กรณีศึกษาการใช้งาน AI เชิงตัวแทนในโลกแห่งความเป็นจริงด้านความปลอดภัยทางไซเบอร์

ผู้นำด้านความปลอดภัยในตลาดระดับกลางต้องเผชิญกับผู้โจมตีระดับองค์กรขนาดใหญ่ ด้วยจำนวนพนักงานและงบประมาณที่น้อยกว่ามาก เครื่องมือที่หลากหลาย ข้อมูลการวัดผลที่มากมาย และการอัปเดตผลิตภัณฑ์อย่างต่อเนื่อง ทำให้ระบบมีความเปราะบางและพร้อมรับมือกับปัญหาอยู่แล้วก่อนที่จะเกิดเหตุการณ์วิกฤตครั้งแรก Agentic AI จึงเข้ามามีบทบาทในบริบทนี้ ไม่ใช่ในห้องปฏิบัติการ

ผลสำรวจแสดงให้เห็นว่าประมาณ 18 เปอร์เซ็นต์ขององค์กรขนาดกลางรายงานว่าถูกโจมตีทางไซเบอร์ในปีที่ผ่านมา โดยประมาณหนึ่งในสี่ของบริษัทเหล่านั้นได้รับผลกระทบจากแรนซัมแวร์ ในสหราชอาณาจักร 45 เปอร์เซ็นต์ของธุรกิจขนาดกลางประสบกับอาชญากรรมไซเบอร์ในช่วง 12 เดือนที่ผ่านมา โดยการฟิชชิงยังคงเป็นช่องทางหลักในการเข้าถึงระบบ ค่าใช้จ่ายจากการโจมตีสำหรับบริษัทขนาดกลางโดยเฉลี่ยอยู่ที่ประมาณ 3.5 ล้านดอลลาร์ต่อเหตุการณ์ สำหรับกลุ่มไอทีและฝ่ายรักษาความปลอดภัยที่มีขนาดเล็ก ความผิดพลาดเพียงครั้งเดียวอาจทำให้สูญเสียงบประมาณทั้งปีได้

คุณสามารถเห็นแรงกดดันนี้ได้จากเหตุการณ์ล่าสุด การโจมตีด้วยแรนซัมแวร์ Change Healthcare ในปี 2024 ทำให้ระบบการเรียกเก็บเงินด้านการดูแลสุขภาพของสหรัฐฯ ทั่วประเทศหยุดชะงัก และคาดว่าจะทำให้บริษัทแม่ UnitedHealth ต้องเสียค่าใช้จ่ายมากกว่า 2.3 พันล้านดอลลาร์ในการรับมือและฟื้นฟู นอกเหนือจากการจ่ายค่าไถ่ 22 ล้านดอลลาร์ MGM Resorts รายงานผลกระทบมากกว่า 100 ล้านดอลลาร์จากการโจมตีในปี 2023 หลังจากที่การโจมตีโดยใช้เทคนิคทางสังคมกับฝ่ายบริการลูกค้าทำให้เกิดแรนซัมแวร์แพร่กระจายไปทั่วทั้งระบบ การรั่วไหลของข้อมูลสาธารณะระดับชาติอาจทำให้ข้อมูลมากถึง 2.9 พันล้านรายการรั่วไหลในปี 2024 ซึ่งเน้นย้ำว่าการถูกโจมตีเพียงครั้งเดียวสามารถขยายวงกว้างไปไกลกว่าบริษัทเดียวได้

ภาพ: สถิติที่คัดเลือกมาในปี 2024-2025 แสดงให้เห็นว่าองค์กรขนาดกลางถูกโจมตีบ่อยแค่ไหน และการโจมตีแต่ละครั้งมีค่าใช้จ่ายเท่าไร
#image_title

AI และการเรียนรู้ของเครื่องช่วยปรับปรุงความปลอดภัยทางไซเบอร์ขององค์กรได้อย่างไร

เชื่อมโยงทุกจุดในภูมิทัศน์ภัยคุกคามที่ซับซ้อน

เรียนรู้เพิ่มเติม
#image_title

สัมผัสประสบการณ์การรักษาความปลอดภัยที่ขับเคลื่อนด้วย AI ในการดำเนินการ!

ค้นพบ AI อันล้ำสมัยของ Stellar Cyber ​​เพื่อการตรวจจับและตอบสนองภัยคุกคามในทันที กำหนดเวลาการสาธิตของคุณวันนี้!

กำหนดเวลาการสาธิต

แผนภูมิแท่งด้านบนแสดงให้เห็นข้อเท็จจริงง่ายๆ สามประการ การละเมิดข้อมูลต่อองค์กรขนาดกลางเกิดขึ้นบ่อยครั้ง อาชญากรรมไซเบอร์ต่อธุรกิจขนาดกลางยังคงอยู่ในระดับสูง และการละเมิดเพียงครั้งเดียวสามารถทำลายการลงทุนด้านความปลอดภัยที่สั่งสมมาหลายปีได้ สำหรับ CISO ที่ไม่สามารถเพิ่มนักวิเคราะห์อีกห้าสิบคนได้ การใช้ระบบอัตโนมัติที่ชาญฉลาดกว่าจึงไม่ใช่ทางเลือกอีกต่อไป

สำหรับหลายทีม ข้อจำกัดที่แท้จริงคือความใส่ใจของมนุษย์ ไม่ใช่เครื่องมือ ตัวอย่างเช่น SIEM or XDR แพลตฟอร์มจะแสดงการแจ้งเตือนหลายพันรายการต่อวัน แต่ผู้เชี่ยวชาญสามารถตรวจสอบได้อย่างมีประสิทธิภาพเพียงแค่ส่วนน้อยเท่านั้น (จากการศึกษาเกี่ยวกับ AI) SOC จากการใช้งานจริงพบว่า ทีมงานมักต้องลดภาระงานการจัดการการแจ้งเตือนของนักวิเคราะห์ลง 70 ถึง 80 เปอร์เซ็นต์ เพื่อให้สามารถควบคุมการดำเนินงานได้อีกครั้ง หากไม่มีการเปลี่ยนแปลงดังกล่าว สัญญาณสำคัญก็จะยังคงถูกมองข้ามไป คู่มือต่างๆ เช่น แพลตฟอร์มตรวจจับภัยคุกคามชั้นนำ อธิบายถึงวิธีการที่การแจ้งเตือนจำนวนมหาศาลนี้เกิดขึ้นมาตลอดเวลา

