محادثة حول الموجة الجديدة للأمن السيبراني

By /

أمن يحركه الذكاء الاصطناعي, الذكاء الاصطناعي, الأمن السيبراني, جمع البيانات, XDR

محادثة حول الموجة الجديدة للأمن السيبراني

حان الوقت ، مرة أخرى ، لتغيير المحادثة في الأمن السيبراني.

ليس كذلك تعتمد على البيانات ولا AI-مدفوعة الأمن السيبراني، الذي ربما سمعته من قبل - إنه كلاهما وأكثر ، أكثر من ذلك بكثير.

إنها مدفوعة بالارتباط الأمن السيبراني. يتعلق الأمر بارتباطات العديد من الاكتشافات ، من أساسي جدًا مثل NGFW إلى متقدم جدًا مثل EDR المستند إلى AI ، من مصادر بيانات مختلفة في نظام أساسي واحد متماسك.

الأمن السيبراني، الأمن المدعوم بالذكاء الاصطناعي، الأمن السيبراني، XDR، الذكاء الاصطناعي SIEM أدوات تحليل حركة مرور الشبكة، حركة مرور الشبكة

نسمع عن العديد من التحديات الأمنية من العملاء المحتملين والعملاء والشركاء - لماذا؟ لأنه جزء مما يفعله البشر - يتشاركون الألم! كما قد تعلم أو لا تعرف ، يتمتع المهاجمون بإمكانية الوصول إلى نفس الأدوات التي نستخدمها جميعًا. لديهم إمكانية الوصول إلى كل من تقنيات البيانات الضخمة والذكاء الاصطناعي لهجمات أكثر تقدمًا.

ومع ذلك ، مع تزايد التهديدات المعقدة ، نتفق جميعًا - فلا عجب أننا نسمع مثل هذه المواضيع المتسقة:

  • ليس لدي بيانات كافية لاكتشاف فعال ، أو
  • على العكس من ذلك ، لدي الكثير من البيانات وأنا غارق في الغرق
  • أحصل على الكثير من الضوضاء في البيانات أو الكثير من الإنذارات الكاذبة
  • لقد جربت مؤخرًا بعض الأدوات المتقدمة التي تستخدم AI / ML لتقليل الضوضاء أو الإيجابيات الكاذبة ، لكن هذا الذكاء مخصص فقط لكل أداة.
  • لدي الكثير من الأدوات المستقلة التي لا تتحدث مع بعضها البعض وتؤدي إلى إجابات منعزلة وتكاليف باهظة

ماذا يمكنك أن تفعل حيال هجوم معقد يستخدم هذه التحديات ضدك؟ اليك مثال بسيط:

  • يتلقى رئيسك التنفيذي رسالة بريد إلكتروني تحتوي على عنوان URL مضمن
  • يقوم رئيسك التنفيذي بتنزيل ملف على جهاز الكمبيوتر المحمول الخاص به بالانتقال إلى عنوان URL
  • يصل رئيسك التنفيذي إلى خادم الملفات في الساعة 2 صباحًا في أحد أيام الأسبوع
  • يرسل الكمبيوتر المحمول الخاص بالرئيس التنفيذي الكثير من حركة مرور DNS

في حد ذاتها ، قد تبدو كل من هذه الأحداث الفردية طبيعية. إذا كان لديك أدوات الأمان المناسبة منتشرة ، مع تقدم بعضها باستخدام التعلم الآلي مثل EDR و UBA، قد تكتشف أن:

  • يتلقى رئيسك التنفيذي أ التصيد بريد إلكتروني مضمّن ضار URL.
  • يقوم رئيسك التنفيذي بتنزيل أ البرامج الضارة ملف إلى جهاز الكمبيوتر المحمول الخاص به عن طريق الانتقال إلى URL
  • يصل رئيسك التنفيذي إلى خادم الملفات في الساعة 2 صباحًا في أحد أيام الأسبوع ، وهو ملف سلوك غير طبيعي في مصطلح UBA
  • يرسل الكمبيوتر المحمول الخاص بالرئيس التنفيذي الكثير من حركة مرور DNS عبر DNS التنغيم

هذا كثير من التحليل المستقل بواسطة أربع أدوات مختلفة. ما مدى سرعة ومدى سهولة ربط هذه الأحداث من أجل تتبع هذا الخرق ، وكم عدد الأشخاص الذين تحتاج إلى لفها معًا من خلال النظر إلى العديد من الشاشات المختلفة؟

لنعد خطوة إلى الوراء ونسأل أنفسنا كيف وصلنا إلى هنا. من الواضح أن هناك ثلاث موجات من الأمن السيبراني، والتي بنيت فوق بعضها البعض: صعود البيانات ، وظهور الذكاء الاصطناعي ، وظهور العلاقات المتبادلة.

