ในยุคที่ปัญญาประดิษฐ์ (AI) กำลังปฏิวัติทุกภาคส่วน รวมถึงสาขาความปลอดภัยทางไซเบอร์ การเชี่ยวชาญ AI จึงไม่ใช่ทางเลือกอีกต่อไป แต่เป็นสิ่งจำเป็น ดังคำกล่าวที่ว่า “AI จะไม่มาแทนที่คุณ แต่จะมีคนใช้ AI มาแทนที่คุณ” ที่ Stellar Cyber เรายึดมั่นในปรัชญานี้ โดยบูรณาการ AI เข้ากับทุกแง่มุมของศูนย์ปฏิบัติการด้านความปลอดภัยของเรา (SOC) โซลูชันเพื่อเพิ่มประสิทธิภาพในการตรวจจับภัยคุกคาม ประสิทธิภาพการดำเนินงาน และประสบการณ์ของผู้ใช้ให้สูงสุด
การเพิ่มประสิทธิภาพการตรวจจับภัยคุกคามให้สูงสุด
นับตั้งแต่ก่อตั้งในปี 2015 เราเป็นผู้นำในการนำ AI มาใช้ในการปฏิบัติการด้านความปลอดภัย (SecOps) พันธกิจของเราคือการทำให้การตรวจจับและการตอบสนองเข้าถึงได้สำหรับทุกคน พร้อมทั้งรับประกันว่าข้อมูลทั้งหมด ไม่ว่าจะมาจากแหล่งใด ก็สามารถนำมาใช้ได้แบบเรียลไทม์ วิสัยทัศน์นี้ได้ปรากฏเป็นรูปธรรมในสิ่งที่รู้จักกันในปัจจุบันว่า Open Extended Detection and Response (Open XDR). ของเรา Open XDR โซลูชันนี้รวบรวมข้อมูลด้านความปลอดภัยจากทุกแหล่ง ทำให้มองเห็นภาพรวมได้อย่างครอบคลุมและตรวจจับภัยคุกคามได้อย่างมีประสิทธิภาพ ด้วยการใช้แมชชีนเลิร์นนิงแบบไม่กำกับดูแล เราจึงปรับปรุงโมเดลการตรวจจับของเราให้สามารถระบุรูปแบบพฤติกรรมที่ซับซ้อนและความผิดปกติที่วิธีการแบบดั้งเดิมอาจมองข้ามไปได้ นอกจากนี้ เรายังใช้แมชชีนเลิร์นนิงแบบกำกับดูแลเพื่อตรวจจับภัยคุกคามที่มีรูปแบบที่รู้จัก เช่น อัลกอริทึมที่สร้างขึ้นจากโดเมน (Domain Generated Algorithms: DGA) การตรวจจับโดยใช้แมชชีนเลิร์นนิงเหล่านี้มีความสำคัญอย่างยิ่งในสภาพแวดล้อมภัยคุกคามในปัจจุบัน ที่การโจมตีแบบหลายขั้นตอนที่ซับซ้อนกำลังแพร่หลายมากขึ้น
การเพิ่มประสิทธิภาพการทำงานด้วยความสัมพันธ์ GraphML และการจัดการแบบเน้นกรณี
ที่ Stellar Cyber เราเพิ่มประสิทธิภาพการดำเนินงานให้สูงสุดโดยใช้ Graph Machine Learning (GraphML) เพื่อยกระดับการปฏิบัติการด้านความปลอดภัยผ่านการเชื่อมโยงการแจ้งเตือนที่ซับซ้อน แนวทางนี้ช่วยลดข้อมูลที่ไม่จำเป็น รวบรวมกรณีต่างๆ และช่วยให้ SOC ช่วยให้นักวิเคราะห์สามารถจัดการกับข้อมูลที่ครบถ้วนมากขึ้น แทนที่จะถูกถาโถมด้วยการแจ้งเตือนแต่ละรายการ ส่งผลให้ประสิทธิภาพในการจัดลำดับความสำคัญ การตรวจสอบ และการรับมือกับภัยคุกคามของนักวิเคราะห์ดีขึ้นอย่างมาก
