AI SecOps: Wdrażanie i najlepsze praktyki
Security Operations, czyli SecOps, to kulminacja indywidualnych procesów, które zapobiegają podatnościom i wtargnięciom ryzyka do wrażliwych zasobów przedsiębiorstwa. Jest to nieco inne niż Security Operations Center (SOC) – czyli jednostka organizacyjna osób, która monitoruje i zapobiega incydentom bezpieczeństwa.
To rozróżnienie jest ważne, ponieważ SecOps ma na celu integrację procesów bezpieczeństwa w ramach potoku operacji, podczas gdy tradycyjne SOC oddzielają bezpieczeństwo od IT, zasadniczo izolując procesy bezpieczeństwa. Dlatego nowoczesne SOC często wdrażają SecOps, jako sposób na zrównoważenie zapobiegania zagrożeniom z dedykowanymi możliwościami reagowania na incydenty.
Ponieważ SecOps musi być częścią codziennych przepływów pracy IT i OT – i nie przeszkadzać – automatyzacja SecOps jest niezbędnym elementem strategii. W tym artykule przyjrzymy się, jak ewoluuje AI SecOps, przypadkom użycia AI w SecOps i najlepszym praktykom wdrażania AI w SecOps.
SIEM nowej generacji
Rozwiązanie SIEM nowej generacji Stellar Cyber, jako kluczowy komponent platformy Stellar Cyber Open XDR...
Poznaj bezpieczeństwo oparte na sztucznej inteligencji w akcji!
Odkryj najnowocześniejszą sztuczną inteligencję Stellar Cyber do natychmiastowego wykrywania zagrożeń i reagowania. Zaplanuj demo już dziś!
Wprowadzenie do AI SecOps
SecOps to podejście, które zyskało znaczne poparcie w organizacjach dbających o bezpieczeństwo. SecOps każdej organizacji musi dostosować się do unikalnego układu zasobów cyfrowych, infrastruktury i poufnych danych organizacji – tak jak przedsiębiorstwo rośnie i dostosowuje się do zmian rynkowych w czasie. Ponieważ SecOps integruje środki bezpieczeństwa w całym cyklu życia operacji IT, musi również osadzać bezpieczeństwo na każdym etapie rozwoju i operacji.
Aby to osiągnąć, SOC wymaga ciągłej, dogłębnej widoczności urządzeń, sieci i punktów końcowych zasadniczo wszystkich użytkowników – to oszałamiająca ilość danych. Jednym z powodów, dla których zespoły SOC były tradycyjnie oderwane od swoich odpowiedników z branży programistycznej i IT, było zarządzanie wszystkimi tymi danymi. Na poziomach analityków zespoły SOC potrzebowały również dużej liczby narzędzi do ich wyodrębniania i grupowania. Narzędzia Security Information and Event Management (SIEM), zapory sieciowe i Endpoint Detection and Response (EDR) pomogły przetworzyć te dane i przekształcić je w znaczące informacje.
AI w operacjach bezpieczeństwa jest teraz w stanie pobierać dane bezpieczeństwa z taką samą szybkością, z jaką są one wytwarzane. W rezultacie uczenie maszynowe – i jego nowsza generatywna AI – jest odpowiedzialne za przekształcenie SecOps w ciągły proces, umożliwiając operacjom bezpieczeństwa nadążanie za zmianami w IT i rozwoju. Ponadto, ponieważ platformy oparte na AI zapewniają większe opcje automatyzacji niż kiedykolwiek wcześniej, ewolucja SecOps jest popychana w kierunku usprawnionych stosów technologicznych, zmniejszonej złożoności i wyższego zwrotu z inwestycji (ROI).
Przykłady zastosowań AI w SecOps
Wykrywanie zagrożeń z mniejszą liczbą fałszywych alarmów
Modele AI rozwijają się dzięki dużym zbiorom danych: dzięki AI ilość alertów, które kiedyś mogły przytłoczyć zespół ds. bezpieczeństwa, może być teraz wchłaniana, krzyżowo odsyłana i wykorzystywana do wykrywania innych. Stanowi to drastyczny kontrast z tradycyjnym podejściem do wykrywania zagrożeń – które po prostu nakładało narzędzia bezpieczeństwa jedno na drugie.
Taka jest sytuacja jedna amerykańska firma finansowa znalazł się w: Analitycy SOC musieli rozpoczynać każdą operację bezpieczeństwa od przekopywania się przez ogromne ilości danych dołączonych do każdego alertu. A ponieważ przedsiębiorstwo miało wiele narzędzi oprogramowania bezpieczeństwa, musieli ręcznie identyfikować ten sam alert na każdej konsoli i indywidualnie śledzić każdy trop, aby określić ważność alertu i potencjalne szkody.