1. ارتفاع البيانات - زيادة كمية البيانات لتحقيق رؤية شاملة.

كان الأمان المستند إلى البيانات هو الموضوع الرئيسي لعصر البيانات الضخمة حيث تمثل البيانات "الذهب" الجديد. لقد بدأ مع السجلات وحزم الشبكة الأولية بشكل منفصل. الغرض الرئيسي من SIEMs جمع السجلات وتجميعها من الأدوات والتطبيقات المختلفة للامتثال والتحقيق في الحوادث وإدارة السجلات. ArcSight ، أحد الإرث SIEM أدوات، الذي تم إصداره في عام 2000 ، كان مثالًا نموذجيًا على ملف SIEM ونظام إدارة السجل. تم جمع الحزم الأولية وتخزينها كما هي للأدلة الجنائية على الرغم من أنها تتطلب مساحة تخزين كبيرة ومن الصعب للغاية غربلة هذه الأعداد الهائلة من الحزم للعثور على أي مؤشر على وجود خروقات. في عام 2006 ، وجد NetWitness حلاً لتحليل الحزم الأولية.

بسرعة ، أدركنا أنه لا السجلات الأولية ولا الحزم الأولية تكفي بشكل فردي لتكون فعالة في الكشف عن الخروقات ، وأن الحزم الأولية ثقيلة جدًا ولها استخدام محدود إلى جانب الطب الشرعي. بدأ استخدام المعلومات المستخرجة من حركة المرور مثل Netflow / IPFix ، والتي تُستخدم تقليديًا لرؤية الشبكة ومراقبة الأداء ، لأغراض الأمان. SIEMs بدأ أيضًا في استيعاب وتخزين Netflow / IPFix أيضًا. ومع ذلك ، نظرًا لمخاوف قابلية التوسع الفنية والمخاوف المتعلقة بالتكلفة ، SIEMs لم تصبح أبدًا الأداة الرئيسية لتحليل حركة المرور.

مع مرور الوقت ، يتم جمع المزيد من البيانات: الملفات ، ومعلومات المستخدم ، وذكاء التهديدات ، وما إلى ذلك. كان الهدف من جمع المزيد من البيانات صحيحًا - الحصول على رؤية شاملة - لكن التحدي الصافي ، الاستجابة للهجمات الحرجة ، يشبه العثور على إبر في كومة قش ، خاصة عبر عمليات البحث اليدوية أو القواعد التي يحددها البشر يدويًا. إنها تتطلب عمالة كثيفة وغير فعالة للوقت.

هناك نوعان من التحديات التقنية التي تواجه الأمان المستند إلى البيانات: كيفية تخزين كميات كبيرة من البيانات على نطاق واسع ، والسماح بعمليات البحث والتحليل الفعالة ، وكيفية التعامل مع مجموعة متنوعة من البيانات - خاصة البيانات غير المهيكلة - حيث يمكن أن تكون البيانات بأي تنسيق. واجهت قواعد البيانات العلائقية التقليدية المستندة إلى SQL كلا المشكلتين. سارع البائعون السابقون إلى حل هذه المشكلات من خلال العديد من الحلول المحلية. لسوء الحظ ، لم يكن معظمهم بنفس كفاءة ما نستخدمه اليوم استنادًا إلى قواعد بيانات NoSQL لبحيرات البيانات الكبيرة.

هناك تحدٍ آخر يواجه الأمان المستند إلى البيانات: بنية البرنامج لبناء نظام قابل للتطوير بشكل فعال من حيث التكلفة لعملاء المؤسسات. أصبحت البنية النموذجية المكونة من 3 طبقات مع منطق الأعمال الأمامية وطبقات قاعدة البيانات عقبة كبيرة. توفر البنى السحابية الأصلية اليوم ، المبنية على بنية الخدمات الدقيقة مع الحاويات ، حلولًا أكثر قابلية للتطوير وفعالية من حيث التكلفة.

2. صعود الذكاء الاصطناعي - استخدم التعلم الآلي مع تحليل البيانات الضخمة للمساعدة في العثور على الاكتشافات وأتمتتها

بمجرد أن يكون لديك الكثير من البيانات ، ماذا تفعل بها؟ كما ذكرنا سابقًا ، مع وجود حجم كبير من البيانات ، فإن غربلة البيانات بحثًا عن أنماط ذات مغزى أمر شاق ويستغرق وقتًا طويلاً. إذا تم اختراق البنية التحتية لتكنولوجيا المعلومات لديك بطريقة ما للأسف ، فقد يستغرق الأمر أيامًا لاكتشافها. لقد فات الأوان لأن الضرر قد حدث بالفعل ، أو أن البيانات الحساسة مسروقة بالفعل. في هذه الحالة ، يصبح الكثير من البيانات مشكلة. لحسن الحظ ، شهدنا ارتفاعًا في التعلم الآلي بفضل التقدم في خوارزميات التعلم الآلي بالإضافة إلى قوة الحوسبة.