การโจมตีที่อิงตามตัวตนทำให้สถานการณ์แย่ลงไปอีก เวอริซอนและงานวิจัยอื่นๆ ประเมินว่าประมาณ 70 เปอร์เซ็นต์ของการละเมิดข้อมูลในปัจจุบันเริ่มต้นจากการขโมยหรือการใช้ข้อมูลประจำตัวในทางที่ผิด แคมเปญ Salt Typhoon ที่มุ่งเป้าไปที่ผู้ให้บริการโทรคมนาคมในสหรัฐฯ ยังคงไม่ถูกตรวจพบเป็นเวลาหนึ่งถึงสองปี ในขณะที่ผู้โจมตีใช้เทคนิค "living off the land" และบัญชีที่ถูกต้องเพื่อเคลื่อนย้ายข้ามเครือข่าย การละเมิดข้อมูล Snowflake ในปี 2024 ส่งผลกระทบต่อองค์กรอย่างน้อย 165 แห่งที่ใช้ข้อมูลประจำตัวที่ถูกขโมยโดยไม่มีการป้องกันแบบหลายปัจจัย เหตุการณ์เหล่านี้สอดคล้องโดยตรงกับเทคนิค MITRE ATT&CK สำหรับการเข้าถึงเริ่มต้น การเข้าถึงข้อมูลประจำตัว การเคลื่อนย้ายข้ามเครือข่าย และการขโมยข้อมูล และเผยให้เห็นช่องโหว่ที่กฎการแจ้งเตือนแบบดั้งเดิมมองข้ามไป

การนำระบบคลาวด์มาใช้ทำให้ความเสี่ยงนั้นเพิ่มมากขึ้น เหตุการณ์ Change Healthcare แสดงให้เห็นว่าจุดเข้าถึงระยะไกลที่ไม่ได้รับการป้องกันเพียงจุดเดียวในสภาพแวดล้อมที่เชื่อมต่อกับคลาวด์สามารถทำให้บริการระดับชาติที่สำคัญหยุดชะงักได้ งานวิจัยด้านการตรวจจับและตอบสนองต่อภัยคุกคามบนคลาวด์ระบุว่า การกำหนดค่าที่ไม่ถูกต้อง บทบาทที่อนุญาตมากเกินไป และบัญชีบริการที่ไม่ได้รับการดูแล เป็นสาเหตุหลักของการละเมิดความปลอดภัยบนคลาวด์ในปัจจุบัน บริษัทมากกว่าครึ่งรายงานเหตุการณ์ด้านความปลอดภัยบนคลาวด์ที่สำคัญซึ่งเชื่อมโยงกับช่องว่างในการมองเห็นและการเปลี่ยนแปลงการกำหนดค่า แหล่งข้อมูลเช่นคู่มือการตรวจจับและตอบสนองต่อภัยคุกคามบนคลาวด์จะเจาะลึกรูปแบบเหล่านี้มากขึ้น

ในขณะเดียวกัน แรงกดดันด้านกฎระเบียบก็เพิ่มขึ้นอย่างต่อเนื่อง บริษัทขนาดกลางต้องแสดงให้เห็นถึงการควบคุมที่สอดคล้องกับกรอบการทำงาน เช่น NIST SP 800-207 สำหรับสถาปัตยกรรม Zero Trust พร้อมทั้งต้องแสดงการตรวจจับและการครอบคลุมตามมาตรฐาน MITRE ATT&CK เพื่อพิสูจน์การปฏิบัติงาน คณะกรรมการบริษัทในปัจจุบันตั้งคำถามตรงไปตรงมาว่า กลยุทธ์ ATT&CK ใดบ้างที่ครอบคลุม และกลยุทธ์ใดบ้างที่มีช่องโหว่ การแยกตัวตนที่มีความเสี่ยงสูงหลังจากสงสัยว่ามีการบุกรุกเกิดขึ้นนั้นรวดเร็วเพียงใด เครื่องมือวิเคราะห์การครอบคลุมที่สอดคล้องกับ MITRE ATT&CK เช่นที่อธิบายไว้ในเอกสารของ Stellar Cyber ​​เองนั้นมีอยู่เพราะผู้ตรวจสอบบัญชีและบริษัทประกันภัยคาดหวังคำตอบเชิงปริมาณ

ภายใต้บริบทดังกล่าว การใช้ระบบอัตโนมัติในการวางแผนกลยุทธ์อย่างง่ายช่วยได้ แต่ก็ยังไม่เพียงพอ มันจัดการได้แค่เพียงงานแต่ละอย่างเท่านั้น มันไม่ได้ทำการตรวจสอบที่ซับซ้อน เชื่อมโยงข้อมูลข้ามโดเมน หรือปรับตัวตามการเปลี่ยนแปลงกลยุทธ์ของผู้โจมตี นั่นคือจุดที่ AI แบบเอเจนต์เข้ามามีบทบาท SOC คู่มือต่างๆ อธิบายการเปลี่ยนแปลงนี้ว่าเป็นการเปลี่ยนจากสคริปต์ที่ถูกกระตุ้นโดยมนุษย์ไปสู่การวิเคราะห์ดิจิทัลแบบอัตโนมัติและมุ่งเน้นเป้าหมาย

จากสคริปต์ไปจนถึง AI เชิงตัวแทนในการปฏิบัติการด้านความปลอดภัย

ก่อนที่จะสำรวจกรณีการใช้งานด้านความปลอดภัยของ AI ที่มีลักษณะเป็นเอเจนต์โดยเฉพาะ เราจำเป็นต้องแยกแยะความแตกต่างระหว่างระบบอัตโนมัติแบบดั้งเดิมกับเวิร์กโฟลว์แบบเอเจนต์อย่างแท้จริงให้ชัดเจนเสียก่อน ผู้บริหารด้านความปลอดภัยสารสนเทศ (CISO) หลายคนผิดหวังกับเครื่องมือที่สัญญาว่าจะให้ความเป็นอิสระ แต่กลับมีเพียงคู่มือการใช้งานที่ไม่ยืดหยุ่น การกำหนดคำจำกัดความที่ชัดเจนจะช่วยป้องกันความเบื่อหน่ายจากกระแสความนิยมที่มากเกินไปในครั้งต่อไป

ระบบอัตโนมัติแบบง่ายจะดำเนินการตามลำดับขั้นตอนที่กำหนดไว้เมื่อมีตัวกระตุ้นที่ทราบเกิดขึ้น SIEM เมื่อกฎทำงาน เพลย์บุ๊ก SOAR จะรวบรวมข้อมูลบริบทบางอย่าง เช่น บล็อก IP หรือปิดใช้งานบัญชี ซึ่งมีประโยชน์แต่เป็นแบบคงที่ หากข้อมูลที่ป้อนเข้ามาไม่ตรงกับรูปแบบที่คาดไว้ ระบบอัตโนมัติจะหยุดชะงักหรือล้มเหลวโดยไม่มีข้อความแจ้งเตือน นักวิเคราะห์ที่เป็นมนุษย์ยังคงรับผิดชอบในการสร้างเรื่องราวและตัดสินใจส่วนใหญ่

