Blog

Nov 02, 2023

Punteggio di avviso su scala industriale con un tocco umano

Digital risk protection is a key component of any security-minded organization’s

La protezione dai rischi digitali è una componente chiave del moderno stack di intelligence di qualsiasi organizzazione attenta alla sicurezza. Il modulo Mandiant Advantage Digital Threat Monitoring (DTM) offre ai clienti la possibilità di ottenere visibilità sulle minacce che prendono di mira le loro risorse sui social media, sul deep e sul dark web, sui siti di incollaggio e su altri canali online. DTM è composto da pipeline avanzate di elaborazione del linguaggio naturale che utilizzano l'apprendimento automatico per far emergere avvisi ad alta fedeltà basati sul rilevamento di entità significative e argomenti relativi alla sicurezza. Ma anche dopo aver selezionato il vasto canale di raccolte di Mandiant da milioni di documenti ingeriti ogni giorno solo a un piccolo sottoinsieme degli avvisi più rilevanti, i clienti potrebbero comunque trovarsi a dedicare tempo prezioso a decidere quali avvisi risultanti siano più pertinenti.

Punti salienti

L'esperienza dei principali ricercatori sulle minacce, reverse engineering, analisti di intelligence e addetti alla risposta agli incidenti di Mandiant non ha eguali, avendo difeso organizzazioni di tutte le dimensioni in prima linea nei conflitti informatici dal 2004. Analisti esperti comprendono le complessità semantiche degli avvisi, identificano concetti astratti non direttamente osservabili nei dati e accertare rapidamente se un avviso debba essere esaminato entro il giorno successivo o entro l'ora successiva. Ma poiché la revisione umana non si adatta ai volumi di dati di DTM, abbiamo sviluppato una nuova funzionalità di punteggio degli avvisi per DTM che combina i vantaggi dell'interazione diretta con gli analisti con un livello complementare di automazione basato sull'apprendimento automatico.

Un singolo punteggio non può raccontare tutta la storia di una minaccia e ogni cliente ha preferenze e requisiti unici quando si tratta di stabilire la priorità degli avvisi. Ecco perché abbiamo sviluppato il sistema di punteggio Mandiant, presentato alla conferenza mWISE di quest'anno, per intrecciare attentamente le competenze umane e meccaniche. Ci consente di ampliare l'esperienza Mandiant fino a milioni di avvisi DTM al giorno, standardizzare il processo per tutti i clienti, liberare tempo degli analisti per altre attività e adattarci a nuove fonti nel tempo.

Il punteggio di avviso DTM è stato lanciato ed è generalmente disponibile per i clienti oggi; attualmente è governato da due componenti: Fiducia e Severità.

Il punteggio di affidabilità di un avviso DTM cattura la certezza della qualità del contenuto dannoso dell'avviso in base alle prove esistenti. Avviso DTM La fiducia è modellata utilizzando una forma di apprendimento semi-supervisionato chiamata supervisione debole, che rispecchia da vicino il modo in cui un analista potrebbe porre domande per raccogliere e valutare le informazioni rilevanti sugli avvisi prima di applicare il proprio giudizio finale (Figura 1).

Abbiamo notato che gli analisti che valutano gli avvisi non si limitano a prendere la risposta da una singola domanda per determinare la pericolosità complessiva di ciascuna. Utilizzano invece le risposte raccolte da una serie di domande approfondite, ciascuna con le proprie aspettative e una frazione di certezza, per raggiungere una conclusione. Possiamo modellare ciascuna domanda a livello di codice come una funzione di etichettatura e ciascuna risposta come risultato associato per un determinato avviso. Gli analisti potrebbero avere una conoscenza preliminare aggiuntiva su quanto influente potrebbe essere la risposta a una delle loro domande nel determinare l’impatto del verdetto di fiducia complessivo e possiamo modellare questa aspettativa utilizzando una probabilità a priori.

Utilizzando una combinazione di questi valori a priori iniziali insieme alle statistiche ottenute dall'esecuzione del nostro set di funzioni di etichettatura su milioni di avvisi accumulati, possiamo addestrare un modello scarsamente supervisionato che regola i suoi pesi in base a (1) la frequenza con cui le funzioni di etichettatura restituiscono un risultato dannoso o benigno e (2) quanto spesso sono d'accordo o in disaccordo tra loro. Il modello appreso può quindi essere utilizzato per restituire un voto ponderato, o un valore scalato compreso tra 0 e 100, su ciascun avviso DTM appena generato. I punteggi di affidabilità possono essere fissati e calibrati utilizzando i seguenti criteri: meno di 40 indica benigno, tra 40 e 60 è indeterminato, tra 60 e 80 è sospetto e maggiore di 80 indica dannoso.