การใช้ความคล้ายคลึงและความสัมพันธ์
GraphML โดดเด่นในด้านการระบุความคล้ายคลึงและความสัมพันธ์ระหว่างเอนทิตีต่างๆ ภายในเครือข่ายของคุณ โดยการทำแผนที่ความสัมพันธ์ระหว่างจุดข้อมูล GraphML ช่วยตรวจจับรูปแบบที่อาจมองข้ามไป ตัวอย่างเช่น สามารถเชื่อมต่อ:
- หน่วยงานผู้ใช้: เช่น ID เซสชัน, ตัวระบุความปลอดภัย (SID) และชื่อหลักผู้ใช้ (UPN) ซึ่งสามารถเชื่อมโยงเข้าด้วยกันเพื่อตรวจจับพฤติกรรมผู้ใช้ที่น่าสงสัย
- หน่วยงานอุปกรณ์: รวมถึง ID อุปกรณ์ ชื่อไฟล์ โฟลเดอร์ และคีย์รีจิสทรี การเชื่อมโยงกิจกรรมระหว่างอุปกรณ์ทำให้สามารถตรวจจับกิจกรรมอันตรายที่ซับซ้อนซึ่งครอบคลุมจุดสิ้นสุดหลายจุดได้
- หน่วยงานอีเมล์: เช่น ที่อยู่ผู้ส่งและผู้รับ URL และไฟล์แนบ โดยการเชื่อมโยงข้อมูลการรับส่งอีเมล SOC นักวิเคราะห์สามารถตรวจจับความพยายามในการหลอกลวงทางอีเมลหรือการโจมตีผ่านอีเมลได้
- หน่วยงานทั่วไป: เช่น ที่อยู่ IP ทรัพยากรบนคลาวด์ และ ID แอปพลิเคชัน การเชื่อมโยงจุดข้อมูลเหล่านี้ช่วยเปิดเผยการโจมตีที่ประสานงานกันซึ่งเกิดขึ้นทั่วทั้งเครือข่ายและสภาพแวดล้อมบนคลาวด์
การวิเคราะห์ความคล้ายคลึงนี้ช่วยขับเคลื่อนความสัมพันธ์ที่ชาญฉลาดและรวดเร็ว แทนที่จะส่งข้อมูลจำนวนมากไปยังกลุ่มเป้าหมายโดยตรง SOC สำหรับทีมที่มีการแจ้งเตือนแบบแยกส่วน ระบบของเราจะจัดกลุ่มการแจ้งเตือนที่เกี่ยวข้องเข้าด้วยกันเป็นกรณีๆ ไป เพื่อแสดงภาพรวมที่ใหญ่ขึ้นและทำให้จัดลำดับความสำคัญและดำเนินการได้ง่ายขึ้น
การวิเคราะห์สาเหตุผ่านการแสดงข้อมูลแบบกราฟ
GraphML ยังช่วยให้สามารถวิเคราะห์สาเหตุได้ ซึ่งถือเป็นสิ่งสำคัญสำหรับการทำความเข้าใจการโจมตีที่ซับซ้อนและมีหลายขั้นตอน โดยการวิเคราะห์การแสดงข้อมูลเหตุการณ์ตามกราฟ ระบบของเราจะเปิดเผยความสัมพันธ์เชิงสาเหตุที่อาจเกิดขึ้นระหว่างการแจ้งเตือน ตัวอย่างเช่น อีเมลฟิชชิ่งอาจนำไปสู่จุดสิ้นสุดที่ถูกบุกรุก ตามด้วยการเคลื่อนไหวในแนวนอนข้ามเครือข่ายของคุณ
การวิเคราะห์ความสัมพันธ์เชิงสาเหตุนี้ช่วยให้ SOC นักวิเคราะห์สามารถติดตามความคืบหน้าของการโจมตีและเข้าใจลำดับเหตุการณ์ ทำให้พวกเขาสามารถตอบสนองได้อย่างมีประสิทธิภาพมากขึ้น ด้วยการแสดงภาพความสัมพันธ์ระหว่างเหตุการณ์ นักวิเคราะห์สามารถจัดการกระแสการโจมตีทั้งหมดในฐานะกรณีเดียว แทนที่จะจัดการกับการแจ้งเตือนแต่ละรายการแยกกัน