ระบบ AI แบบ Agentic ทำงานแตกต่างออกไป ประกอบด้วยเอเจนต์ AI ที่สามารถวางแผน ดำเนินการ และปรับตัวได้ในขั้นตอนการทำงานหลายขั้นตอน เช่น เมื่อได้รับเป้าหมาย “ตรวจสอบความเป็นไปได้ของการขโมยข้อมูลประจำตัว” เอเจนต์จะตัดสินใจว่าจะสอบถามแหล่งข้อมูลใดต่อไป เทคนิค MITRE ATT&CK ใดที่สามารถนำมาใช้ได้ หลักฐานเพิ่มเติมใดที่จำเป็น และตัวเลือกการตอบสนองใดที่เหมาะสมกับนโยบายและความเสี่ยงที่ยอมรับได้มากที่สุด พวกมันสามารถอ่านเหตุการณ์ดิบ เรียกใช้ API อัปเดตตั๋ว และเรียกใช้เอเจนต์อื่น ๆ ในห่วงโซ่ได้

ระบบอัตโนมัติแบบง่ายๆ เมื่อเทียบกับขั้นตอนการทำงานที่ต้องใช้เจ้าหน้าที่และนักวิเคราะห์ที่เป็นมนุษย์

ตารางด้านล่างนี้แสดงความแตกต่างระหว่างโหมดการทำงานสามแบบที่หลายๆ คนใช้ SOCมิกซ์เพลงวันนี้
ภาพ: การเปรียบเทียบระหว่างระบบอัตโนมัติแบบง่าย กระบวนการทำงาน AI ที่มีบทบาท และนักวิเคราะห์ที่เป็นมนุษย์ ในการปฏิบัติการด้านความปลอดภัย

การเปรียบเทียบนี้สะท้อนให้เห็นสิ่งที่เราเห็นในทางปฏิบัติ การทำงานอัตโนมัติแบบง่ายๆ ช่วยลดการพิมพ์ซ้ำๆ ลงได้บ้าง แต่ยังคงคาดหวังให้ผู้เชี่ยวชาญทำการรวบรวมภาพรวมทั้งหมด ผู้เชี่ยวชาญมีวิจารณญาณ แต่มีเวลาจำกัด เวิร์กโฟลว์ AI ที่ชาญฉลาดอยู่ตรงกลาง: มันทำหน้าที่เหมือนผู้เชี่ยวชาญรุ่นเยาว์ที่ไม่รู้จักเหน็ดเหนื่อย ซึ่งสามารถดำเนินการสืบสวนทั้งหมดได้ด้วยตนเอง จากนั้นจึงส่งต่อคดีที่มีโครงสร้างที่ดีพร้อมหลักฐาน การวิเคราะห์ ATT&CK และคำแนะนำในการตอบสนอง

ถ้าคุณอ่านฉบับล่าสุด AI SOC คู่มือสถาปัตยกรรมคุณจะสังเกตเห็นรูปแบบที่เหมือนกัน ปัญญาประดิษฐ์เชิงตัวแทนไม่ได้มาแทนที่... SIEM or XDRมันอยู่เหนือกว่านั้น ทำหน้าที่จัดการข้อมูล เชื่อมโยงการแจ้งเตือน และดำเนินการตรวจสอบอย่างต่อเนื่อง ความแตกต่างนี้มีความสำคัญต่อการวางแผนงบประมาณและการอธิบายกลยุทธ์ให้แก่คณะกรรมการของคุณ

กรณีการใช้งานด้านความปลอดภัยของ AI ที่สำคัญที่สุด

โซลูชันด้านความปลอดภัยของ Agentic AI จะมีประโยชน์ก็ต่อเมื่อสามารถรับมือกับเวิร์กโฟลว์จริงที่สร้างความเสียหายอย่างร้ายแรงต่อธุรกิจขนาดกลางและขนาดย่อมได้ SOCปัจจุบัน ระบบหลายเอเจนต์ได้เปลี่ยนแปลงการดำเนินงานประจำวันไปแล้ว ดังต่อไปนี้คือตัวอย่างการใช้งานจริง โดยแต่ละตัวอย่างจะเริ่มต้นด้วยปัญหา จากนั้นจึงอธิบายว่าเอเจนต์แก้ไขปัญหานั้นอย่างไรในเชิงรูปธรรม

การตรวจจับและป้องกันภัยคุกคามข้ามโดเมน

ปัจจุบัน การโจมตีที่ร้ายแรงที่สุดมักครอบคลุมถึงอุปกรณ์ปลายทาง เครือข่าย คลาวด์ อีเมล และข้อมูลประจำตัว เครื่องมือแบบดั้งเดิมมองเห็นเพียงบางส่วนของเรื่องราวเท่านั้น เช่น การเข้าสู่ระบบของผู้ดูแลระบบล้มเหลว ความผิดปกติของ DNS หรือการเรียกใช้ API ของ S3 ที่ผิดปกติ ระบบใดระบบหนึ่งไม่มีบริบทเพียงพอที่จะประกาศว่าเกิดเหตุการณ์ขึ้นได้อย่างมั่นใจ

การรั่วไหลของข้อมูลสาธารณะระดับชาติ, Salt Typhoon และ Snowflake ล้วนแสดงให้เห็นถึงความแตกแยกนี้ ผู้โจมตีผสมผสานการขโมยข้อมูลประจำตัว เทคนิคการเข้าถึงข้อมูลพื้นฐาน และการเข้าถึงระบบคลาวด์ เพื่อเตรียมการและขโมยชุดข้อมูลขนาดใหญ่โดยไม่ให้ใครรู้เห็น แต่ละขั้นตอนดูเหมือนปกติ แต่เมื่อมองภาพรวมของพฤติกรรมในหลายโดเมนแล้วจึงเผยให้เห็นรูปแบบดังกล่าว

ปัญญาประดิษฐ์แบบเอเจนต์ (Agentic AI) ในการปฏิบัติการด้านความปลอดภัยแก้ไขปัญหานี้โดยการมอบหมายเอเจนต์ต่างๆ ให้มุ่งเน้นไปที่ระนาบข้อมูลเฉพาะ: เอเจนต์หนึ่งเฝ้าดูการไหลของเครือข่าย อีกเอเจนต์หนึ่งตรวจสอบบันทึก EDR ของอุปกรณ์ปลายทาง อีกเอเจนต์หนึ่งตรวจสอบเหตุการณ์การตรวจสอบบนคลาวด์ และอีกเอเจนต์หนึ่งตรวจสอบข้อมูลการเข้าถึงและการระบุตัวตน จากนั้นเอเจนต์การเชื่อมโยงจะรวบรวมความสัมพันธ์ระหว่างเอนทิตีต่างๆ แมปการกระทำกับเทคนิค ATT&CK และสร้างไทม์ไลน์ของห่วงโซ่การโจมตีที่แสดงให้เห็นว่ากระบวนการที่น่าสงสัยบนอุปกรณ์ปลายทางเชื่อมต่อกับจุดเปลี่ยนข้อมูลประจำตัวที่ผิดปกติใน Azure และการสืบค้นฐานข้อมูลที่แปลกประหลาดใน Snowflake ได้อย่างไร

