Wenn Sie Sicherheitsanalysten bitten, die größten Probleme in ihrer Rolle zu beschreiben, werden Sie zweifellos eine Vielzahl von Antworten erhalten. Eine Sache, die sie mit ziemlicher Sicherheit gemeinsam haben werden, ist die Herausforderung, mit der Alarmmüdigkeit umzugehen. Wir haben festgestellt, dass die Herausforderungen in diesem Bereich auf drei Schmerzpunkte der Analysten zurückzuführen sind:
- "Es gibt nicht genug Stunden am Tag, um das Alarmvolumen zu bewältigen, das auf meinem Teller liegt.
- "Ich bin nicht in der Lage, meine Zeit effizient zu nutzen, weil ich nicht zwischen falschen und echten Positivmeldungen unterscheiden kann."
- "Ich mache mir Sorgen, dass ich einen echten Angriff verpasse, weil das Signal im Rauschen meiner alten Lösung untergeht."
Es gibt viele Gründe für die Probleme, die in den alten Sicherheitslösungen beschrieben sind, aber sie laufen im Wesentlichen darauf hinaus:
- Ein vereinfachter Abgleich von Bedingungen und Anomalien führt zu False Positives.
- Die Unfähigkeit, die Kontextinformationen im Netz zu nutzen, um die Effizienz zu verbessern.
- Der Schwerpunkt liegt ausschließlich auf den Entdeckungen und nicht darauf, wie sie effizient organisiert werden können, damit sich ein Analyst auf die Dinge konzentrieren kann, die seine Aufmerksamkeit tatsächlich erfordern.
Ein besserer Weg für Sicherheitsanalysten:
Vom ersten Tag an hat Vectra Erkennungen entwickelt, um die Wahrscheinlichkeit von Fehlalarmen zu eliminieren, indem die Algorithmen mit Kontext aus dem Netzwerk ausgestattet werden. Während herkömmliche Netzwerksicherheitsprodukte einfach nach einem Muster oder einer statistischen Anomalie ohne Kontext suchen, entwickelt Vectra unsere Erkennungen so, dass sie den Kontext des Netzwerks nutzen und Anomalien genau wie ein Sicherheitsanalyst identifizieren.
Unsere Smash-and-Grab-Exfil-Erkennung lernt zum Beispiel, welche Datenbewegungen auf einer Subnetz-zu-Subnetz-Basis normal sind, berücksichtigt Websites, die in Ihrer Umgebung beliebt sind, und sucht nach anomalen ausgehenden Datenströmen, sogar in verschlüsselten Kanälen. Vectra korreliert die Erkennungen über Host- und Account-Entitäten hinweg, lernt den Archetyp und identifiziert jedes Objekt, und priorisiert dann die Erkennungen für Analysten in einer umsetzbaren, nach Stapeln geordneten Weise. Dies vereinfacht den Aufwand für den Betrieb von Vectra dramatisch im Vergleich zu Wettbewerbern, die lediglich Erkennungen generieren und es dem Analysten überlassen, die Bedeutung zu erkennen.
Aber es gab noch einen Bereich, mit dem wir nicht ganz zufrieden waren: der Umgang mit True Positives. Das liegt daran, dass nicht alle True Positives bösartig sind. Sie können auch Aktivitäten zuverlässig erkennen, bei denen sich das Verhalten so verhält, wie es das System vorgibt; in dem Kontext, in dem ein Ereignis auftritt, kann es sich eher um einen gutartigen True Positive als um einen bösartigen True Positive handeln. Einige Antiviren-Produkte betten beispielsweise Datei-Hash-Lookups in DNS-Lookups zum AV-Anbieter ein. Dieses Verhalten sieht vielleicht aus wie ein Command-and-Control-Kanal, der Daten in der DNS-Nutzlast verschlüsselt, und das ist es auch. Doch obwohl es sich um einen echten DNS-Tunnel handelt, ist er nicht bösartig, sondern eher harmlos. Unsere Philosophie ist es, diese hochwertigen Erkennungen von Angreiferverhalten und -methoden sichtbar zu machen, aber dies auszubalancieren, indem wir dem Benutzer nur hochvertrauliche, korrelierte Erkennungen auf Host- oder Kontoebene zur Beachtung vorlegen.