الآلات جيدة جدًا في القيام بالأعمال المتكررة والمملة بسرعة كبيرة وبكفاءة عالية وبدون كلل على مدار الساعة طوال أيام الأسبوع. عندما تكون الآلات مزودة بذكاء مثل قدرات التعلم ، فإنها تساعد البشر على التوسع. بدأ الكثير من الباحثين والموردين في مجال الأمن في الاستفادة من الذكاء الاصطناعي لحل المشكلة ، أو مساعدتهم في العثور على تلك الإبر ، أو لمعرفة الاتجاهات المخفية داخل مجموعات البيانات الكبيرة. وهكذا ، فإن صعود أمن يحركه الذكاء الاصطناعيهناك العديد من الابتكارات في هذا المجال. على سبيل المثال، هناك العديد من شركات الكشف والاستجابة لنقاط النهاية (EDR) التي تستخدم الذكاء الاصطناعي لمعالجة مشاكل أمن نقاط النهاية؛ والعديد من تحليلات سلوك المستخدم والكيان (UEBAتستخدم الشركات الذكاء الاصطناعي للتصدي للتهديدات الداخلية، والعديد من تحليل حركة مرور الشبكة (NTA) الشركات التي تستخدم الذكاء الاصطناعي للعثور على أشياء غير طبيعية ازدحام انترنت أنماط - رسم.

إذا كانت البيانات هي الذهب الجديد ، فإن الاختراقات التي تم اكتشافها عبر الذكاء الاصطناعي تشبه المجوهرات المصنوعة من الذهب. يتطلب الأمر الكثير من الوقت والصبر والعمل الجاد من أجل صنع مجوهرات جميلة باليد من الذهب العادي. بمساعدة الآلات ، خاصة الآلات المتقدمة ، يصبح الإنتاج التجاري للمجوهرات الرائعة ممكنًا.

على السطح مع أمن يحركه الذكاء الاصطناعيمع ازدياد كمية البيانات، لم يعد الأمر يمثل مشكلة كبيرة، إذ يتطلب التعلم الآلي عادةً كميات هائلة من البيانات لتدريب النموذج وتعلم الأنماط. على النقيض من ذلك، يُعد نقص البيانات مشكلة واضحة، فكلما قلّت البيانات، قلت دقة النموذج، وبالتالي قلت فائدته. مع ذلك، ومع مرور الوقت، أدرك الباحثون تدريجيًا أن البيانات الصحيحة أكثر أهمية بكثير. فكثرة البيانات دون المعلومات الصحيحة تُعدّ مجرد إهدار لقدرة الحوسبة في التعلم الآلي، فضلًا عن إهدار مساحة التخزين. UEBA موردون يقدمون حلولاً تعتمد على سجلات من SIEM أدوات لقد تعلمت هذا الدرس القاسي. SIEM قد يكون النظام قد جمع الكثير من السجلات، لكن القليل منها فقط يحتوي على المعلومات الصحيحة المتعلقة بسلوكيات المستخدم. لذا، على الرغم من أن الأمن القائم على البيانات يُشكل أساسًا متينًا لـ أمن يحركه الذكاء الاصطناعي، من أجل بناء قابل للتطوير ودقيق أمن يحركه الذكاء الاصطناعي، البيانات الصحيحة أكثر أهمية بكثير.

يُساعد استخدام الذكاء الاصطناعي بلا شك في تخفيف مشاكل البيانات الضخمة، ولكنه ينطوي على تحدياته الخاصة. على سبيل المثال، كلاهما UEBA وتستفيد NTA من التعلم الآلي غير الخاضع للإشراف لتحليل السلوك. ومع ذلك، فإن السلوك غير الطبيعي الذي يُلاحظ لدى المستخدم أو من ازدحام انترنت لا يعني بالضرورة وقوع حادث أمني. يمكن أن تولد هذه الأدوات الكثير من الضوضاء ، مما يتسبب في إجهاد التنبيه. علاوة على ذلك ، فإن الاختراق الذكي عادة ما يمر بعدة مراحل من سلسلة القتل قبل أن يتم القبض عليهم. كيف يمكنك استعادة أثر الخرق وإصلاح السبب الجذري؟

هناك تحد كبير آخر يواجه أمن يحركه الذكاء الاصطناعي بشكل جماعي: التكلفة - التكلفة الرأسمالية للأدوات نفسها ، وتكلفة البنية التحتية للحوسبة والتخزين التي تستخدمها هذه الأدوات ، وتكلفة عمليات العديد من الأدوات المختلفة في صوامعها ذات الشاشات المختلفة.