สิ่งนี้สนับสนุนเป้าหมาย Zero Trust จาก NIST SP 800-207 โดยตรง เอกสารดังกล่าวเน้นย้ำถึงการตรวจสอบอย่างต่อเนื่องและการบังคับใช้นโยบายที่คำนึงถึงบริบท มากกว่าความไว้วางใจโดยปริยายตามตำแหน่งเครือข่าย เอเจนต์ตรวจจับแบบ Agentic ให้การประเมินพฤติกรรมอย่างต่อเนื่องที่กลไกนโยบายต้องการเพื่อให้สามารถตัดสินใจอนุญาต ท้าทาย หรือปฏิเสธได้อย่างแม่นยำยิ่งขึ้นแบบเรียลไทม์

แหล่งข้อมูลที่อธิบายเกี่ยวกับ XDR แนวทาง Kill Chain อธิบายว่าการวิเคราะห์ที่สอดคล้องกับห่วงโซ่การโจมตีช่วยให้ทีมมองเห็นการโจมตีหลายขั้นตอนได้เร็วขึ้นและเป็นระบบมากขึ้นได้อย่างไร โดยพื้นฐานแล้ว Agentic AI จะทำการตีความห่วงโซ่การโจมตีโดยอัตโนมัติจากข้อมูลการวัดทั้งหมดของคุณ

กระบวนการทำงานอัตโนมัติสำหรับการสืบสวนและตอบสนองต่อเหตุการณ์

การสืบสวน ไม่ใช่การตรวจจับ มักเป็นสิ่งที่นักวิเคราะห์ใช้เวลาส่วนใหญ่ไปกับมัน หลังจากได้รับการแจ้งเตือนที่มีความรุนแรงสูง ใครบางคนจะต้องรวบรวมหลักฐาน ตรวจสอบหน่วยงานที่คล้ายคลึงกัน ปรึกษาข้อมูลข่าวกรองด้านภัยคุกคาม และร่างแผนรับมือ สำหรับเหตุการณ์ที่ซับซ้อน เช่น Change Healthcare หรือ MGM ขั้นตอนเหล่านี้ใช้เวลาหลายวัน ในระหว่างนั้น ระบบต่างๆ ก็ทำงานได้ไม่เต็มประสิทธิภาพ และผู้บริหารก็ขาดความชัดเจน

ระบบ AI ของ Agent เปลี่ยนรูปแบบนี้โดยการดำเนินการสืบสวนแบบครบวงจรโดยอัตโนมัติ เมื่อสัญญาณเริ่มต้นเกินเกณฑ์ความเสี่ยงที่กำหนด Agent วิเคราะห์กรณีจะรวบรวมการแจ้งเตือนและข้อมูลทางไกลที่เกี่ยวข้องทั้งหมด ระบุหน่วยงานที่ได้รับผลกระทบ และสรุปสาเหตุหลักที่น่าจะเป็นไปได้พร้อมกับกลยุทธ์ ATT&CK ที่เกี่ยวข้อง Agent อื่นๆ จะตรวจสอบการแพร่กระจาย: กิจกรรมที่คล้ายกันบนโฮสต์พี่น้อง การใช้งานข้อมูลประจำตัวเดียวกันในกรณีอื่นๆ การเชื่อมต่อกับโครงสร้างพื้นฐานที่เป็นอันตรายที่รู้จักจากแหล่งข้อมูลข่าวกรองภัยคุกคาม

เมื่อมีหลักฐานเพียงพอแล้ว ตัวแทนที่เน้นการตอบสนองจะเสนอทางเลือกที่สอดคล้องกับนโยบาย ตัวอย่างเช่น แยกโฮสต์ ปิดใช้งานโทเค็น ย้ายผู้ใช้ไปยังกลุ่มที่จำกัด หรือบังคับใช้การตรวจสอบสิทธิ์แบบหลายขั้นตอน ในการใช้งานที่ครบวงจรมากขึ้น ตัวแทนสามารถดำเนินการตอบสนองที่จำกัดได้โดยตรงสำหรับรูปแบบที่กำหนดไว้อย่างชัดเจน ในขณะที่ส่งต่อสถานการณ์ที่ไม่ชัดเจนไปยังนักวิเคราะห์ที่เป็นมนุษย์ รูปแบบ "มนุษย์มีส่วนร่วมในกระบวนการ" นี้สะท้อนให้เห็นถึงทั้งแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัยและความคาดหวังด้านกฎระเบียบในปัจจุบัน

ตัวอย่างเช่น เวอร์ชัน 6.2 ของ Stellar Cyber ​​แสดงให้เห็นว่าการวิเคราะห์กรณีอย่างมีประสิทธิภาพและการสร้างเรื่องราวอัตโนมัติสามารถลดเวลาในการทำความเข้าใจจากหลายวันเหลือเพียงไม่กี่นาที หลักการที่คล้ายกันนี้สามารถนำไปใช้ได้ทั่วทั้งตลาด โดยเฉพาะอย่างยิ่งในกรณีที่... การตรวจจับภัยคุกคาม การสืบสวน และการตอบสนองต่อภัยคุกคาม แพลตฟอร์มต่างๆ ถือเป็นหัวใจสำคัญของการดำเนินงาน

SOC การคัดกรองและจัดลำดับความสำคัญของการแจ้งเตือนสำหรับทีมแบบลีน

ความเหนื่อยล้าจากการตื่นตัวอาจยังคงเป็นความเจ็บปวดที่สุด SOC ปัญหาคือ ทีมงานในตลาดระดับกลางจำนวนมากยังคงเปิดการแจ้งเตือนระดับสูงหรือวิกฤตแต่ละรายการด้วยตนเอง ซึ่งมักพบว่าเป็นการแจ้งเตือนผิดพลาดที่ไม่จำเป็น หรือข้อมูลไม่ครบถ้วน นักวิเคราะห์จึงหมดไฟ และการโจมตีที่แท้จริงก็หลุดรอดไปได้ในเวลาตีสอง

รายงานเหตุการณ์สมัยใหม่เน้นย้ำถึงช่องว่างนี้ การโจมตีแบบฟิชชิงที่ขับเคลื่อนด้วย AI เพิ่มขึ้นมากกว่า 700 เปอร์เซ็นต์ระหว่างปี 2024 และ 2025 ในขณะที่เหตุการณ์แรนซัมแวร์เพิ่มขึ้นมากกว่า 100 เปอร์เซ็นต์ในช่วงเวลาเดียวกัน ไม่มีทีมงานใดสามารถตรวจสอบอีเมลที่น่าสงสัย บันทึกข้อมูล และความผิดปกติของอุปกรณ์ปลายทางทั้งหมดที่แคมเปญเหล่านี้สร้างขึ้นได้ด้วยตนเอง

