Priložnosti zlivanja tehnologij SIEM, SOAR in strojnega učenja v procesih inteligence tveganj in samodejnega odzivanja na kibernetske incidente
DOI:
https://doi.org/10.31449/upinf.155Ključne besede:
avtomatizacija odzivanja na kibernetske incidente, inteligenca kibernetskih groženj in tveganj, kibernetska varnost, SIEM, SOAR, strojno učenjePovzetek
V sodobnih informacijskih okoljih in sistemih, ki se selijo v oblak, temeljijo na konceptih interneta stvari in podpirajo avtomatizacijo poslovanja v kontekstu industrije 4.0, imamo opravka z masovnimi podatki in obsežnim omrežnim prometom med povezanimi napravami. V takšni količini podatkov si je nemogoče zamisliti zaznavanje anomalij, varnostnih tveganj in potencialnih kibernetskih incidentov brez avtomatiziranih pristopov, ki uporabljajo tehnike strojnega učenja in umetne inteligence. Ključne so zlasti tehnologije za upravljanje varnostnih informacij in dogodkov (SIEM) ter za avtomatizacijo, orkestriranje in odzivanje na kibernetska tveganja (SOAR). V članku pojasnimo, kaj pridobimo z vpeljavo postopkov in tehnologij za avtomatizacijo odzivov na kibernetske incidente. Umestimo jih v širši proces obravnave in reševanja incidentov ter v kontekst življenjskega cikla in primerov uporabe na področju inteligence varnostnih groženj in tveganj. Analiziramo možnosti uvajanja in neposredne integracije gradnikov tehnologij SIEM in SOAR kakor tudi vključevanja pristopov umetne inteligence za namen avtomatiziranega zaznavanja in orkestriranja kibernetskih incidentov. Preučimo učinke zlivanja in sinergije tehnologij SIEM, SOAR in strojnega učenja, hkrati pa se dotaknemo tistih organizacijskih in tehnoloških vidikov, ki odpirajo izzive, težave ter priložnosti. Izpostavimo tudi dobre prakse in pristope, ki jih vpeljujemo v sklopu kompetenčnega centra za kibernetsko varnost.