Automated Triaging and Remediation of User Incident Reports with Supervised Machine Learning and Threat Intelligence

Abstract

Ondsinnet epost er et stadig økende problem for organisasjoner, og til tross for at det eksisterer flere verktøy for å forhindre angrep, blir epostene stadig mer sofistikerte. Med alle de ondsinnede epostene som klarer å komme seg forbi de eksisterende forsvarsmekanismene, er en organisasjon avhengig av sikkerhetsbevisstheten til sine ansatte for å forhindre en potensiell katastrofe. Når en ansatt mistenker at en epost er ondsinnet, rapporterer de ofte mistankene sine til informasjonssikkerhetsteamet, som igjen vurderer hendelsesrapporten og gir tilbakemelding med beskjed om deres funn til den ansatte. Oppgaven med å vurdere og behandle disse rapportene kan automatiseres ved hjelp av maskinlæring, noe som vil redusere ressursbruken for disse undersøkelsene, åpne muligheter for rask tilbakemelding til brukeren som potensielt kan øke deres sikkerhetsbevissthet, og tilby beregninger (metrics) for ledelsen samt forbedre sikkerhetsbevissthets trening.

Malicious emails are increasingly problematic for organizations, and despite several tools being available to prevent many attacks, they are becoming increasingly sophisticated. With all the malicious emails that manage to get past the existing defense mechanisms, an organization relies on the awareness of their employees to prevent a potential catastrophe. When an employee suspects that an email is malicious, they commonly report their suspicions to the information security team, which in turn assesses the incident report and provides feedback notifying the employee of their findings. The task of assessing and acting upon these reports can be automated using machine learning, which will reduce the resources spent on these investigations, allow for rapid feedback to the user potentially increasing their security awareness, and provide metrics for upper management and improvement of security awareness training.