การวิเคราะห์ความสัมพันธ์เชิงสาเหตุนี้ช่วยให้ SOC นักวิเคราะห์สามารถติดตามความคืบหน้าของการโจมตีและเข้าใจลำดับเหตุการณ์ ทำให้พวกเขาสามารถตอบสนองได้อย่างมีประสิทธิภาพมากขึ้น ด้วยการแสดงภาพความสัมพันธ์ระหว่างเหตุการณ์ นักวิเคราะห์สามารถจัดการกระแสการโจมตีทั้งหมดในฐานะกรณีเดียว แทนที่จะจัดการกับการแจ้งเตือนแต่ละรายการแยกกัน
แอปพลิเคชันในโลกแห่งความเป็นจริง:
ในสถานการณ์จริง เช่นตัวอย่างด้านล่างนี้ XDR ระบบใช้ GraphML เพื่อเชื่อมโยงการแจ้งเตือนโดยอัตโนมัติตามคุณลักษณะที่ใช้ร่วมกัน เช่น ทรัพย์สินหรือคุณสมบัติ ตัวอย่างเช่น การตรวจพบ URL ฟิชชิ่งบนโฮสต์จะนำไปสู่การค้นพบการสร้างกระบวนการ Windows ที่น่าสงสัยและการเรียกใช้คำสั่งบรรทัดคำสั่ง ซึ่งทั้งหมดนี้เป็นส่วนหนึ่งของรูปแบบการโจมตีที่ใหญ่กว่าและซับซ้อนกว่า
GraphML ในการดำเนินการ:
- การเชื่อมโยงการแจ้งเตือนอัตโนมัติ: GraphML ช่วยลดความซับซ้อนของการวิเคราะห์โดยการเชื่อมโยงการแจ้งเตือนที่มีองค์ประกอบร่วมกันโดยอัตโนมัติ เช่น มาจากโฮสต์เดียวกัน (192.168.56.23) หรือเกี่ยวข้องกับเอนทิตีเดียวกัน (bravos, daenerys.targaryen) ซึ่งจะช่วยสร้างเรื่องราวที่เชื่อมโยงกันเกี่ยวกับการโจมตีโดยไม่ต้องดำเนินการด้วยตนเอง
- มุมมองแบบองค์รวมของเวกเตอร์การโจมตี: มุมมองกราฟที่แสดงในระบบของเรา XDR แพลตฟอร์มนี้แสดงให้เห็นถึงความเชื่อมโยงระหว่างการแจ้งเตือนต่างๆ เช่น การสร้างกระบวนการที่น่าสงสัยและการดำเนินการผ่านบรรทัดคำสั่ง ซึ่งนำไปสู่การใช้สคริปต์ PowerShell ซึ่งเป็นพฤติกรรมทั่วไปในการโจมตีด้วยมัลแวร์ที่ซับซ้อน
- เพิ่มประสิทธิภาพการคัดแยก: ด้วย GraphML SOC นักวิเคราะห์จะไม่ต้องรับภาระกับแจ้งเตือนที่แยกจากกัน แต่สามารถดูแผนที่เชื่อมโยงของกิจกรรมที่เป็นอันตราย ซึ่งช่วยเร่งกระบวนการคัดกรอง ทำให้สามารถแยกแยะและแก้ไขภัยคุกคามได้อย่างรวดเร็วขึ้น จึงช่วยลดความเสียหายที่อาจเกิดขึ้นได้
ผลประโยชน์ที่ได้รับจากการดำเนินงาน:
- เวิร์กโฟลว์การตรวจจับที่ปรับปรุงใหม่: GraphML ช่วยในการตรวจจับภัยคุกคามได้เร็วขึ้นและแม่นยำยิ่งขึ้น โดยการนำเสนอการแจ้งเตือนที่เชื่อมโยงกันในระดับสูงแก่ผู้วิเคราะห์ ซึ่งจะช่วยลดเวลาที่ต้องใช้ในการเชื่อมโยงด้วยตนเอง