Ponieważ AI jest w stanie wchłonąć wszystkie surowe dane dziennika, sieci i urządzenia, które trafiają do wyzwalacza alertu narzędzia, jest w stanie powiązać ten alert z odpowiednimi działaniami w sieci, urządzeniu lub na danym koncie. Rezultatem jest znacznie mniej fałszywych alertów – a w przypadku prawdziwego incydentu bezpieczeństwa – AI może umieszczać alerty w kontekście szerszego łańcucha ataków.
Automatyczna reakcja na incydent
Podręczniki są podstawą możliwości zautomatyzowanej reakcji – pozwalają szczupłym zespołom, takim jak te w Wydział IT Uniwersytetu w Zurychu aby szybko wdrożyć określone możliwości monitorowania i reagowania w odpowiedzi na określone alerty. Na przykład w przypadku incydentu dotyczącego punktów końcowych działu odpowiedni menedżer IT może zostać powiadomiony.
Automatyzacja może umożliwić szczupłym zespołom zapewnienie całodobowej ochrony, nawet jeśli nie mają siły roboczej, aby mieć analityków na dyżurze przez cały czas. Automatyzacja jest udostępniana za pośrednictwem podręczników – które dokładnie określają, jakie kroki naprawcze narzędzie AI powinno podjąć w odpowiedzi na określone typy alertów i incydenty.
Priorytetowe alerty i wykrywanie zagrożeń z wykorzystaniem sztucznej inteligencji
Ponieważ modele AI można trenować na podstawie historycznych ataków – i mogą one posiadać aktualne zrozumienie całego stosu zasobów przedsiębiorstwa – są w stanie kategoryzować alerty według potencjalnego promienia wybuchu. To drastycznie zmniejsza obciążenie ręcznych procesów SecOps, które w przeciwnym razie wymagałyby długich, żmudnych godzin pracy, aby je ustanowić.
Kategoryzacja alertów zajmowała dużo czasu czas jednego rządu miasta – w tym przypadku każdy analityk miał obsługiwać własne narzędzie bezpieczeństwa. Pozostawiło to znaczące luki, które złożone wektory ataków mogłyby potencjalnie wykorzystać. Selekcja wspomagana przez sztuczną inteligencję pozwoliła im drastycznie zmniejszyć ręczne obciążenie pracą wymagane od każdego analityka, umożliwiając analitykowi dotarcie do sedna incydentu w ciągu 10 minut, a nie kilku dni.
Jednakże wiedza o tym, gdzie i jak wdrożyć sztuczną inteligencję do SecOps, jest często pierwszą przeszkodą na drodze do wdrożenia.
Najlepsze praktyki wdrażania AI w SecOps
Określ mierzalne cele dla wdrożenia sztucznej inteligencji
Cele SMART sprawiają, że świat się kręci – a skupienie się na mierzalności jest kluczem do zdefiniowania i pomyślnego wdrożenia nowego narzędzia AI. Aby uzyskać jak najlepszy zwrot z inwestycji (ROI), najlepiej zacząć od zidentyfikowania procesów SecOps, które zajmują najwięcej czasu analitykom.
Może to być konkretne narzędzie – takie jak SIEM – lub szersza metryka, taka jak średni czas reakcji (MTTR). Może to być krok w przepływie pracy, który analitycy lub pracownicy IT muszą wykonać po otrzymaniu alertu ze swojej skrzynki odbiorczej; ważne jest, aby dokładnie określić, który komponent powoduje największe spowolnienie. Ten proces stworzy obraz tego, jaką rolę będzie musiało pełnić narzędzie AI: jeśli główny problem dotyczy wykrywania zasobów, integracja zapory AI prawdopodobnie nie jest największym priorytetem.
Najlepiej jest również zacząć od wspólnego wysiłku. Zaangażowanie C-levelów i innych decydentów wykonawczych jest kluczowe dla osiągnięcia długotrwałych zmian, a oni mogą pomóc IT i bezpieczeństwu wyobrazić sobie wymagane zmiany organizacyjne.
Zintegruj sztuczną inteligencję ze swoimi istniejącymi narzędziami i przepływami pracy
Technologie AI rozwijają się w środowiskach bogatych w dane – ale muszą być w stanie wyciągnąć te dane skądś. Niestandardowe integracje mogą być trudne i czasochłonne, więc patrząc na rozwiązania oparte na AI, oceń ich zdolność do integracji z Twoimi obecnymi narzędziami. Niezwykle rzadko zdarza się, aby organizacja musiała zaczynać od zera. Czasami, jeśli Twój SIEM, EDR lub zapora sieciowa działają już dobrze – a spowolnienia wynikają z ograniczonych zasobów analityków – najlepiej uzupełnić swój SIEM o AI, zamiast przeprowadzać wymianę.
