- Od skryptów do agentowej sztucznej inteligencji w operacjach bezpieczeństwa
- Najważniejsze przypadki użycia zabezpieczeń agentowych AI
- Ciągłe kontrole zgodności i egzekwowanie zasad
- Wzorce architektoniczne łączące sztuczną inteligencję agentową z XDR oraz SIEM
- Praktyczna ścieżka wdrażania dla dyrektorów ds. bezpieczeństwa informacji (CISO) w średnich przedsiębiorstwach
Realistyczne przypadki użycia agentowej sztucznej inteligencji w cyberbezpieczeństwie
Liderzy bezpieczeństwa średnich przedsiębiorstw mierzą się z atakami na poziomie korporacyjnym, dysponując jedynie ułamkiem dostępnego personelu i budżetu. Rozrost narzędzi, zakłócona telemetria i ciągłe aktualizacje produktów tworzą kruchy stos, który jest już mocno eksploatowany, zanim nastąpi pierwszy krytyczny incydent. Sztuczna inteligencja oparta na agentach pojawia się w tym kontekście, a nie w laboratorium.
Badania pokazują, że około 18% organizacji średniej wielkości zgłosiło naruszenie bezpieczeństwa w ciągu ostatniego roku, a ransomware dotknął około jedną czwartą tych firm. W Wielkiej Brytanii 45% firm średniej wielkości padło ofiarą cyberprzestępczości w ciągu ostatnich 12 miesięcy, a phishing nadal jest dominującym sposobem ataku. Koszty naruszenia bezpieczeństwa w firmach średniej wielkości wynoszą obecnie średnio około 3.5 miliona dolarów na incydent. Dla szczupłego zespołu IT i bezpieczeństwa jeden błąd może kosztować roczny budżet.
Tę presję widać w ostatnich incydentach. Atak ransomware Change Healthcare w 2024 roku zakłócił system rozliczeń w amerykańskiej służbie zdrowia w całym kraju i szacuje się, że będzie kosztował spółkę macierzystą UnitedHealth ponad 2.3 miliarda dolarów w reakcji i odzyskaniu danych, oprócz 22 milionów dolarów okupu. MGM Resorts odnotowało straty przekraczające 100 milionów dolarów w wyniku ataku z 2023 roku, po tym jak socjotechnika ataku na helpdesk doprowadziła do ataku ransomware obejmującego całą domenę. Wyciek danych publicznych (National Public Data) potencjalnie ujawnił 2.9 miliarda rekordów w 2024 roku, co pokazuje, jak pojedyncze naruszenie może mieć zasięg wykraczający poza zasięg jednej firmy.
Jak sztuczna inteligencja i uczenie maszynowe poprawiają cyberbezpieczeństwo przedsiębiorstwa
Łączenie wszystkich kropek w złożonym krajobrazie zagrożeń
Poznaj bezpieczeństwo oparte na sztucznej inteligencji w akcji!
Odkryj najnowocześniejszą sztuczną inteligencję Stellar Cyber do natychmiastowego wykrywania zagrożeń i reagowania. Zaplanuj demo już dziś!
Powyższy wykres słupkowy uwypukla trzy proste fakty. Naruszenia bezpieczeństwa w organizacjach średniej wielkości są powszechne, cyberprzestępczość wobec średnich firm utrzymuje się na wysokim poziomie, a pojedyncze naruszenie bezpieczeństwa może zniweczyć lata inwestycji w bezpieczeństwo. Dla CISO, który nie może po prostu zatrudnić pięćdziesięciu analityków, inteligentniejsza automatyzacja nie jest już opcją.
Dla wielu zespołów prawdziwym ograniczeniem jest ludzka uwaga, a nie narzędzia. Typowy SIEM or XDR Platforma będzie wyświetlać tysiące alertów dziennie, jednak analitycy będą mogli w sposób sensowny zbadać jedynie niewielki ich podzbiór. Badania nad sztuczną inteligencją SOC Wdrożenia pokazują, że zespoły często muszą zmniejszyć obciążenie analityków obsługą alertów o 70–80%, aby odzyskać kontrolę nad operacjami. Bez tej zmiany ważne sygnały pozostają ukryte. Przewodniki, takie jak te dotyczące wiodących platform wykrywania zagrożeń, wyjaśniają, jak ten napływ alertów rozwijał się z czasem.