- ลดความเหนื่อยล้าจากการแจ้งเตือน: เทคโนโลยีนี้ช่วยลดจำนวนการแจ้งเตือนที่ต้องได้รับความสนใจเป็นรายบุคคลลงอย่างมาก ซึ่งช่วยลดความเหนื่อยล้าจากการแจ้งเตือน และทำให้นักวิเคราะห์สามารถมุ่งเน้นไปที่การแจ้งเตือนที่มีความสำคัญอย่างแท้จริงได้
- การล่าภัยคุกคามเชิงรุก: ความสามารถในการมองเห็นและเชื่อมโยงรูปแบบการโจมตีเชิงรุกช่วยในการคาดการณ์การโจมตีในอนาคตที่อาจเกิดขึ้นโดยอิงจากพฤติกรรมที่สังเกตได้ ช่วยปรับปรุงมาตรการรักษาความปลอดภัยโดยรวมให้ดีขึ้น
ด้วยการใช้ GraphML เพื่อเชื่อมโยงการแจ้งเตือนในสถานการณ์ที่ซับซ้อนดังตัวอย่างข้างต้น ระบบของเราไม่เพียงแต่รับประกันประสิทธิภาพในการดำเนินงานเท่านั้น แต่ยังเสริมสร้างโครงสร้างพื้นฐานด้านความปลอดภัยให้แข็งแกร่งขึ้นเพื่อรับมือกับภัยคุกคามทางไซเบอร์หลายรูปแบบ แนวทางแบบบูรณาการนี้ช่วยให้มั่นใจได้ว่า SOC ทีมงานมีเครื่องมือที่จำเป็นในการรับมือกับความท้าทายทางไซเบอร์สมัยใหม่ได้อย่างมีประสิทธิภาพ
เร่งความเร็วในการสืบสวนภัยคุกคามด้วย Generative AI
นอกจากนี้ เรายังมุ่งเน้นที่การปรับปรุงประสบการณ์ของผู้ใช้ให้เหมาะสมที่สุดผ่านการผสานรวมของ Generative AI ลองนึกภาพแชทบ็อตที่ช่วยให้ผู้วิเคราะห์ด้านความปลอดภัยสามารถโต้ตอบกับระบบและข้อมูลโดยใช้ภาษาธรรมชาติ ฟีเจอร์นี้คล้ายกับ ChatGPT แต่เฉพาะทางสำหรับการสืบสวนด้านความปลอดภัย ช่วยให้ผู้วิเคราะห์สามารถตั้งคำถามและอธิบายงานของตนได้อย่างเป็นธรรมชาติ
ตัวอย่างเช่น นักวิเคราะห์อาจถามว่า "ระบุพฤติกรรมที่ผิดปกติของผู้ดูแลระบบนอกเวลาทำการเมื่อสัปดาห์ที่แล้วระบบจะแปลแบบสอบถามนี้ให้เป็นการค้นหาที่แม่นยำพร้อมเกณฑ์ที่จำเป็นทั้งหมด เช่น ประเภทของเหตุการณ์ สิทธิ์ของผู้ใช้ และกรอบเวลา นักวิเคราะห์สามารถขอข้อมูลภาพ เช่นสร้างฮิสโทแกรมของผู้ใช้ 10 รายแรกที่ได้รับความพยายามฟิชชิ่งมากที่สุด” และระบบจะสร้างแผนภูมิให้อัตโนมัติ
เป้าหมายของเราคือการทำให้ AI บูรณาการเข้ากับวิธีการสื่อสารของมนุษย์ได้อย่างราบรื่น ด้วยการเชี่ยวชาญภาษาของมนุษย์ AI จะสามารถเข้าใจความแตกต่างและเจตนา ทำให้ผู้ใช้สามารถมุ่งเน้นไปที่การสืบสวนได้โดยไม่ต้องเข้าใจภาษาที่ซับซ้อนของเครื่องจักร การโต้ตอบตามธรรมชาตินี้จะช่วยเพิ่มประสิทธิภาพและความลึกของกระบวนการสืบสวน ทำให้นักวิเคราะห์สามารถสร้างแผนที่ทางจิตที่ชัดเจนของสถานการณ์ที่กำลังดำเนินอยู่โดยไม่ต้องกังวลเกี่ยวกับความซับซ้อนของข้อมูลพื้นฐาน
