Título
Motor de inferência aplicado à deteção de incidentes de segurança no ciberespaço de uma organização
Autor
Valente, Rodrigo Pinto
Resumo
pt
As capacidades tecnológicas evoluem exponencialmente todos os dias, assim como os ataques
informáticos às organizações, é crucial melhorar as capacidades de monitorização, deteção e resposta
a potenciais ameaças. Mecanismos tecnológicos de segurança por meio de automação de processos,
Inteligência Artificial (AI) e Machine Learning (ML) são os que qualquer organização vai querer ter
como arma e escudo para enfrentar os desafios emergentes no mundo da cibersegurança.
Num Centro de Operações de Segurança (SOC), um analista precisa de monitorizar e investigar
centenas de potenciais ameaças diariamente, a utilização de procedimentos automáticos para
classificação de ameaças é imperativo para uma proficiência na resposta a esses incidentes de
segurança de informação (ISIs).
Para poder automatizar totalmente respostas a ISIs, um SOC precisa de ser capaz de classificar
os indicadores de compromisso (IoCs) e percorrer uma árvore de decisão baseada nessas
classificações, de forma automatizada. O objetivo é fornecer uma solução de classificação de IoCs que
se possa adequar a uma organização e possa servir de decisão sobre avançar ou não com um fluxo
automatizado. Assumindo que já existe um sistema de monitorização e gestão de eventos de
segurança (SIEM), este motor de inferência, é capaz de automatizar a atribuição de um grau de ameaça
a cada IoC, quantitativamente e qualitativamente. É uma solução que utiliza Cyber Threat Intelligence
(CTI) e possibilita decisões automatizadas e personalizadas ao nível da ameaça para a organização,
nomeadamente se uma contenção específica deve ou não ser executada com base nesse nível de
ameaça identificada.
en
Technological capabilities evolve exponentially every day, as well as cyberattacks at organizations, it is
crucial to improve monitoring, detection and response capabilities to potential cyber threats. Thus,
technological security mechanisms through automation, Artificial Intelligence (AI) and Machine
Learning (ML), are what any organization will want as a weapon and shield to face, protect and react
to the challenges in the cybersecurity world.
Daily, in a Security Operations Center (SOC) an analyst needs to deal and investigate hundreds
of potential threats. Using automatic procedures for threats identification and classification is
imperative to improve performance on cyber threats containing, mitigating and responding to
information security incidents (ISIs).
To be able to fully automate the information incident responses, a SOC needs to be capable of
classifying the Indicators of Compromise (IoCs) and automatically run through a Decision Tree based
on such classification. The goal is to develop an inference engine that classifies the IoCs, centering on
its characteristics. If there’s already a Security Information and Event Management (SIEM), this
inference engine is capable of automatically attributing a threat / risk score to each IoC, both
quantitively and qualitatively, using Cyber Threat Intelligence (CTI) to allow for personalized automatic
decisions according to the organization needs, namely if a specific containment should be executed or
not.