Motor de inferência aplicado à deteção de incidentes de segurança no ciberespaço de uma organização

Abstract

As capacidades tecnológicas evoluem exponencialmente todos os dias, assim como os ataques informáticos às organizações, é crucial melhorar as capacidades de monitorização, deteção e resposta a potenciais ameaças. Mecanismos tecnológicos de segurança por meio de automação de processos, Inteligência Artificial (AI) e Machine Learning (ML) são os que qualquer organização vai querer ter como arma e escudo para enfrentar os desafios emergentes no mundo da cibersegurança. Num Centro de Operações de Segurança (SOC), um analista precisa de monitorizar e investigar centenas de potenciais ameaças diariamente, a utilização de procedimentos automáticos para classificação de ameaças é imperativo para uma proficiência na resposta a esses incidentes de segurança de informação (ISIs). Para poder automatizar totalmente respostas a ISIs, um SOC precisa de ser capaz de classificar os indicadores de compromisso (IoCs) e percorrer uma árvore de decisão baseada nessas classificações, de forma automatizada. O objetivo é fornecer uma solução de classificação de IoCs que se possa adequar a uma organização e possa servir de decisão sobre avançar ou não com um fluxo automatizado. Assumindo que já existe um sistema de monitorização e gestão de eventos de segurança (SIEM), este motor de inferência, é capaz de automatizar a atribuição de um grau de ameaça a cada IoC, quantitativamente e qualitativamente. É uma solução que utiliza Cyber Threat Intelligence (CTI) e possibilita decisões automatizadas e personalizadas ao nível da ameaça para a organização, nomeadamente se uma contenção específica deve ou não ser executada com base nesse nível de ameaça identificada.

Technological capabilities evolve exponentially every day, as well as cyberattacks at organizations, it is crucial to improve monitoring, detection and response capabilities to potential cyber threats. Thus, technological security mechanisms through automation, Artificial Intelligence (AI) and Machine Learning (ML), are what any organization will want as a weapon and shield to face, protect and react to the challenges in the cybersecurity world. Daily, in a Security Operations Center (SOC) an analyst needs to deal and investigate hundreds of potential threats. Using automatic procedures for threats identification and classification is imperative to improve performance on cyber threats containing, mitigating and responding to information security incidents (ISIs). To be able to fully automate the information incident responses, a SOC needs to be capable of classifying the Indicators of Compromise (IoCs) and automatically run through a Decision Tree based on such classification. The goal is to develop an inference engine that classifies the IoCs, centering on its characteristics. If there’s already a Security Information and Event Management (SIEM), this inference engine is capable of automatically attributing a threat / risk score to each IoC, both quantitively and qualitatively, using Cyber Threat Intelligence (CTI) to allow for personalized automatic decisions according to the organization needs, namely if a specific containment should be executed or not.