Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Lar
Nov 02, 2023
Pontuação de alerta em escala de máquina com um toque humano
A proteção contra riscos digitais é um componente essencial de qualquer organização voltada para a segurança.
A proteção contra riscos digitais é um componente essencial da pilha de inteligência moderna de qualquer organização voltada para a segurança. O módulo Mandiant Advantage Digital Threat Monitoring (DTM) oferece aos clientes a capacidade de obter visibilidade das ameaças que visam seus ativos nas mídias sociais, deep e dark web, sites de colagem e outros canais online. O DTM é composto por pipelines avançados de processamento de linguagem natural que usam aprendizado de máquina para exibir alertas de alta fidelidade com base na detecção de entidades significativas e tópicos relacionados à segurança. Mas mesmo depois de reduzir o vasto funil de coleções da Mandiant de milhões de documentos ingeridos por dia para apenas um pequeno subconjunto dos alertas mais relevantes, os clientes ainda podem gastar um tempo precioso decidindo quais alertas resultantes são mais pertinentes.
Destaques
A experiência dos principais pesquisadores de ameaças, engenheiros reversos, analistas de inteligência e respondentes de incidentes da Mandiant é incomparável, tendo defendido organizações de todos os tamanhos nas linhas de frente do conflito cibernético desde 2004. Analistas especialistas entendem as complexidades semânticas dos alertas, identificam conceitos abstratos não diretamente observáveis nos dados e verifique rapidamente se um alerta deve ser investigado no dia seguinte ou na próxima hora. Mas como a revisão humana não se adapta aos volumes de dados do DTM, desenvolvemos um novo recurso de pontuação de alerta para o DTM que combina os benefícios da interação prática do analista com uma camada complementar de automação baseada em aprendizado de máquina.
Uma única pontuação não pode contar toda a história sobre uma ameaça, e cada cliente tem preferências e requisitos exclusivos quando se trata de priorização de alertas. É por isso que desenvolvemos a estrutura de pontuação Mandiant, apresentada na conferência mWISE deste ano, para combinar cuidadosamente as competências humanas e de máquina. Isso nos permite escalar a experiência da Mandiant para milhões de alertas DTM por dia, padronizar o processo para todos os clientes, liberar tempo do analista para outras tarefas e adaptar-se a novas fontes ao longo do tempo.
A pontuação de alerta DTM foi lançada e está disponível para os clientes hoje; atualmente é regido por dois componentes: Confiança e Gravidade.
A pontuação de confiança de um alerta DTM captura a certeza na qualidade do conteúdo malicioso do alerta, considerando as evidências existentes. A confiança do alerta DTM é modelada usando uma forma de aprendizado semissupervisionado chamada supervisão fraca, que reflete de perto como um analista pode fazer perguntas para coletar e pesar informações de alerta relevantes antes de aplicar seu julgamento final (Figura 1).
Percebemos que os analistas que avaliam os alertas não pegam simplesmente a resposta de uma única pergunta para determinar a malícia geral de cada uma. Em vez disso, eles usam respostas coletadas de um conjunto de perguntas investigativas, cada uma com sua própria expectativa e fração de certeza, para chegar a uma conclusão. Podemos modelar cada pergunta programaticamente como uma função de rotulagem e cada resposta como seu resultado associado para um determinado alerta. Os analistas podem ter conhecimento prévio adicional sobre a influência da resposta a uma de suas perguntas na determinação do impacto do veredicto de confiança geral, e podemos modelar essa expectativa usando uma probabilidade anterior.
Usando uma combinação desses priores iniciais junto com as estatísticas obtidas da execução de nosso conjunto de funções de rotulagem em milhões de alertas acumulados, podemos treinar um modelo fracamente supervisionado que ajusta seus pesos de acordo com (1) com que frequência as funções de rotulagem retornam um resultado malicioso ou benigno , e (2) com que frequência eles concordam ou discordam entre si. O modelo aprendido pode então ser usado para retornar um voto ponderado, ou valor escalado entre 0 e 100, em cada alerta DTM recém-gerado. As pontuações de confiança podem ser limitadas e calibradas usando os seguintes critérios: menos de 40 indica benigno, entre 40 e 60 é indeterminado, entre 60 e 80 é suspeito e maior que 80 indica mal-intencionado.