Sytuację pogarszają ataki oparte na tożsamości. Verizon i inne badania szacują, że około 70% naruszeń bezpieczeństwa zaczyna się obecnie od skradzionych lub nadużytych danych uwierzytelniających. Kampanie Salt Typhoon przeciwko amerykańskim dostawcom usług telekomunikacyjnych pozostawały niewykryte przez rok lub dwa, podczas gdy przeciwnicy wykorzystywali techniki „życia poza siecią” i ważne konta do przemieszczania się między sieciami. Naruszenia Snowflake w 2024 roku dotknęły co najmniej 165 organizacji korzystających ze skradzionych danych uwierzytelniających bez ochrony wieloskładnikowej. Incydenty te są bezpośrednio zgodne z technikami MITRE ATT&CK dotyczącymi początkowego dostępu, dostępu do danych uwierzytelniających, przemieszczania się między sieciami i eksfiltracji, a także ujawniają luki, których tradycyjne reguły alertów po prostu nie dostrzegają.
Wdrożenie chmury zwiększa to ryzyko. Incydent w Change Healthcare pokazuje, jak jeden niezabezpieczony zdalny punkt dostępu w środowisku połączonym z chmurą może zablokować krytyczne usługi krajowe. Badania dotyczące wykrywania i reagowania w chmurze dokumentują, że błędne konfiguracje, zbyt liberalne role i nienadzorowane konta usług są przyczyną dużej części współczesnych naruszeń bezpieczeństwa w chmurze. Ponad połowa firm zgłasza poważne incydenty bezpieczeństwa w chmurze związane z lukami w widoczności i zmianami konfiguracji. Zasoby takie jak przewodnik po wykrywaniu i reagowaniu w chmurze zgłębiają te wzorce bardziej szczegółowo.
Jednocześnie rośnie presja regulacyjna. Firmy średniej wielkości muszą wykazać się mechanizmami kontroli zgodnymi z ramami, takimi jak NIST SP 800-207 dla architektury Zero Trust, a jednocześnie mapować wykrywanie i pokrycie zgodnie z MITRE ATT&CK, aby zapewnić dowód operacyjny. Zarządy zadają teraz dosadne pytania: Które taktyki ATT&CK są objęte ochroną, a które stanowią luki? Jak szybko identyfikowane są tożsamości wysokiego ryzyka po podejrzeniu naruszenia bezpieczeństwa? Analizatory pokrycia zgodne z MITRE ATT&CK, takie jak te opisane w materiałach Stellar Cyber, istnieją, ponieważ audytorzy i ubezpieczyciele oczekują odpowiedzi ilościowych.
W tym kontekście prosta automatyzacja oparta na podręcznikach pomaga, ale to nie wystarczy. Usuwa ona pojedyncze zadania. Nie przeprowadza złożonych śledztw, nie koreluje między domenami ani nie dostosowuje się do zmieniających się strategii atakujących. Właśnie tutaj pojawia się sztuczna inteligencja oparta na agentach. SOC Przewodnicy opisują tę zmianę jako przejście od skryptów uruchamianych przez ludzi do autonomicznych, zorientowanych na cel analityków cyfrowych.
Od skryptów do agentowej sztucznej inteligencji w operacjach bezpieczeństwa
Zanim zajmiemy się konkretnymi przypadkami użycia agentowego bezpieczeństwa AI, potrzebujemy jasnego rozróżnienia między klasyczną automatyzacją a prawdziwie agentowymi przepływami pracy. Wielu dyrektorów ds. bezpieczeństwa informacji (CISO) było rozczarowanych narzędziami, które obiecywały autonomię, ale oferowały jedynie kruche podręczniki. Jasne definicje zapobiegają kolejnej fali znużenia i znużenia.
Prosta automatyzacja wykonuje ustaloną sekwencję kroków, gdy wystąpi znany wyzwalacz. SIEM Po uruchomieniu reguły, podręcznik SOAR zbiera pewien kontekst, być może blokując adres IP lub dezaktywując konto. Przydatne, ale statyczne. Jeśli dane wejściowe nie pasują do oczekiwanych wzorców, automatyzacja zatrzymuje się lub po cichu zawodzi. Analitycy pozostają odpowiedzialni za budowanie narracji i podejmowanie większości decyzji.