لذلك ، حتى إذا كانت كل أداة لديها القدرة على تقطير البيانات بالجيجابايت أو التيرابايت وصولاً إلى قائمة مختصرة من بعض الاكتشافات الحرجة ، فلا يزال السؤال المطروح ، "ما الذي تفتقده من خلال عدم دمج هذه الأدوات في نظام أساسي واحد وربط عمليات الاكتشاف عبر جميع الأدوات والخلاصات؟ "

3. صعود الارتباطات - عمليات الاكتشاف المترابطة وأتمتة الاستجابة عبر سطح الهجوم بأكمله في منصة واحدة

مع هذه الموجة الجديدة ، يتم تحويل المحادثة من البيانات والذكاء الاصطناعي إلى الارتباطات. من الواضح أن هذه الموجة مبنية على الموجتين السابقتين. ومع ذلك ، فإن الأمر كله يتعلق بتجاوز البيانات وكذلك الأدوات ، وهو يتعلق بجمع كل شيء معًا في نظام أساسي واحد. باتباع تشبيهنا المبكر بالذهب والمجوهرات ، يتعلق الأمر بمطابقة مجموعة من المجوهرات المناسبة ووضعها معًا على شخص ما لجعلها تبدو جميلة ككل.

محللون في الأمن من ESG، Gartner، Forrester، IDC و اومديا يتفق الجميع على أن هذا التغيير في التفكير من أدوات منعزلة إلى نظام أساسي موحد هو المفتاح لمساعدتنا على رؤية الانتهاكات الجسيمة والرد عليها. على وجه التحديد ، يحتاج النظام الأساسي إلى اتباع نهج شامل وإلقاء نظرة على الاكتشافات المترابطة عبر الشبكة والسحابة ونقاط النهاية والتطبيقات - سطح الهجوم بأكمله.

تتمثل الأهداف الرئيسية لارتباطات الاكتشافات عبر الأدوات والتغذية والبيئات في تحسين دقة الكشف ، واكتشاف الهجمات المعقدة من خلال الجمع بين الإشارات الأضعف من أدوات متعددة لاكتشاف الهجمات التي قد يتم تجاهلها بطريقة أخرى ، وتحسين الكفاءة التشغيلية والإنتاجية. لم تعد الرؤية الشاملة تعني العثور على البيانات الصحيحة - بل تعني العثور على الهجمات المعقدة.

للقيام بذلك ، يجب أن تفكر Open XDR. XDR هو حل عمليات أمان متماسك مع تكامل محكم للعديد من تطبيقات الأمان في منصة واحدة مع لوح زجاجي واحد. يقوم تلقائيًا بجمع البيانات من أدوات متعددة وربطها ، وتحسين الاكتشافات ، وتوفير استجابات آلية. تعمل المنصة التي تربط الأدوات والتطبيقات معًا على خفض التكلفة بشكل فطري ، من حيث تكلفة الأدوات وتكلفة البنية التحتية ، بينما تعمل على تحسين الكفاءة التشغيلية من خلال جزء واحد سهل الاستخدام من الزجاج.

نعتقد أن هناك خمسة متطلبات أساسية رئيسية لـ XDR:

  1. مركزية البيانات المعيارية والمُثرية من مجموعة متنوعة من مصادر البيانات بما في ذلك السجلات ، ازدحام انترنت، والتطبيقات ، والسحابة ، وذكاء التهديدات ، وما إلى ذلك.
  2. الكشف التلقائي عن الأحداث الأمنية من البيانات التي تم جمعها من خلال التحليلات المتقدمة مثل NTA, UBA و EBA.
  3. ربط الأحداث الأمنية الفردية بطريقة عرض عالية المستوى.
  4. قدرة استجابة مركزية تتفاعل مع منتجات الأمان الفردية.
  5. بنية الخدمات الصغيرة السحابية الأصلية لمرونة النشر وقابلية التوسع والتوافر العالي.

وختاماً، فإن شركة ستيلار سايبر هي الشركة الوحيدة المصممة لهذا الغرض Open XDR منصة تستوعب وتنسق كل شيء الأمن السيبراني بيانات للكشف والربط والاستجابة عبر سلسلة القتل بأكملها. بدأت موجة العلاقات المتبادلة ، فنحن نرحب بك لتركب معنا للاستمتاع بالرحلة معًا!

SIAMs - وعود فارغة

SIEMs – وعود فارغة؟

SIEMلقد شكلت هذه الإجراءات أساس العمليات الأمنية لعقود، وهذا أمر يجب الاعتراف به. ومع ذلك، SIEMلقد قطعوا وعوداً عظيمة كثيرة، وحتى يومنا هذا، لم يفوا بالكثير منها...

تنزيل الكتاب الإلكتروني

المنشورات المشابهة

انتقل إلى الأعلى
اشترك في النشرات الإخبارية