W tym kontekście nie zapominaj, że AI wymaga wielu danych bezpieczeństwa. Jeśli budujesz zbiór danych od podstaw, musisz zainwestować w zbudowanie solidnej i odpornej infrastruktury danych, połączonej ze ścisłymi protokołami zarządzania. Silna infrastruktura wymaga wdrożenia bezpiecznych rozwiązań pamięci masowej, optymalizacji możliwości przetwarzania danych i ustanowienia wydajnych systemów transmisji danych w celu obsługi wykrywania zagrożeń i reagowania na nie w czasie rzeczywistym. Z drugiej strony, produkt innej firmy zarządza wszystkimi tymi danymi za Ciebie – ale upewnij się, że ufasz dostawcy.
Dostosuj zespół SecOps do korzystania z systemu opartego na sztucznej inteligencji
Chociaż narzędzie AI musi być elastyczne, musi wprowadzić pewne zmiany do codziennej pracy analityków – po to właśnie istnieje. Zespoły, których to dotyczy, muszą wiedzieć, jakie zmiany to pociągnie za sobą i jak powinny wyglądać ich własne przepływy pracy. Ponieważ SecOps wymaga już kompleksowego szkolenia w zakresie operacji bezpieczeństwa, powinni oni już znać ramy zasad i procedur. Podobnie aktualizacja AI musi rozbić procesy na mierzalne działania i jasne wskazówki.
Mając to na uwadze, weź pod uwagę umiejętności i doświadczenie obecnych członków SecOps – jeśli są nowi członkowie zespołu, którzy wciąż zdobywają szlify, rozważ wybór narzędzi AI, które są przystępne i przeprowadzają ich przez zautomatyzowane działania lub procesy alertów, które wykonał. Pozwala im to budować własną pewność siebie podczas radzenia sobie z zagrożeniami. Przejrzystość buduje również większe zaufanie między zespołem ludzkim a silnikiem analizy AI, a także pozwala na dostrajanie osądu AI w czasie.
Tworzenie podręczników
Playbooki stanowią podstawę wdrażania zabezpieczeń sztucznej inteligencji. Choć narzędzie AI może zawierać pewne wstępnie zdefiniowane playbooki, najlepszą praktyką jest tworzenie lub modyfikowanie własnych playbooków, zależnie od konkretnego przypadku użycia.
Na przykład, jeśli zespół zajmuje się wieloma zewnętrznymi wiadomościami e-mail, ważne jest, aby opracować kilka podręczników, aby konkretnie poradzić sobie z zagrożeniem phishingu e-mailowego. W takim przypadku centralna platforma AI wykrywa podejrzaną gramatykę lub metadane wiadomości phishingowej, co następnie uruchamia powiązany podręcznik. W takim przypadku podręcznik automatycznie izoluje wiadomość e-mail — lub sam punkt końcowy, jeśli istnieją dowody na naruszenie — a następnie uruchamia resetowanie hasła. Wiadomość jest wysyłana do odpowiedniego administratora ds. bezpieczeństwa, który otrzymuje wszystkie te informacje spakowane w jednym alercie. Podręczniki, których potrzebuje Twój model AI, zależą od konfiguracji i obowiązków Twojej organizacji.
Łącznie te najlepsze praktyki SecOps oparte na sztucznej inteligencji zapewniają płynne przejście na SecOps oparte na sztucznej inteligencji, przy jednoczesnym osiągnięciu maksymalnego zwrotu z inwestycji.
W jaki sposób Stellar Cyber ulepsza AI SecOps
Automatyczne wykrywanie incydentów
Rozwiązanie Stellar Cyber eliminuje konieczność ręcznego wykrywania zagrożeń i identyfikacji zagrożeń na podstawie reguł wiele warstw sztucznej inteligencji.
Pierwsza z tych AI koncentruje się na wykrywaniu: zespół ds. badań nad bezpieczeństwem Stellar Cyber tworzy i trenuje nadzorowane modele, korzystając z mieszanki publicznie dostępnych i wewnętrznie generowanych zestawów danych. Zagrożenia typu zero-day i nieznane są wykrywalne za pomocą równoległych nienadzorowanych modeli uczenia maszynowego. Modele te ustalają punkt odniesienia dla sieci i zachowań użytkowników na przestrzeni kilku tygodni. Po pobraniu sygnałów danych, oparta na GraphML AI koreluje wykrycia i inne sygnały danych, automatycznie łącząc powiązane punkty danych, aby pomóc analitykom. Ocenia siłę połączenia między różnymi zdarzeniami, analizując właściwości, czas i wzorce zachowań.