Sztuczna inteligencja agentowa działa inaczej. Składa się z agentów AI, którzy mogą planować, działać i dostosowywać się w ramach wieloetapowych przepływów pracy. Mając cel taki jak „zbadanie potencjalnej kradzieży danych uwierzytelniających”, agenci decydują, które źródła danych mają zostać przeszukane w następnej kolejności, jakie techniki MITRE ATT&CK mogą zastosować, jakie dodatkowe dowody są potrzebne oraz które opcje odpowiedzi najlepiej odpowiadają polityce i tolerancji ryzyka. Mogą odczytywać surowe zdarzenia, wywoływać interfejsy API, aktualizować zgłoszenia i wywoływać innych agentów w łańcuchu.
Prosta automatyzacja w porównaniu z przepływami pracy agentów i analitykami ludzkimi
To porównanie odzwierciedla to, co widzimy w praktyce. Prosta automatyzacja eliminuje konieczność powtarzania kilku powtarzających się naciśnięć klawiszy, ale nadal oczekuje od analityka pełnego obrazu. Analitycy-ludzie mają osąd, ale ograniczony czas. Przepływy pracy oparte na sztucznej inteligencji agentowej znajdują się gdzieś pośrodku: działają jak niestrudzeni, młodsi analitycy, którzy mogą samodzielnie prowadzić całe śledztwa, a następnie eskalować dobrze ustrukturyzowane sprawy, przedstawiając dowody, mapowanie ATT&CK i rekomendowane odpowiedzi.
Jeśli czytasz najnowsze AI SOC przewodnik po architekturze, zauważysz pewien wspólny wzorzec. Sztuczna inteligencja agentowa nie zastępuje SIEM or XDR. Znajduje się nad nimi, koordynując dane, korelując alerty i prowadząc ciągłe dochodzenia. To rozróżnienie ma znaczenie dla planowania budżetu i wyjaśniania strategii zarządowi.
Najważniejsze przypadki użycia zabezpieczeń agentowych AI
Wykrywanie i zapobieganie zagrożeniom międzydomenowym
Najpoważniejsze ataki obejmują obecnie punkty końcowe, sieci, chmurę, pocztę e-mail i tożsamość. Tradycyjne narzędzia dostrzegają jedynie wycinki tej historii. Nieudane logowanie administratora tu, anomalia DNS tam, może nietypowe wywołanie API S3. Żaden pojedynczy system nie ma wystarczającego kontekstu, aby z pewnością zadeklarować incydent.
Wycieki w National Public Data, Salt Typhoon i Snowflake pokazały tę fragmentację. Atakujący połączyli kradzież danych uwierzytelniających, techniki bazujące na lądzie i dostęp do chmury, aby dyskretnie gromadzić i eksfiltrować ogromne zbiory danych. Każdy krok z osobna wyglądał niemal normalnie. Dopiero międzydomenowa analiza zachowań ujawniła ten schemat.
Agentowa sztuczna inteligencja w operacjach bezpieczeństwa rozwiązuje ten problem, przypisując różnym agentom koncentrację na określonych płaszczyznach danych: jeden monitoruje przepływy sieciowe, inny logi EDR punktów końcowych, inny zdarzenia audytu w chmurze, a jeszcze inny dane telemetryczne dotyczące tożsamości i dostępu. Następnie agenci korelacji zestawiają relacje między jednostkami, mapują działania na techniki ATT&CK i budują osie czasu kill chain, które pokazują, jak podejrzany proces w punkcie końcowym łączy się z nietypowym punktem obrotu tożsamości w usłudze Azure i nietypowymi zapytaniami do bazy danych w Snowflake.
Jest to bezpośrednie potwierdzenie ambicji Zero Trust określonych w dokumencie NIST SP 800-207. Dokument ten kładzie nacisk na ciągłą weryfikację i egzekwowanie zasad uwzględniające kontekst, a nie na zaufanie dorozumiane oparte na lokalizacji sieciowej. Agenci detekcji agentowej zapewniają ciągłą ocenę behawioralną, niezbędną dla silników zasad do podejmowania bardziej precyzyjnych decyzji o zezwoleniu, zakwestionowaniu lub odrzuceniu w czasie rzeczywistym.
