợp sử dụng số 3: Các lệnh bảo mật thường được sử dụng

Thách thức

Trong quá trình tiến hành các cuộc điều tra thời gian thực sau khi phân loại sự cố, các nhà phân tích có hàng trăm hành động bảo mật khả thi để lựa chọn. Khi các SOC tiếp tục mở rộng các stack (ngăn xếp) sản phẩm của mình, có một sự  khác biệt có thể quan sát thấy được về loại, thứ tự và mức độ chính xác của các hành động bảo mật được thực hiện từ nhà phân tích này sang nhà phân tích khác. Điều này dẫn đến thời gian và chất lượng giải quyết khác nhau đối với các sự cố  tương tự, có thể tác động tiêu cực đến các thỏa thuận mức độ dịch vụ (các SLA) và theo dõi các chỉ số.

Giải pháp

Khi các nhà phân tích bắt đầu nhập lệnh bảo mật trong War Room của Cortex XSOAR, nền tảng này sẽ nghiên cứu các lệnh thủ công được sử dụng cho tất cả các sự cố thuộc loại đó trong quá khứ. Dữ liệu này cho phép các đề xuất về lệnh bảo mật nào sẽ chạy trước. Ngay cả khi các nhà phân tích đã chạy một số lệnh và bị mắc kẹt giữa cuộc điều tra, những đề xuất này có thể giúp họ đi đúng hướng với các lệnh mà họ có thể đã bỏ lỡ.

Hình 3: Khuyến nghị về lệnh thông minh

Cortex XSOAR xem xét các lệnh thủ công được thực hiện cho các loại sự cố cụ thể để đề xuất các lệnh thường được sử dụng cho loại sự cố đó.

Lợi ích

Các đề xuất về lệnh bảo mật giúp các nhà phân tích hướng tới tiêu chuẩn hóa quá trình ứng phó sự cố và đảm bảo rằng không có hành động thường được sử dụng nào bị bỏ sót đối với bất kỳ sự cố đơn lẻ nào. Cuối cùng, nền tảng Cortex XSOAR  giúp duy trì và cải thiện tình trạng SLA cho SOC bằng cách ngăn chặn các quy trình điều tra giả mạo bỏ sót các hành động  quan trọng. Điều này cũng hỗ trợ trong việc quản lý kiến thức hữu cơ và duy trì chuyên môn trong SOC.
 
Trường hợp sử dụng số 4: Trực quan hóa các sự cố liên quan

Thách thức

Tốc độ và mức độ nghiêm trọng mà các sự cố bất ngờ xảy ra trong SOC thường khiến nhà phân tích bị giới hạn trong phạm  vi hẹp. Trong lúc tập trung vào sự cố đang diễn ra, các nhà phân tích có thể không kết nối những sự cố đó với bức tranh lớn hơn và vẽ ra các mẫu với các sự cố tương tự đã xảy ra trên hệ thống. Điều này dẫn đến việc làm lại dư thừa cho các quy trình  phản hồi đã được lưu trữ - nhưng chưa được khai thác trong nền tảng.

Giải pháp

Đối với mỗi sự cố Cortex XSOAR, phần sự cố liên quan trình bày một bản đồ trực quan dựa trên thời gian về các sự cố tương tự đã xảy ra trên hệ thống. Cortex XSOAR nghiên cứu dữ liệu và chi tiết chỉ báo của sự cố, xác định các mẫu và điểm  tương đồng, đồng thời trực quan hóa dữ liệu đó ở dạng có thể đưa vào sử dụng.

Hình 4: Dữ liệu trực quan, có thể đưa vào sử dụng

Cortex XSOAR tương quan các chỉ báo và dữ liệu sự cố để đưa ra sơ đồ hướng tâm theo thời gian thực về các sự cố liên quan cho từng trường hợp.

Lợi ích

Thay vì giảm MTTR (Mean time to responese) hoặc mệt mỏi do có quá nhiều cảnh bảo - vốn là những lợi ích tiêu chuẩn của SOAR - tính năng các sự cố liên quan tiến thêm một bước và tăng khả năng điều tra của các nhà phân tích bằng cách cung cấp cho họ các công cụ  trực quan để hiểu rõ hơn bức tranh toàn cảnh về SOC cũng như những sự cố có liên quan như thế nào xuyên suốt một loạt các yếu tố.
 
Trường hợp sử dụng số 5: Đơn giản hóa việc tạo tác vụ Playbook

Thách thức

Sau khi Playbook thực hiện hành trình ban đầu từ trên giấy (hoặc trong suy nghĩ của các nhà phân tích) sang nền tảng SOAR, Playbook sẽ tạo điều kiện tạo ra phản hồi tự động nhưng có thể không trải qua bất kỳ quá trình đo lường và đánh giá nào nữa. Trừ khi các nhà phân tích nắm bắt được kiến thức tốt hơn từ nơi khác và đưa những kiến thức đó vào nền tảng, lợi ích của những Playbook này cuối cùng vẫn không thay đổi.

Giải pháp

Cortex XSOAR không chỉ tạo điều kiện thuận lợi cho việc tạo các tác vụ Playbook tùy chỉnh, mà còn sử dụng công nghệ  máy học để đẩy nhanh quá trình hình thành các tác vụ có liên quan có thể xác minh được. Trong quá trình tạo các tác vụ  Playbook và chọn đầu vào, các nhà phân tích có thể nhìn thấy các đề xuất cho các đối số và tham số phù hợp nhất với các đầu vào đó.

Hình 5: Khuyến nghị về đầu vào phù hợp nhất

Cortex XSOAR tìm ra các tác vụ Playbook để nghiên cứu các đối số tự động hóa thường  được sử dụng và đề xuất các đầu vào này trong quá trình tạo các tác vụ Playbook mới.