Inne formy AI opierają się na tych podstawowych możliwościach odkrywania. Wnoszą więcej możliwości dostępności i reagowania do organizacji Stellar Cyber.
Uczyń SecOps dostępnym
Wszystkie dane dotyczące bezpieczeństwa organizacji w czasie rzeczywistym są reprezentowane w dwóch głównych formatach: pierwszy w łańcuchu zagrożeń znajdującym się na pulpicie nawigacyjnym, a drugi za pośrednictwem Copilota.
Panel XDR Kill Chain służy jako domyślna strona główna dla Stellar Cyber, oferując scentralizowany widok ogólnego ryzyka i wykrytych zagrożeń. Umożliwia szybkie oceny, zapewniając szczegółowe informacje o aktywnych incydentach, zasobach wysokiego ryzyka i taktykach ataków. To usprawnione podejście pomaga zespołom ds. bezpieczeństwa ustalać priorytety krytycznych problemów, niezależnie od ich indywidualnych punktów centralnych, które można następnie dalej badać.
Z drugiej strony Copilot AI to oparty na LLM śledczy, który przyspiesza własne projekty analizy zagrożeń analityków, zapewniając natychmiastowe odpowiedzi na zapytania. Dzięki temu doskonale nadaje się do szybkiego pobierania i wyjaśniania danych, integrując narzędzie dalej w ramach projektów SecOps.
Widoczność wielopowierzchniowa
Stellar cyber pobiera logi i dane bezpieczeństwa za pośrednictwem wielu typów czujników. Czujniki sieciowe i bezpieczeństwa zbierają metadane z przełączników fizycznych i wirtualnych, agregując logi w celu zapewnienia kompleksowej widoczności. Jego Deep Packet Inspection (DPI) analizuje ładunki w szybkim tempie. Z drugiej strony czujniki serwerowe są w stanie zbierać dane z serwerów Linux i Windows, przechwytując ruch sieciowy, polecenia, procesy, pliki i aktywność aplikacji. Spodziewaj się pełnej kompatybilności z systemem Windows 98 i dystrybucjami Linuksa, takimi jak Ubuntu, CoreOS i Debian.
Platforma jest dostępna wszędzie tam, gdzie potrzebna jest widoczność: niezależnie od tego, czy jest oparta na chmurze, hybrydowa, w pełni lokalna lub oparta na dzierżawie — Stellar Cyber integruje dane z dowolnego miejsca.
Zaawansowana odpowiedź AI
Możliwości reagowania Stellar Cyber rozszerzają integrację narzędzia z istniejącymi narzędziami bezpieczeństwa: zamiast po prostu pobierać dane, Stellar może podejmować działania automatycznie za pośrednictwem tych samych narzędzi.
Ponieważ Stellar koncentruje się na szybkiej implementacji, jest dostarczany z 40 wstępnie zbudowanymi podręcznikami polowania na zagrożenia, które obejmują całą powierzchnię ataku — taką jak błędy logowania do systemu Windows, analiza DNS i Microsoft 365. Dzięki temu wykrywanie zagrożeń i reagowanie na nie jest bardziej dostępne, nawet dla zespołów bez głębokiej wiedzy z zakresu bezpieczeństwa.
Stellar Cyber bezproblemowo integruje się z zaporami sieciowymi, zabezpieczeniami punktów końcowych, narzędziami do zarządzania tożsamością i dostępem, systemami biletowymi i aplikacjami do obsługi wiadomości, aby skalować operacje bezpieczeństwa. W przypadku bardziej zaawansowanych potrzeb orkiestracji obsługuje integrację z wiodącymi platformami SOAR w celu usprawnienia i wydajnej reakcji na zagrożenia. Przedsiębiorstwa korzystające z Stellar Cyber cieszą się szczegółową kontrolą nad wyzwalaczami, warunkami i wynikami każdego playbooka – co pozwala im ściśle i starannie przestrzegać najlepszych praktyk SecOps. Playbooki można wdrażać globalnie lub na zasadzie per tenant.
Poznaj Stellar Cyber AI SecOps
Platforma Stellar Cyber upraszcza adopcję AI w SecOps, skupiając się na szybkiej implementacji. Umożliwia przedsiębiorstwom osiągnięcie skuteczniejszych, wydajniejszych operacji bezpieczeństwa bez długotrwałego lub blokowanego przez dostawcę procesu implementacji. Jego możliwości automatyzacji są dostępne od razu – aby zbadać środowisko i możliwości Stellar Cyber, zaplanuj demo.