Zasoby opisujące XDR Podejście Kill Chain Opisz, w jaki sposób analityka oparta na kill chain pomaga zespołom dostrzegać ataki wieloetapowe wcześniej i w bardziej ustrukturyzowany sposób. Agentyczna sztuczna inteligencja zasadniczo automatyzuje interpretację kill chain w całej telemetrii.
Zautomatyzowane przepływy pracy w zakresie badania incydentów i reagowania na nie
Analitycy często poświęcają czas na dochodzenie, a nie na wykrywanie. Po wystąpieniu alertu o wysokim stopniu zagrożenia, ktoś musi skonsolidować dowody, sprawdzić podobne podmioty, zapoznać się z informacjami o zagrożeniach i opracować plan reagowania. W przypadku złożonych incydentów, takich jak Change Healthcare czy MGM, czynności te zajmowały kilka dni. W tym czasie systemy pozostawały zdegradowane, a kadra kierownicza nie miała jasności.
Systemy sztucznej inteligencji oparte na agentach zmieniają ten schemat, autonomicznie przeprowadzając kompleksowe dochodzenia. Gdy początkowy sygnał przekroczy określony próg ryzyka, agent analizy przypadku zbiera wszystkie powiązane alerty i dane telemetryczne, identyfikuje podmioty dotknięte problemem i podsumowuje prawdopodobną przyczynę wraz z zastosowanymi taktykami ATT&CK. Inni agenci sprawdzają rozprzestrzenianie się: podobną aktywność na hostach pokrewnych, inne użycie tych samych danych uwierzytelniających, połączenia ze znaną złośliwą infrastrukturą z kanałów analizy zagrożeń.
Gdy zgromadzone zostaną wystarczające dowody, agenci zorientowani na reakcję proponują opcje zgodne z polityką. Na przykład, izolują hosta, wyłączają token, przenoszą użytkownika do grupy o ograniczonym dostępie lub wymuszają uwierzytelnianie step-up. W bardziej dojrzałych wdrożeniach agenci mogą wykonywać ograniczone działania reagowania bezpośrednio dla ściśle zdefiniowanych wzorców, jednocześnie kierując niejednoznaczne sytuacje do analityków. Ten model „człowieka w pętli” odzwierciedla zarówno najlepsze praktyki bezpieczeństwa, jak i aktualne oczekiwania regulacyjne.
Na przykład wersja 6.2 Stellar Cyber pokazuje, jak analiza przypadku agenta i automatyczne generowanie narracji mogą skrócić czas zrozumienia z dni do minut. Podobne zasady obowiązują na całym rynku, zwłaszcza tam, gdzie… wykrywanie zagrożeń, badanie i reagowanie na nie platformy znajdują się w centrum operacji.
SOC triaż alertów i ustalanie priorytetów dla zespołów o ograniczonej sprawności ruchowej
Zmęczenie spowodowane czujnością pozostaje prawdopodobnie najbardziej bolesnym stanem SOC Problem. Wiele zespołów średniej wielkości nadal ręcznie otwiera każdy wysoki lub krytyczny alert, tylko po to, by odkryć hałaśliwe fałszywe alarmy lub niepełny kontekst. Analitycy się wypalają, a prawdziwe ataki przeciekają o 2 w nocy.
Współczesne raporty o incydentach podkreślają tę lukę. Liczba ataków phishingowych opartych na sztucznej inteligencji wzrosła o ponad 700% między 2024 a 2025 rokiem, podczas gdy liczba incydentów ransomware wzrosła o ponad 100% w tym samym okresie. Żaden zespół ludzki nie jest w stanie ręcznie dokonać selekcji wszystkich podejrzanych wiadomości e-mail, wpisów w logach i anomalii w punktach końcowych generowanych przez te kampanie.
Agenci triażowi stale oceniają nowe alerty w miarę ich pojawiania się, nie tylko pod kątem ważności reguł, ale także kontekstu: krytyczności jednostki, promienia rażenia, wcześniejszych zachowań, bieżących kampanii oraz kombinacji technik ATT&CK. Alerty o niskim kontekście dotyczące zasobów o niskiej wartości mogą zostać automatycznie zamknięte po szybkim sprawdzeniu. Kombinacje wysokiego ryzyka, takie jak logowanie się na konto uprzywilejowane z nowej lokalizacji geograficznej podczas tworzenia nowych kluczy w chmurze, otrzymują natychmiastowy awans i są w pełni analizowane.