เจ้าหน้าที่คัดกรองของ Agentic จะประเมินการแจ้งเตือนใหม่ๆ อย่างต่อเนื่องเมื่อได้รับเข้ามา ไม่ใช่แค่เพียงระดับความรุนแรงของกฎเท่านั้น แต่ยังพิจารณาถึงบริบทด้วย เช่น ความสำคัญของเอนทิตี ขอบเขตผลกระทบ พฤติกรรมในอดีต แคมเปญปัจจุบัน และการผสมผสานเทคนิคของ ATT&CK การแจ้งเตือนที่มีบริบทต่ำเกี่ยวกับสินทรัพย์ที่มีมูลค่าต่ำอาจถูกปิดโดยอัตโนมัติหลังจากการตรวจสอบอย่างรวดเร็ว การผสมผสานที่มีความเสี่ยงสูง เช่น บัญชีที่มีสิทธิ์พิเศษเข้าสู่ระบบจากภูมิภาคใหม่ขณะสร้างคีย์คลาวด์ใหม่ จะได้รับการยกระดับและตรวจสอบอย่างละเอียดทันที

รายงานจากการใช้งานจริงระบุว่า ระบบดังกล่าวสามารถบีบอัดการแจ้งเตือนดิบหลายพันรายการให้เหลือเพียงหลายร้อยกรณีต่อวัน ซึ่งมักช่วยลดปริมาณการคัดกรองด้วยตนเองของนักวิเคราะห์ลงได้หลายเท่าตัว ในขณะเดียวกันก็ปรับปรุงคุณภาพการตรวจจับให้ดีขึ้น ทำให้เจ้าหน้าที่ระดับสูงสามารถมุ่งเน้นไปที่การล่าภัยคุกคาม การทำงานร่วมกันเป็นทีม และการเสริมความแข็งแกร่งของสถาปัตยกรรมได้มากขึ้น ตัวแทน SOC ภาพรวมแพลตฟอร์ม อธิบายรูปแบบการคัดกรองผู้ป่วยเหล่านี้โดยละเอียดมากขึ้น

การจัดการความปลอดภัยบนคลาวด์และการแก้ไขการตั้งค่าที่ไม่ถูกต้อง

การตั้งค่าระบบคลาวด์ที่ไม่ถูกต้องยังคงเป็นสาเหตุหลักของการละเมิดความปลอดภัย บัคเก็ตสาธารณะ บทบาทที่ได้รับเกินความจำเป็น สภาพแวดล้อมการทดสอบที่ถูกลืม และบัญชีบริการที่ไม่ได้ใช้งาน ล้วนสร้างช่องโหว่ที่ง่ายต่อการโจมตี เหตุการณ์ของ Snowflake และ Change Healthcare ต่างก็เน้นย้ำถึงความเสี่ยงจากจุดอ่อนด้านข้อมูลประจำตัวและการตั้งค่าในระบบที่เชื่อมต่อกับคลาวด์

เครื่องมือจัดการสถานะความปลอดภัยบนคลาวด์แบบดั้งเดิมระบุปัญหาได้ แต่ส่วนใหญ่มักส่งรายการปัญหาขนาดใหญ่ที่ไม่เปลี่ยนแปลงให้กับทีมรักษาความปลอดภัย การแก้ไขปัญหาเหล่านี้ในวงกว้างต้องอาศัยการประสานงานระหว่างทีม DevOps เจ้าของแอปพลิเคชัน และเจ้าหน้าที่ฝ่ายปฏิบัติตามกฎระเบียบ ในทางปฏิบัติ ปัญหาหลายอย่างมักคงอยู่เป็นเวลาหลายเดือน

Agentic AI นำเสนอการตรวจสอบอย่างต่อเนื่องและคำนึงถึงบริบทในการจัดการความปลอดภัยบนคลาวด์ เอเจนต์เฉพาะทางจะคอยตรวจสอบการเปลี่ยนแปลงการกำหนดค่า การเปลี่ยนแปลงข้อมูลประจำตัว และพฤติกรรมของเวิร์กโหลดเทียบกับค่ามาตรฐาน เมื่อบัคเก็ต S3 กลายเป็นสาธารณะอย่างกะทันหัน หรือบัญชีบริการได้รับบทบาทใหม่ที่ทรงพลัง เอเจนต์สามารถแจ้งเตือนการเปลี่ยนแปลง ประเมินความสำคัญทางธุรกิจ และเสนอหรือดำเนินการแก้ไขที่ปลอดภัยได้ทันที เช่น การย้อนกลับไปยังนโยบายก่อนหน้า หรือการแนบเทมเพลตที่ใช้งานได้ดี

สำหรับคีย์ KMS, นโยบาย IAM หรือคลัสเตอร์ Kubernetes เอเจนต์สามารถจำลองการเปลี่ยนแปลงที่เสนอไว้ก่อนที่จะนำไปใช้จริง เพื่อตรวจสอบความเสี่ยงที่จะเกิดความเสียหาย เมื่อรวมกับคำจำกัดความของนโยบายที่อิงตามหลักการ Zero Trust ของ NIST SP 800-207 จะสร้างวงจรป้อนกลับที่ทำให้สถานะของระบบคลาวด์ใกล้เคียงกับเจตนาในการออกแบบมากขึ้น ทีมงานในตลาดระดับกลางที่ไม่สามารถจัดตั้งทีมรักษาความปลอดภัยระบบคลาวด์โดยเฉพาะได้ จะได้รับอำนาจในการบังคับใช้ที่เป็นรูปธรรม

การขอ ภาพรวมการตรวจจับและตอบสนองระบบคลาวด์ เจาะลึกไปถึงวิธีการที่การวิเคราะห์อย่างต่อเนื่องทั่วทั้งระบบควบคุมคลาวด์และระบบจัดการข้อมูลเผยให้เห็นห่วงโซ่การโจมตีที่เครื่องสแกนแบบคงที่มองข้ามไป เวิร์กโฟลว์ของ Agentic จะทำงานบนพื้นฐานของความสามารถในการมองเห็นนั้นเพื่อเปลี่ยนสิ่งที่ค้นพบให้เป็นการดำเนินการ

การกำกับดูแลตัวตนและการเข้าถึง พร้อมระบบตรวจจับการใช้สิทธิ์ในทางที่ผิด

การระบุตัวตนได้กลายเป็นปราการด่านใหม่ การโจมตี MGM การรั่วไหลของข้อมูลประจำตัวครั้งใหญ่ในปี 2025 และเหตุการณ์ Snowflake ล้วนเกี่ยวข้องกับผู้โจมตีที่ใช้ข้อมูลประจำตัวที่ถูกต้อง แทนที่จะเป็นมัลแวร์ที่เห็นได้ชัด การศึกษาภัยคุกคามจากภายในองค์กรชี้ให้เห็นว่าเกือบ 60 เปอร์เซ็นต์ของการละเมิดข้อมูลในปัจจุบันเกี่ยวข้องกับบุคคลภายในหรือบัญชีที่ถูกบุกรุก