Das brachte uns zum Nachdenken: Gibt es eine Möglichkeit, einige der Techniken anzuwenden, die wir für unsere erstklassigen ML/AI-Algorithmen verwenden, um die Unterscheidung zwischen bösartigen und gutartigen True Positives zu erleichtern? Das Ziel war es, unseren Kunden die Analyse gutartiger True Positives weitgehend zu ersparen und gleichzeitig bösartige True Positives zu priorisieren, damit sie sich sofort darum kümmern können. So wurde AI-Triage geboren.
Ähnlich wie bei der Erstellung unserer Erkennungen haben wir KI-Triage-Funktionen hinzugefügt, indem wir zunächst die Methodik analysiert haben, die Analysten in der Praxis zur Lösung dieser Probleme anwenden. Anschließend haben wir unser ML/AI-System so trainiert, dass es uns hilft, die Lösung der Szenarien mit dem höchsten Vertrauen zu automatisieren.
So funktioniert AI-Triage:
Die in der Vectra Plattform integrierte KI-Triage analysiert automatisch alle aktiven Erkennungen im System und nutzt den Kontext der einzelnen Erkennungen sowie Gemeinsamkeiten zwischen den Erkennungen, um nach gutartigen True Positives zu suchen, die wir im Namen des Kunden automatisch zuordnen können. Wenn wir beispielsweise Dutzende von Endgeräten sehen, die alle dieselbe versteckte HTTPS-Tunnel-Erkennung für dasselbe Ziel generieren, und zwar über einen Zeitraum von mindestens 14 Tagen und ohne andere Indikatoren für eine Kompromittierung, können wir dies mit Sicherheit als einen gutartigen True Positive identifizieren. AI-Triage erstellt dann automatisch eine Triage-Regel im Namen des Kunden, ohne dass der Analyst wertvolle Zeit in Anspruch nimmt. Sollte ein Analyst die Aktivität überprüfen wollen, ist sie immer noch innerhalb der Plattform verfügbar, erfordert aber keine Aktion des Analysten und hat keinen Einfluss auf den Host- oder Account-Score.
Wir haben AI-Triage zunächst für C2- und Exfil-basierte Erkennungen eingeführt, und in unserer kommenden Version bauen wir auf diesem großartigen Framework auf, um AI-Triage auf laterale Erkennungen auszuweiten. Wir haben festgestellt, dass AI-Triage die Gesamtzahl der Erkennungen, die ein Analyst andernfalls untersuchen müsste, um über 80 % reduziert, was bedeutet, dass mehr Zeit auf Ereignisse verwendet werden kann, die die Aufmerksamkeit des Analysten erfordern.
Ein-Klick-Bereitstellung
Nachdem Sie nun alle Vorteile von AI-Triage kennen, wird es Sie freuen zu erfahren, dass Sie die Funktionen mit nur einem einzigen Klick aktivieren können. AI-Triage erfordert keinerlei Einstellung oder Verwaltung durch den Kunden. Sie können die Funktion aktivieren, indem Sie einfach zu Einstellungen -> AI-Triage gehen und die Funktion aktivieren, woraufhin AI-Triage im Hintergrund läuft, um mit hoher Wahrscheinlichkeit gutartige True-Positive-Erkennungen zu identifizieren und für Sie zu triagieren.
In den 30 Tagen seit der Veröffentlichung haben bereits über die Hälfte unserer Kunden AI-Triage aktiviert. Bei der überwiegenden Mehrheit der Kunden haben wir eine erhebliche Verringerung der gutartigen "True Positives" festgestellt. Aber das ist erst der Anfang unserer Reise, um die Effizienz von Sicherheitsanalysten zu steigern. In den kommenden Versionen werden wir die AI-Triage-Funktionen auf neue Szenarien und andere Produkte in unserem Portfolio ausweiten.
Wenn Sie weitere Informationen zu AI-Triage wünschen, lesen Sie unseren KB-Artikel "AI-Triage im Detail": https://support.vectra.ai/s/article/KB-VS-1582
Weitere Informationen über die erstklassige ML/AI-Erkennung von Vectrafinden Sie unter: https://support.vectra.ai/s/article/KB-VS-1285