Wdrożenia w praktyce wskazują, że takie systemy potrafią kompresować tysiące surowych alertów do setek przypadków dziennie, często zmniejszając o rząd wielkości liczbę ręcznych zadań triażowych wykonywanych przez analityków, a jednocześnie poprawiając jakość wykrywania. Dzięki temu kadra kierownicza może skupić się na wyszukiwaniu zagrożeń, tworzeniu zespołów fioletowych i wzmacnianiu architektury. agentowy SOC przegląd platformy wyjaśnia kilka z tych wzorców triażu bardziej szczegółowo.
Zarządzanie bezpieczeństwem w chmurze i usuwanie błędów konfiguracji
Błędne konfiguracje chmury pozostają główną przyczyną naruszeń bezpieczeństwa. Publiczne kontenery, nadmierna liczba przypisanych ról, zapomniane środowiska testowe i nieaktualne konta usług tworzą łatwiznę. Incydenty Snowflake i Change Healthcare podkreślają ryzyko luk w zabezpieczeniach uwierzytelniania i konfiguracji w systemach połączonych z chmurą.
Tradycyjne narzędzia do zarządzania bezpieczeństwem w chmurze identyfikują problemy, ale często dostarczają zespołom ds. bezpieczeństwa długie, statyczne listy. Rozwiązywanie ich na dużą skalę wymaga koordynacji między DevOps, właścicielami aplikacji i zespołem ds. zgodności. W praktyce wiele ustaleń pozostaje nierozwiązanych przez miesiące.
Agentic AI wprowadza ciągłe, kontekstowe monitorowanie do zarządzania bezpieczeństwem w chmurze. Wyspecjalizowani agenci monitorują zmiany w konfiguracji, zmiany tożsamości i zachowanie obciążenia w porównaniu z wartościami bazowymi. Gdy kontener S3 nagle staje się publiczny lub konto usługi zyskuje nowe, zaawansowane role, agent może natychmiast oznaczyć zmianę, ocenić jej krytyczność biznesową i zaproponować lub wdrożyć bezpieczne działania naprawcze, takie jak przywrócenie poprzedniej polityki lub dołączenie znanego, prawidłowego szablonu.
W przypadku kluczy KMS, polityk IAM lub klastrów Kubernetes, agenci mogą symulować proponowane zmiany przed ich wprowadzeniem, sprawdzając ryzyko awarii. W połączeniu z definicjami polityk opartymi na zasadach Zero Trust NIST SP 800-207, tworzy to pętlę sprzężenia zwrotnego, w której podejście do chmury pozostaje znacznie bliższe zamierzeniom projektowym. Zespoły średniej wielkości, które nie mogą wystawić dedykowanego zespołu ds. bezpieczeństwa chmury, zyskują praktyczną władzę egzekwowania przepisów.
przegląd wykrywania i reagowania na chmury Wnika głębiej w to, jak ciągła analityka w płaszczyznach sterowania w chmurze i płaszczyznach danych ujawnia łańcuchy ataków, których nie dostrzegają skanery statyczne. Przepływy pracy oparte na agentach bazują na tej widoczności, przekształcając wnioski w działania.
Zarządzanie tożsamością i dostępem z wykrywaniem nadużyć uprawnień
Tożsamość stała się nowym obszarem bezpieczeństwa. Atak na MGM, masowe wycieki danych uwierzytelniających w 2025 roku i incydenty Snowflake – wszystkie te incydenty dotyczyły atakujących posługujących się ważnymi danymi uwierzytelniającymi, a nie oczywistym złośliwym oprogramowaniem. Badania zagrożeń wewnętrznych sugerują, że prawie 60% naruszeń dotyczy obecnie osób z wewnątrz lub przejętych kont.