ตัวอย่างเช่น นักวิเคราะห์อาจถามว่า "ระบุพฤติกรรมที่ผิดปกติของผู้ดูแลระบบนอกเวลาทำการเมื่อสัปดาห์ที่แล้วระบบจะแปลแบบสอบถามนี้ให้เป็นการค้นหาที่แม่นยำพร้อมเกณฑ์ที่จำเป็นทั้งหมด เช่น ประเภทของเหตุการณ์ สิทธิ์ของผู้ใช้ และกรอบเวลา นักวิเคราะห์สามารถขอข้อมูลภาพ เช่นสร้างฮิสโทแกรมของผู้ใช้ 10 รายแรกที่ได้รับความพยายามฟิชชิ่งมากที่สุด” และระบบจะสร้างแผนภูมิให้อัตโนมัติ
เป้าหมายของเราคือการทำให้ AI บูรณาการเข้ากับวิธีการสื่อสารของมนุษย์ได้อย่างราบรื่น ด้วยการเชี่ยวชาญภาษาของมนุษย์ AI จะสามารถเข้าใจความแตกต่างและเจตนา ทำให้ผู้ใช้สามารถมุ่งเน้นไปที่การสืบสวนได้โดยไม่ต้องเข้าใจภาษาที่ซับซ้อนของเครื่องจักร การโต้ตอบตามธรรมชาตินี้จะช่วยเพิ่มประสิทธิภาพและความลึกของกระบวนการสืบสวน ทำให้นักวิเคราะห์สามารถสร้างแผนที่ทางจิตที่ชัดเจนของสถานการณ์ที่กำลังดำเนินอยู่โดยไม่ต้องกังวลเกี่ยวกับความซับซ้อนของข้อมูลพื้นฐาน
ก้าวล้ำนำหน้าในด้านความปลอดภัยทางไซเบอร์
เพื่อให้ก้าวขึ้นเป็นผู้นำด้านการรักษาความปลอดภัยทางไซเบอร์ เราจึงไม่หยุดพัฒนานวัตกรรมใหม่ๆ ผู้ใช้ของเราได้รับประโยชน์จาก AI ที่ผสานรวมในโซลูชันของเราเพื่อตรวจจับและตอบสนองต่อภัยคุกคามในแต่ละวัน ในอนาคต เรามีแผนที่จะเปิดตัว Generative AI เพื่อเพิ่มประสิทธิภาพประสบการณ์ของผู้ใช้ในการค้นหาและการสืบสวนให้ดียิ่งขึ้น สำหรับผู้ที่ต้องการสัมผัสกับความก้าวหน้าเหล่านี้ เราเปิดให้เข้าถึงโซลูชันนี้ก่อนใคร เริ่มตั้งแต่ฤดูร้อนนี้เป็นต้นไป
สรุป
การบูรณาการ AI เข้ากับ SOC การดำเนินงานด้วย AI ไม่ใช่แค่กระแส แต่เป็นการวิวัฒนาการที่สำคัญ การใช้ AI อย่างเชี่ยวชาญจะช่วยให้องค์กรต่างๆ สามารถเพิ่มประสิทธิภาพการตรวจจับภัยคุกคาม ประสิทธิภาพการดำเนินงาน และประสบการณ์ของผู้ใช้ได้อย่างมีนัยสำคัญ ที่ Stellar Cyber เราเสริมศักยภาพให้ผู้ใช้ของเราใช้ประโยชน์จาก AI ได้อย่างเต็มศักยภาพ เพื่อให้มั่นใจว่าพวกเขายังคงก้าวล้ำนำหน้าในภูมิทัศน์ด้านความปลอดภัยทางไซเบอร์ที่เปลี่ยนแปลงอยู่ตลอดเวลา
คำกระตุ้นการตัดสินใจ: คุณพร้อมที่จะสำรวจศักยภาพของ SOC ต้องการนำระบบอัตโนมัติและ AI มาใช้ในการปฏิบัติการด้านความปลอดภัยทางไซเบอร์ของคุณหรือไม่? ติดต่อเราได้ที่ [ข้อมูลติดต่อของเรา] หรือเยี่ยมชมเว็บไซต์ของเราเพื่อกำหนดเวลานัดหมายปรึกษาหารือแบบส่วนตัว มาร่วมใช้พลังของ AI เพื่ออนาคตที่ปลอดภัยยิ่งขึ้นกันเถอะ
