Bertahan di Era Mitos: Richard Bejtlich dalam Kasus NDR

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Meskipun banyak sekali telemetri yang tersedia bagi para analis, banyak tim operasi keamanan kesulitan menjawab beberapa pertanyaan mendasar selama penyelidikan insiden: Apa yang…

Meskipun banyak sekali telemetri yang tersedia bagi para analis, banyak tim operasi keamanan kesulitan menjawab beberapa pertanyaan mendasar selama penyelidikan insiden: Apa yang terjadi? Bukti apa yang kita punya? Bagaimana kita tahu bahwa kita melihat semuanya, dalam konteksnya?

Peringatan menjadi kurang berguna seiring dengan semakin cepatnya penemuan kerentanan (alias Era Mitos). Kebanyakan organisasi tidak dapat menyelidiki volume temuan baru dengan alur kerja yang ada. Bahkan dengan peningkatan otomatisasi, tim SecOps memerlukan bukti tervalidasi mengenai eksploitasi dan paparan aktif, bukan telemetri mentah.

NDR Essentials: A Practical Guide to Network Detection and Response karya Richard Bejtlich, diterbitkan dalam kemitraan dengan Corelight, mengeksplorasi bagaimana deteksi dan respons jaringan (NDR) membantu para praktisi menavigasi era jaringan saat ini. Panduan gratis ini merupakan pengenalan tentang NDR dan sumber daya praktis bagi tim yang ingin memperkuat perburuan ancaman dan investigasi yang dibantu AI.

Kecerdasan buatan telah mengubah pertahanan jaringan, sama seperti kecerdasan buatan telah mengubah serangan terhadap jaringan. Dalam bab 5 panduan ini, Bejtlich menjelaskan bagaimana analis SOC dapat menggunakan AI untuk kebaikan yang lebih besar — ​​​​menciptakan efisiensi, mengurangi beban kognitif, dan meningkatkan pengumpulan bukti.

Garis dasar peringatan awal: Terlalu banyak aturan yang telah diaktifkan sebelumnya menyebabkan kelelahan peringatan. Pada gilirannya, kewaspadaan akan mematikan rasa lelah dan/atau mengubur tim keamanan. Oleh karena itu, Bejtlich merekomendasikan organisasi untuk mengadopsi strategi “zero-baseline”. Anda dapat membaca lebih lanjut tentang metode ini di eBook.

Definisi peringatan: Operator harus memperlakukan peringatan sebagai awal dari penyelidikan dan bukan sebagai definisi konklusif dari suatu peristiwa. Hal ini akan memfasilitasi pengumpulan bukti mendalam yang mendukung atau menolak suatu hipotesis, sehingga memastikan bahwa, pada akhir penyelidikan, analis dapat menjawab secara meyakinkan: Apa yang terjadi? Bukti apa yang kita punya? Bagaimana kita tahu bahwa kita melihat semuanya, dalam konteksnya?

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com