Lợi ích

Thay vì chỉ dừng lại ở mức giảm thiểu việc quá tải cảnh báo và phân tích sự cố nhanh hơn, Playbook của Cortex XSOAR còn sử dụng công nghệ máy học  để luôn đi theo con đường cải tiến thông qua các tác vụ hiệu quả hơn. Điều này giúp giải quyết tình trạng trì trệ có thể xảy ra trong giai đoạn cuối cùng về hiệu quả của Playbook không linh hoạt.
 
Trường hợp sử dụng số 6: Trích xuất các sự cố trùng lặp

Thách thức

Lượng cảnh báo lớn thường dẫn đến sự xuất hiện nhiều của các sự cố trùng lặp. Tuy nhiên, do các vectơ tấn công khác nhau, các điểm cuối mục tiêu khác nhau hoặc biến đổi tinh vi, các sự cố này đăng ký độc lập trên nền tảng thông tin bảo mật và quản lý sự kiện (SIEM) hoặc SOAR của SOC. Điều này dẫn đến công việc lặp đi lặp lại, gây mệt mỏi cho các nhà phân tích khi họ tiến hành rà soát các sự cố trùng lặp.

Giải pháp

Người dùng Cortex XSOAR có thể tận dụng tính năng tự động hóa dùng ngay được để tạo danh sách các sự cố trùng lặp, dưới dạng tác vụ của Playbook hoặc tương tác trong War Room. Máy học Cortex XSOAR nghiên cứu cả dữ liệu được xác  định trước và môi trường khách hàng, tìm kiếm các nhãn tương tự, nhãn email (có liên quan đến các sự cố lừa đảo), thời gian  xảy ra sự cố và các chỉ báo phổ biến để tạo danh sách này.

Hình 6: Tự động hóa để xác định các sự cố trùng lặp

Cortex XSOAR xây dựng danh sách sự cố trùng lặp bằng cách so sánh nhãn, tem thời gian và những đặc điểm chung khác giữa các sự cố.

Lợi ích

Dễ dàng xác định và ghi lại các sự cố trùng lặp, giúp loại bỏ khối lượng lớn công việc thường xuyên cho các nhà phân tích, giúp họ tập trung vào các nhiệm vụ có ý nghĩa và giải quyết vấn đề quan trọng hơn.

Trường hợp sử dụng số 7: Tự động hóa phản hồi lừa đảo

Thách thức

Việc xem xét các sự cố lừa đảo tiềm ẩn làm tốn một khoảng thời gian đáng kể cho nhiều nhóm SOC. Các nhà phân tích dành phần lớn thời gian và năng lượng để điều tra các cuộc tấn công lừa đảo tiềm ẩn theo cách thủ công, họ sử dụng các công cụ và dịch vụ khác nhau nhằm giúp cung cấp dữ liệu phong phú về các chỉ báo được tìm thấy trong email để xem có bằng chứng ác ý nào tồn tại hay không. Một số lượng lớn các sự cố tấn công lừa đảo như vậy thường yêu cầu một bước xem xét  thủ công, trong đó nhiều sự cố lừa đảo bị nghi ngờ hóa ra là dương tính giả.

Giải pháp

Khả năng của mô hình máy học (ML) của Cortex XSOAR có thể giải quyết quy trình xem xét thủ công này với mức độ chính xác và hiệu quả cao bằng cách sử dụng tính năng bộ phân loại lừa đảo. Bộ phân loại lừa đảo là một mô hình học  chuyên sâu cho phép Cortex XSOAR phân tích và dự đoán hành vi thông qua các loại và trường sự cố. Các mô hình máy học được sử dụng chủ yếu cho các sự cố lừa đảo và có thể được đào tạo để tự động nhận ra, ví dụ: email lừa đảo hoặc thông  tin URL hợp pháp hoặc chứa thư rác và dự đoán nếu có một cuộc tấn công lừa đảo tiềm ẩn.

Hình 7: Mẫu kết quả của mô hình bộ phân loại lừa đảo

Cortex XSOAR cung cấp những đánh giá chi tiết và cho phép các nhà phân tích hiểu được mô hình sẽ hoạt động như thế nào từ các khía cạnh khác nhau để hiểu rõ hơn về các tác động dự kiến của việc áp dụng mô hình đó theo một cách nhất định.

Lợi ích 

Cortex XSOAR cho phép người dùng tận dụng ML một cách hiệu quả trong quá trình điều tra các sự cố lừa đảo. Trong một vài bước ngắn, các SOC có thể định cấu hình đào tạo mô hình ML bằng cách sử dụng mô hình và tập lệnh có sẵn hoặc tùy chỉnh để xác định và phân tích các chỉ báo cụ thể, nhận phân tích chi tiết về kết quả và nhận được khuyến nghị về việc sử  dụng mô hình đó trong quá trình hoạt động. Đây là một bước tiến nữa trong hành trình tự động hóa SOC giúp loại bỏ công việc thủ công không cần thiết.
 
Kết luận

Đối với Cortex XSOAR, tự động hóa chỉ là một trong nhiều phương tiện để đạt mục đích: SOC chống tấn công. Bằng cách phối hợp các hành động trên các sản phẩm, quản lý các sự cố trong nền tảng, cộng tác trong thời gian thực và học hỏi từ tất cả dữ liệu theo ý của bạn, bạn thực sự có thể mang lại giá trị lớn nhất cho SOC của mình.

Tập trung “học hỏi” một nửa của máy học, Cortex XSOAR luôn tìm kiếm những con đường mới để tận dụng cơ sở ML của mình và cải tiến giúp nền tảng trở nên thông minh hơn với mỗi sự cố, đồng thời làm cho SOC cũng thông minh hơn. 

NL