กระบวนการกำกับดูแลตัวตนและการเข้าถึงแบบดั้งเดิมมักดำเนินการเป็นรายไตรมาสหรือรายปี การตรวจสอบสิทธิ์ การค้นหาบทบาท และการตรวจสอบสิทธิ์เฉพาะกิจช่วยได้ แต่แทบไม่มีผลอะไรเลยต่อผู้โจมตีที่ใช้บัญชีเดียวในทางที่ผิดติดต่อกันถึงเก้าวัน แคมเปญ Salt Typhoon ในปี 2024 แสดงให้เห็นถึงปัญหานี้อย่างชัดเจน โดยสามารถเข้าถึงเครือข่ายโทรคมนาคมได้ในระยะยาวด้วยข้อมูลประจำตัวที่ดูเหมือนถูกต้องตามกฎหมาย
Agentic AI สนับสนุนการกำกับดูแลตัวตนและการเข้าถึงในสองวิธี วิธีแรก ตัวแทนวิเคราะห์พฤติกรรมอย่างต่อเนื่องจะตรวจสอบว่าตัวตนแต่ละตัวทำงานอย่างไรโดยปกติ เช่น แอปพลิเคชันที่ใช้งาน ปริมาณข้อมูลโดยทั่วไป พื้นที่ทางภูมิศาสตร์ที่ใช้เป็นประจำ และช่วงเวลาปกติของวัน หากบัญชีใดดึงข้อมูลขนาดหลายกิกะไบต์จากภูมิภาคใหม่ในเวลาตี 3 ตัวแทนสามารถแจ้งเตือนหรือระงับเซสชันได้ โดยไม่คำนึงถึงว่ามีการใช้งาน MFA หรือไม่

ประการที่สอง ตัวแทนที่เน้นด้านการกำกับดูแลจะสแกนแผนผังสิทธิ์เพื่อค้นหาการผสมผสานบทบาทที่เป็นอันตราย บัญชีที่ถูกทิ้งร้าง และสิทธิ์ที่มากเกินไป โดยนำเสนอคำแนะนำที่จัดลำดับความสำคัญและมีบริบทที่ครบถ้วนแก่เจ้าของเพื่อลดความเสี่ยง กรณีเช่นการละเมิดข้อมูลของ MGM ซึ่งการใช้เทคนิคทางสังคมทำให้ได้สิทธิ์ในการเข้าถึงระดับผู้ดูแลระบบ แสดงให้เห็นว่าเหตุใดการตรวจสอบสิทธิ์ดังกล่าวจึงต้องดำเนินการอย่างต่อเนื่อง ไม่ใช่เป็นครั้งคราว

ทันสมัย การตรวจจับและการตอบสนองต่อภัยคุกคามด้านอัตลักษณ์ เนื้อหาอธิบายถึงวิธีการผสานรวมระบบ IAM แบบดั้งเดิมเข้ากับวิศวกรรมการตรวจจับสำหรับเทคนิค ATT&CK เช่น บัญชีผู้ใช้ที่ถูกต้อง การยกระดับสิทธิ์ และการเคลื่อนย้ายข้ามเครือข่าย ระบบ Agentic จะช่วยทำให้กระบวนการทางวิศวกรรมและการตรวจสอบประจำวันเป็นไปโดยอัตโนมัติเป็นส่วนใหญ่

การตรวจสอบการปฏิบัติตามกฎระเบียบและการบังคับใช้นโยบายอย่างต่อเนื่อง

การปฏิบัติตามกฎระเบียบสำหรับองค์กรขนาดกลางนั้นต้องใช้ทรัพยากรจำนวนมากเสมอมา ไม่ว่าจะเป็น PCI DSS, HIPAA, GDPR, ข้อกำหนดเฉพาะของแต่ละอุตสาหกรรม และคำสั่งบริหารเกี่ยวกับความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์ ล้วนต้องการหลักฐานอย่างต่อเนื่อง แต่หลายบริษัทยังคงมองว่าการปฏิบัติตามกฎระเบียบเป็นเพียงการเร่งรีบจัดทำสเปรดชีตและภาพหน้าจอในแต่ละไตรมาสเท่านั้น

มาตรฐาน NIST SP 800-207 กำหนดกรอบแนวคิด Zero Trust ว่าเป็นกระบวนการต่อเนื่องที่ต้องปรับตัวให้เข้ากับการเปลี่ยนแปลงของสินทรัพย์ ภัยคุกคาม และพฤติกรรมของผู้ใช้ เครื่องมือวิเคราะห์ความครอบคลุมที่ขับเคลื่อนด้วย MITRE ATT&CK แสดงให้เห็นว่าการควบคุมสอดคล้องกับเทคนิคของฝ่ายตรงข้ามอย่างไร และเน้นย้ำถึงจุดบอด ทั้งสองกรอบแนวคิดต่างเรียกร้องให้มีการใช้ระบบอัตโนมัติและการตรวจสอบอย่างต่อเนื่อง มนุษย์เพียงลำพังไม่สามารถตามทันได้

ระบบ AI ของ Agentic สอดคล้องกับข้อกำหนดนี้เป็นอย่างดี ตัวแทนด้านนโยบายสามารถกำหนดกฎต่างๆ เช่น “ข้อมูลประจำตัวที่มีสิทธิ์พิเศษทั้งหมดต้องใช้ MFA ที่ป้องกันฟิชชิ่ง” หรือ “หน่วยธุรกิจใดๆ ก็ตามห้ามเปิดเผยฐานข้อมูลสู่สาธารณะโดยตรง” จากนั้นตัวแทนอื่นๆ จะตรวจสอบข้อมูลการวัดระยะทาง สถานะการกำหนดค่า และบันทึกข้อมูลประจำตัวที่เกี่ยวข้องอย่างต่อเนื่องเทียบกับนโยบายเหล่านั้น และเปิดหรืออัปเดตรายงานเมื่อพบการละเมิด

นี่เป็นการเปลี่ยนการตรวจสอบการปฏิบัติตามกฎระเบียบจากหลักฐาน ณ จุดเวลาใดเวลาหนึ่ง ไปสู่หลักฐานที่มีชีวิตชีวา สำหรับสถาปนิกด้านความปลอดภัยที่นำเสนอต่อคณะกรรมการ การแสดงแผนที่ความร้อนของการครอบคลุมภัยคุกคาม ATT&CK ที่สร้างขึ้นทุกวัน ควบคู่กับคะแนนการปฏิบัติตามนโยบายอัตโนมัติ จะมีน้ำหนักมากกว่าการประเมินแบบเก่าที่ทำเพียงปีละครั้ง วัสดุสำหรับเครื่องวิเคราะห์ความครอบคลุม MITRE ATT&CK แสดงให้เห็นว่าการแสดงภาพข้อมูลดังกล่าวสนับสนุนการเจรจาด้านความปลอดภัยและการประกันภัยได้อย่างไร