Klasyczne procesy zarządzania tożsamością i dostępem często przeprowadzane są kwartalnie lub rocznie. Przeglądy uprawnień, eksploracja ról i doraźne audyty uprawnień są pomocne, ale niewiele dają w walce z atakującym, który nadużywa jednego konta przez dziewięć dni z rzędu. Kampania Salt Typhoon z 2024 roku pokazała dokładnie ten problem, utrzymując długotrwały dostęp do sieci telekomunikacyjnych z pozornie legalnymi danymi uwierzytelniającymi.
Agentowa sztuczna inteligencja wspiera zarządzanie tożsamościami i dostępem na dwa sposoby. Po pierwsze, agenci z ciągłą analityką behawioralną monitorują, jak zazwyczaj działa każda tożsamość: z jakimi aplikacjami się styka, jaki jest typowy wolumen danych, typowe lokalizacje geograficzne i typową porę dnia. Jeśli konto nagle pobierze gigabajty danych o 3 nad ranem z nowego regionu, agenci mogą oznaczyć flagą, a nawet zawiesić sesję, niezależnie od tego, czy użyto uwierzytelniania wieloskładnikowego (MFA).
Po drugie, agenci skoncentrowani na zarządzaniu skanują grafy uprawnień, aby znaleźć toksyczne kombinacje ról, osieroconych kont i nadmiernych uprawnień, przedstawiając właścicielom priorytetowe, kontekstowe rekomendacje dotyczące eliminacji ryzyka. Przypadki takie jak włamanie do MGM, gdzie socjotechnika umożliwiła dostęp administracyjny, ilustrują, dlaczego takie przeglądy uprawnień muszą być ciągłe, a nie epizodyczne.
Nowoczesne technologie wykrywanie i reagowanie na zagrożenia tożsamości Materiał przedstawia, jak łączy on klasyczny system IAM z inżynierią wykrywania dla technik ATT&CK, takich jak sprawdzanie prawidłowych kont, eskalacja uprawnień i ruch boczny. Systemy agentowe automatyzują znaczną część tych działań inżynieryjnych i codziennego monitorowania.
Ciągłe kontrole zgodności i egzekwowanie zasad
Zgodność z przepisami dla organizacji średniej wielkości zawsze wymagała dużych nakładów. PCI DSS, HIPAA, RODO, wymogi sektorowe, a obecnie rozporządzenia wykonawcze dotyczące bezpieczeństwa łańcucha dostaw oprogramowania – wszystkie te wymogi wymagają ciągłego dowodzenia. Mimo to wiele firm nadal traktuje zgodność z przepisami jako kwartalny napływ arkuszy kalkulacyjnych i zrzutów ekranu.
NIST SP 800-207 opisuje Zero Trust jako ciągły proces, który musi dostosowywać się do zmian w zasobach, zagrożeniach i zachowaniach użytkowników. Narzędzia do analizy pokrycia oparte na MITRE ATT&CK pokazują, gdzie mechanizmy kontroli pokrywają się z rzeczywistymi technikami przeciwnika, wskazując na słabe punkty. Oba modele domyślnie wymagają automatyzacji i ciągłej walidacji. Sami ludzie nie są w stanie dotrzymać kroku.
Sztuczna inteligencja oparta na agentach dobrze wpisuje się w ten wymóg. Agenci reguł mogą kodować reguły takie jak „wszystkie uprzywilejowane tożsamości muszą wymagać uwierzytelniania wieloskładnikowego odpornego na phishing” lub „żadna jednostka biznesowa nie może udostępniać baz danych bezpośrednio w internecie”. Inni agenci następnie stale sprawdzają odpowiednie dane telemetryczne, stany konfiguracji i rekordy tożsamości pod kątem tych reguł, otwierając lub aktualizując wyniki w przypadku wystąpienia naruszeń.
Przenosi to zgodność z atestacją punktową na żywy dowód. Dla architekta bezpieczeństwa prezentującego zarządowi, przedstawienie codziennie generowanej mapy cieplnej zasięgu ATT&CK, w połączeniu z automatycznymi wynikami zgodności z polityką, ma znacznie większą wagę niż staromodna ocena przeprowadzana raz do roku. Materiały do analizatora pokrycia MITRE ATT&CK pokaż, w jaki sposób takie wizualizacje wspierają negocjacje dotyczące bezpieczeństwa i ubezpieczenia.
Autonomiczne wykrywanie zagrożeń z wykorzystaniem danych międzydomenowych
Większość zespołów średniej wielkości aspiruje do polowania na zagrożenia. Tylko nielicznym udaje się to utrzymać. Analitycy ledwo nadążają za alertami przychodzącymi; zorganizowane polowania spadają na koniec kolejki. Jednak ostatnie naruszenia bezpieczeństwa, od Salt Typhoon po Change Healthcare, pokazują, że proaktywne polowanie mogło wykryć anomalie na długo przed ich pełnym oddziaływaniem.
Agenci AI, którzy polują na zagrożenia, odwracają to równanie. Zamiast czekać na alerty, generują i testują hipotezy w oparciu o techniki ATT&CK oraz analizę zagrożeń. Na przykład, agent może szukać oznak spychania danych uwierzytelniających lub nietypowego korzystania z narzędzi do zdalnego administrowania na wszystkich punktach końcowych, a następnie analizować je w dziennikach sieciowych i śladach audytu w chmurze.
Ponieważ agenci mogą działać nieprzerwanie i z prędkością maszyny, badają znacznie więcej hipotez niż jakikolwiek zespół ludzki. Gdy znajdą podejrzane wzorce, otwierają sprawy z gotowym kontekstem, mapując podejrzane techniki, zaangażowane podmioty i sugerując kolejne kroki. Z czasem, dzięki opiniom analityków, agenci uczą się, które poszukiwania przyniosły wartość, udoskonalając przyszłe działania.
przegląd informacji o zagrożeniach cybernetycznych Opisuje, jak ustrukturyzowane mapowanie ATT&CK umożliwia systematyczne wykrywanie ataków w całym cyklu ich życia. Systemy agentowe po prostu automatyzują to ustrukturyzowane podejście i łączą je z istniejącym stosem telemetrycznym.
Wzorce architektoniczne łączące sztuczną inteligencję agentową z XDR oraz SIEM
Nawet najlepsze rozwiązania bezpieczeństwa oparte na sztucznej inteligencji oparte na agentach zawiodą, jeśli zostaną dodane chaotycznie. Dla CISO kierującego organizacją średniej wielkości kluczowe pytanie brzmi nie tylko „co potrafią agenci”, ale „jak zintegrować ich z moim obecnym systemem”. SIEM, XDRi inwestycje w hiperautomatyzację bez zwiększania ryzyka lub budżetu?”
Większość udanych projektów ma kilka wspólnych cech. Po pierwsze, traktują Open XDR lub podobną strukturę danych, co fundament. Ta warstwa normalizuje dane telemetryczne w punktach końcowych, sieci, chmurze, tożsamości i aplikacjach SaaS. Agenci AI korzystają następnie z tego znormalizowanego strumienia, zamiast próbować integrować się oddzielnie z każdym narzędziem. Zmniejsza to ryzyko integracji i ułatwia wdrażanie nowych źródeł danych.
Po drugie, integrują się z SIEM zamiast całkowicie go zastąpić. Dziedzictwo SIEMnadal zajmuje się rejestrowaniem zgodności, długoterminowym przechowywaniem i pewną korelacją. Agentowa sztuczna inteligencja i nowoczesne XDR Platformy stoją obok nich, przejmując wykrywanie w czasie rzeczywistym, korelację między wieloma domenami i koordynację reakcji. Wiele organizacji zaczyna od kopiowania logów do Open XDR platforma, pozwalając agentom działać na tej kopii przed ponownym przemyśleniem SIEM cykle odnowy.
Po trzecie, działania reagowania są realizowane za pośrednictwem istniejących stosów hiperautomatyzacji i platform SOAR. Zamiast pomijać ustalone praktyki kontroli zmian, agenci AI korzystają z zatwierdzonych playbooków i przepływów pracy, wykorzystując jedynie inteligentniejsze wyzwalacze i bogatszy kontekst. Jest to zgodne z zasadami zarządzania określonymi w NIST SP 800-207, które kładą nacisk na kontrolę dostępu do sieci i zasobów opartą na regułach.
Wreszcie, nadzór ludzki pozostaje kluczowy. Komunikaty prasowe dotyczące człowiek rozszerzony autonomiczny SOCs Podkreśla, że agenci selekcjonują, korelują i proponują, podczas gdy ludzie weryfikują działania o dużym wpływie i dostosowują strategię. Model ten spełnia zarówno oczekiwania dotyczące kultury bezpieczeństwa, jak i nowe wymagania dotyczące zarządzania sztuczną inteligencją.