การค้นหาภัยคุกคามแบบอัตโนมัติโดยใช้ข้อมูลข้ามโดเมน

ทีมขนาดกลางส่วนใหญ่ปรารถนาที่จะทำการค้นหาภัยคุกคาม แต่มีเพียงไม่กี่ทีมเท่านั้นที่สามารถทำได้อย่างต่อเนื่อง นักวิเคราะห์แทบจะตามไม่ทันกับการแจ้งเตือนที่เข้ามา การค้นหาภัยคุกคามอย่างเป็นระบบจึงถูกเลื่อนไปอยู่ท้ายสุดของคิว อย่างไรก็ตาม การละเมิดข้อมูลล่าสุด ตั้งแต่ Salt Typhoon ไปจนถึง Change Healthcare เผยให้เห็นว่า การค้นหาภัยคุกคามเชิงรุกอาจตรวจพบความผิดปกติได้นานก่อนที่จะเกิดผลกระทบอย่างเต็มรูปแบบ

เอเจนต์ AI ล่าภัยคุกคามของ Agentic จะพลิกสมการนี้ แทนที่จะรอการแจ้งเตือน พวกมันจะสร้างและทดสอบสมมติฐานโดยอิงจากเทคนิค ATT&CK และข้อมูลข่าวกรองภัยคุกคาม ตัวอย่างเช่น เอเจนต์อาจค้นหาสัญญาณของการดัมพ์ข้อมูลประจำตัวหรือการใช้งานเครื่องมือบริหารจัดการระยะไกลที่ผิดปกติในทุกอุปกรณ์ปลายทาง จากนั้นจึงเปลี่ยนไปตรวจสอบบันทึกเครือข่ายและเส้นทางการตรวจสอบบนคลาวด์

เนื่องจากเอージェนต์สามารถทำงานได้อย่างต่อเนื่องและด้วยความเร็วของเครื่องจักร พวกมันจึงสำรวจสมมติฐานได้มากกว่าทีมมนุษย์ใดๆ เมื่อพวกมันพบรูปแบบที่น่าสงสัย พวกมันจะเปิดคดีด้วยบริบทที่เตรียมไว้แล้ว โดยระบุเทคนิคที่ต้องสงสัย หน่วยงานที่เกี่ยวข้อง และขั้นตอนต่อไปที่แนะนำ เมื่อเวลาผ่านไป ข้อมูลป้อนกลับจากนักวิเคราะห์จะฝึกฝนเอージェนต์เหล่านี้เกี่ยวกับภารกิจการค้นหาที่ให้ผลลัพธ์ที่ดีที่สุด ซึ่งจะช่วยปรับปรุงความพยายามในอนาคต

การขอ ภาพรวมข่าวกรองภัยคุกคามทางไซเบอร์ อธิบายว่าการทำแผนที่ ATT&CK แบบมีโครงสร้างช่วยให้สามารถค้นหาภัยคุกคามได้อย่างเป็นระบบตลอดวงจรการโจมตี ระบบของ Agentic เพียงแค่ทำให้วิธีการแบบมีโครงสร้างนั้นเป็นไปโดยอัตโนมัติและเชื่อมโยงเข้ากับระบบเก็บข้อมูลทางไกลที่มีอยู่ของคุณ

รูปแบบทางสถาปัตยกรรมที่ผสานรวมปัญญาประดิษฐ์เชิงตัวแทนเข้ากับ XDR และ SIEM

แม้แต่โซลูชันรักษาความปลอดภัย AI ที่ดีที่สุดก็อาจล้มเหลวได้หากนำมาใช้งานอย่างไม่เป็นระเบียบ สำหรับ CISO ที่ดูแลองค์กรขนาดกลาง คำถามสำคัญไม่ได้อยู่ที่ว่า "เอเจนต์ทำอะไรได้บ้าง" แต่เป็น "พวกมันจะผสานรวมเข้ากับระบบปัจจุบันของฉันได้อย่างไร" SIEM, XDRและการลงทุนด้านระบบอัตโนมัติขั้นสูงโดยไม่ทำให้ความเสี่ยงหรืองบประมาณบานปลาย?”
การออกแบบที่ประสบความสำเร็จส่วนใหญ่มีลักษณะร่วมกันหลายประการ ประการแรก พวกมันปฏิบัติต่อ... Open XDR หรือโครงสร้างข้อมูลที่คล้ายกันเป็นพื้นฐาน เลเยอร์นั้นจะทำการปรับข้อมูลการวัดระยะทางให้เป็นมาตรฐานเดียวกันทั่วทั้งอุปกรณ์ปลายทาง เครือข่าย คลาวด์ ข้อมูลประจำตัว และแอปพลิเคชัน SaaS จากนั้นเอเจนต์ AI ของ Agentic จะใช้ประโยชน์จากกระแสข้อมูลที่เป็นมาตรฐานนี้ แทนที่จะพยายามผสานรวมแยกต่างหากกับแต่ละเครื่องมือ ซึ่งจะช่วยลดความเสี่ยงในการผสานรวมและทำให้การเริ่มต้นใช้งานแหล่งข้อมูลใหม่เป็นไปอย่างง่ายดาย

ประการที่สอง พวกมันผสานรวมเข้ากับ SIEM แทนที่จะเปลี่ยนใหม่ทั้งหมด มรดก SIEMระบบยังคงจัดการการบันทึกการปฏิบัติตามข้อกำหนด การเก็บรักษาข้อมูลระยะยาว และการเชื่อมโยงข้อมูลบางส่วน ปัญญาประดิษฐ์เชิงตัวแทนและเทคโนโลยีสมัยใหม่ XDR แพลตฟอร์มต่างๆ จะอยู่เคียงข้างกัน ทำหน้าที่ตรวจจับแบบเรียลไทม์ การเชื่อมโยงหลายโดเมน และการประสานงานการตอบสนอง องค์กรหลายแห่งเริ่มต้นด้วยการจำลองบันทึกข้อมูลลงในระบบ Open XDR แพลตฟอร์มที่อนุญาตให้ตัวแทนดำเนินการกับสำเนานั้นก่อนที่จะคิดทบทวนใหม่ SIEM รอบการต่ออายุ

ประการที่สาม การดำเนินการตอบสนองจะเชื่อมโยงผ่านสแต็กไฮเปอร์ออโตเมชั่นและแพลตฟอร์ม SOAR ที่มีอยู่ แทนที่จะข้ามขั้นตอนการควบคุมการเปลี่ยนแปลงที่กำหนดไว้ ตัวแทน AI จะเรียกใช้เพลย์บุ๊กและเวิร์กโฟลว์ที่ได้รับการอนุมัติ เพียงแต่มีทริกเกอร์ที่ชาญฉลาดกว่าและบริบทที่สมบูรณ์ยิ่งขึ้น ซึ่งสอดคล้องกับหลักการกำกับดูแลใน NIST SP 800-207 ที่เน้นการควบคุมการเข้าถึงเครือข่ายและทรัพยากรโดยอาศัยนโยบาย