Dla liderów planujących tę transformację, sztuczna inteligencja na wysokim poziomie SOC odniesienia takie jak AI SOC przewodnik po architekturze oraz najlepsza sztuczna inteligencja SOC przegląd platform Podaj praktyczne kryteria oceny. Zwróć szczególną uwagę na to, jak każda platforma mapuje wykrycia na MITRE ATT&CK, ujawnia odpowiedni kontekst Zero Trust i mierzy redukcję obciążenia analityków w liczbach rzeczywistych.
Praktyczna ścieżka wdrażania dla dyrektorów ds. bezpieczeństwa informacji (CISO) w średnich przedsiębiorstwach
Nawet jeśli wartość jest oczywista, wdrożenie sztucznej inteligencji opartej na agentach może wydawać się ryzykowne. Obawy sięgają od fałszywych alarmów zakłócających działalność biznesową po systemy sztucznej inteligencji działające niezgodnie z polityką. Obawy te są uzasadnione, zwłaszcza w regulowanych branżach lub środowiskach z delikatnymi, starszymi aplikacjami. Rozwiązaniem jest etapowe wdrażanie z jasnymi zabezpieczeniami.
Pragmatyczna ścieżka zaczyna się od wdrożeń tylko do odczytu, skoncentrowanych na widoczności i triażu. Umożliw agentom punktowanie alertów, tworzenie spraw i proponowanie odpowiedzi, ale wymagaj zatwierdzenia przez człowieka dla każdej akcji zmieniającej systemy. Zmierz zmiany w średnim czasie wykrywania, średnim czasie reakcji i czasie analityków poświęconym na sprawę. Jeśli w ciągu kilku miesięcy nie zauważysz znaczących korzyści, zmień konfigurację lub zmień dostawców.
Następnie zidentyfikuj wąską, wysokoobjętościową, ale o niskim ryzyku domenę, która zapewni częściową autonomię, na przykład w zakresie usuwania wiadomości phishingowych lub izolacji niekrytycznych punktów końcowych w laboratorium. Wiele organizacji ufa już playbookom SOAR w tych obszarach; sztuczna inteligencja oparta na agentach po prostu decyduje, kiedy je uruchomić. Monitoruj wskaźniki błędów, częstotliwość wycofywania zmian i skargi użytkowników.
Dopiero po potwierdzeniu bezpieczeństwa tych pilotów zespoły powinny rozważyć przyznanie szerszych uprawnień autonomicznych, szczególnie w zakresie kontroli tożsamości i przywracania konfiguracji w chmurze. Nawet wtedy należy dostosować każdy typ działania autonomicznego do jasno określonych zasad, zatwierdzeń właściciela firmy i struktur rejestrowania, które umożliwią późniejszą analizę śledczą.
Na bieżąco mapuj postępy w zakresie MITRE ATT&CK i NIST SP 800-207. Korzystaj z analizatorów zasięgu i ocen Zero Trust, aby pokazać, które techniki ataków i polityki kontroli bezpieczeństwa są obecnie przedmiotem ciągłej, opartej na agentach uwagi. Powiąż każdy postęp z rzeczywistym przykładem naruszenia, które zostałoby wykryte wcześniej lub szybciej opanowane. Kierownictwo reaguje na konkretne scenariusze: „Ta konfiguracja prawdopodobnie wykryłaby nadużycie danych uwierzytelniających na wzór Change Healthcare w ciągu kilku godzin, a nie dni”.
Aby uzyskać głębsze studium poszczególnych bloków konstrukcyjnych, skorzystaj z zasobów takich jak przewodnik po analityce zachowań użytkowników i podmiotów i przegląd wykrywania zagrożeń tożsamości zapewnić skoncentrowany kontekst dotyczący analizy zachowań i kontroli zorientowanych na tożsamość. W połączeniu z Open XDR i agent SOC tkaniny, definiują realistyczną ścieżkę od dzisiejszych obciążonych operacji do bardziej autonomicznej, odpornej postawy, dostosowanej do ograniczeń rynku średniego.