สุดท้ายแล้ว การกำกับดูแลโดยมนุษย์ยังคงเป็นสิ่งสำคัญยิ่ง ข่าวประชาสัมพันธ์เกี่ยวกับ มนุษย์เสริมความเป็นอิสระ SOCs เน้นย้ำว่าเอージェนต์ทำหน้าที่คัดกรอง วิเคราะห์ความสัมพันธ์ และเสนอแนะ ในขณะที่มนุษย์ตรวจสอบความถูกต้องของมาตรการที่มีผลกระทบสูงและปรับกลยุทธ์ โมเดลนี้ตอบสนองทั้งความคาดหวังด้านวัฒนธรรมความปลอดภัยและข้อกำหนดด้านการกำกับดูแล AI ที่กำลังเกิดขึ้นใหม่

สำหรับผู้นำที่วางแผนการเปลี่ยนแปลงนี้ ปัญญาประดิษฐ์ระดับสูง (AI) เป็นสิ่งสำคัญ SOC เอกสารอ้างอิง เช่น AI SOC คู่มือสถาปัตยกรรม และ AI ที่ดีที่สุด SOC ภาพรวมแพลตฟอร์ม จัดทำเกณฑ์การประเมินที่เป็นรูปธรรม โดยให้ความสำคัญเป็นพิเศษกับวิธีการที่แต่ละแพลตฟอร์มเชื่อมโยงการตรวจจับกับ MITRE ATT&CK เปิดเผยบริบทที่เกี่ยวข้องกับ Zero Trust และวัดการลดภาระงานของนักวิเคราะห์ในตัวเลขที่แท้จริง

แนวทางการนำไปใช้จริงสำหรับ CISO ในตลาดระดับกลาง

ถึงแม้ว่าคุณค่าจะชัดเจน การนำ AI ที่มีบทบาทมาใช้ก็อาจดูมีความเสี่ยง ความกังวลมีตั้งแต่ผลลัพธ์ที่ผิดพลาดซึ่งส่งผลกระทบต่อธุรกิจ ไปจนถึงระบบ AI ที่ทำงานนอกเหนือขอบเขตของนโยบาย ความกังวลเหล่านั้นสมเหตุสมผล โดยเฉพาะอย่างยิ่งในอุตสาหกรรมที่มีการควบคุม หรือสภาพแวดล้อมที่มีแอปพลิเคชันเดิมที่เปราะบาง คำตอบอยู่ที่การนำไปใช้ทีละขั้นตอนพร้อมกับมาตรการป้องกันที่ชัดเจน

แนวทางที่เป็นรูปธรรมเริ่มต้นด้วยการใช้งานแบบอ่านอย่างเดียว โดยเน้นที่การมองเห็นและการคัดกรองปัญหา อนุญาตให้เจ้าหน้าที่ประเมินการแจ้งเตือน สร้างเคส และเสนอแนวทางการแก้ไข แต่ต้องได้รับการอนุมัติจากมนุษย์สำหรับทุกการกระทำที่เปลี่ยนแปลงระบบ วัดการเปลี่ยนแปลงในเวลาเฉลี่ยในการตรวจจับ เวลาเฉลี่ยในการตอบสนอง และเวลาที่นักวิเคราะห์ใช้ต่อเคส หากคุณไม่เห็นผลลัพธ์ที่ดีขึ้นอย่างมีนัยสำคัญภายในไม่กี่เดือน ให้ปรับการกำหนดค่าหรือพิจารณาผู้ให้บริการรายอื่น

ถัดไป ให้ระบุขอบเขตงานที่แคบ มีปริมาณมาก แต่มีความเสี่ยงต่ำ สำหรับการควบคุมอัตโนมัติบางส่วน เช่น การแก้ไขอีเมลฟิชชิ่ง หรือการแยกปลายทางของห้องปฏิบัติการที่ไม่สำคัญ หลายองค์กรไว้วางใจแผนปฏิบัติการ SOAR ในด้านเหล่านี้อยู่แล้ว AI ที่ทำหน้าที่ควบคุมอัตโนมัติจะตัดสินใจว่าจะเรียกใช้แผนเหล่านั้นเมื่อใด ตรวจสอบอัตราข้อผิดพลาด ความถี่ในการย้อนกลับ และข้อร้องเรียนของผู้ใช้

หลังจากที่โครงการนำร่องเหล่านี้พิสูจน์แล้วว่าปลอดภัย ทีมจึงควรพิจารณาให้สิทธิ์การทำงานอัตโนมัติที่กว้างขึ้น โดยเฉพาะอย่างยิ่งในส่วนของการควบคุมข้อมูลประจำตัวและการย้อนกลับการกำหนดค่าระบบคลาวด์ แม้แต่ในกรณีนั้น ก็ควรเชื่อมโยงการดำเนินการอัตโนมัติทุกประเภทเข้ากับนโยบายที่ชัดเจน การอนุมัติจากเจ้าของธุรกิจ และโครงสร้างการบันทึกข้อมูลที่เอื้อต่อการตรวจสอบทางนิติวิทยาศาสตร์ในภายหลัง

ตลอดกระบวนการ ให้ติดตามความคืบหน้าโดยเทียบกับ MITRE ATT&CK และ NIST SP 800-207 ใช้เครื่องมือวิเคราะห์ความครอบคลุมและการประเมิน Zero Trust เพื่อแสดงให้เห็นว่าเทคนิคการโจมตีและการควบคุมนโยบายใดได้รับการตรวจสอบอย่างต่อเนื่องโดยเอเจนต์ เชื่อมโยงความคืบหน้าแต่ละครั้งกับตัวอย่างการละเมิดข้อมูลจริงที่จะถูกตรวจพบได้เร็วกว่าหรือควบคุมได้รวดเร็วกว่า ผู้บริหารตอบสนองต่อสถานการณ์ที่เป็นรูปธรรม: “การตั้งค่านี้มีแนวโน้มที่จะตรวจจับการใช้ข้อมูลประจำตัวในทางที่ผิดแบบ Change Healthcare ได้ภายในไม่กี่ชั่วโมง ไม่ใช่หลายวัน”

สำหรับการศึกษาเชิงลึกเกี่ยวกับส่วนประกอบพื้นฐานเฉพาะเจาะจง สามารถใช้แหล่งข้อมูลต่างๆ เช่น คู่มือการวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี และ ภาพรวมการตรวจจับภัยคุกคามด้านอัตลักษณ์ นำเสนอบริบทที่เน้นเฉพาะด้านการวิเคราะห์พฤติกรรมและการควบคุมที่มุ่งเน้นตัวตน เมื่อรวมกับ Open XDR และตัวแทน SOC ด้วยการใช้วัสดุที่หลากหลาย พวกเขาได้กำหนดเส้นทางที่สมจริงจากสถานการณ์การดำเนินงานที่ตึงเครียดในปัจจุบันไปสู่ท่าทีที่เป็นอิสระและยืดหยุ่นมากขึ้น ซึ่งเหมาะสมกับข้อจำกัดของตลาดระดับกลาง

เลื่อนไปที่ด้านบน
ลงทะเบียนเพื่อรับจดหมายข่าว