ทีมรักษาความปลอดภัยไม่เคยมีเครื่องมือ ข้อมูล หรือแรงกดดันมากเท่านี้มาก่อน ทุกคำแนะนำต่างอ้างถึงความเร่งด่วน ช่องโหว่ใหม่ๆ ดูเหมือนจะเป็นระบบอัตโนมัติ และภัยคุกคามทุกรายกำลังทดลองใช้ AI อย่างไรก็ตาม การละเมิดส่วนใหญ่ยังคงประสบความสำเร็จ ไม่ใช่เพราะผู้ป้องกันขาดเครื่องมือ แต่เป็นเพราะขาด การมองเห็นที่สมบูรณ์ และระบบอัตโนมัติที่จะทำให้สิ่งที่พวกเขาเห็นมีความหมาย
หากต้องการทำความเข้าใจสิ่งที่เกิดขึ้นในสภาพแวดล้อมของคุณ คุณต้องมีสตรีมสัญญาณเสริมสามสตรีม: บันทึก, การวัดระยะไกลจุดสิ้นสุดและ การรับส่งข้อมูลเครือข่ายแต่ละระบบจะเปิดเผยมิติการโจมตีที่แตกต่างกัน แต่ละระบบจะตรวจจับสิ่งที่ระบบอื่นตรวจจับไม่ได้ และเมื่อคุณผสานรวมระบบเหล่านี้เข้ากับ AI สมัยใหม่ เช่น การเรียนรู้ของเครื่อง การคัดกรองแบบเอเจนต์ และผู้ช่วยนักบินที่ขับเคลื่อนด้วย LLM ในที่สุดคุณก็จะได้โปรแกรมรักษาความปลอดภัยที่สามารถรับมือกับผู้โจมตีได้
บันทึก: บันทึกแห่งเจตนา
บันทึกจะบอกเล่าเรื่องราวของ "สิ่งที่ถูกรายงาน" ไม่ว่าจะเป็นการตรวจสอบสิทธิ์ การเรียกใช้ API การเปลี่ยนแปลงสิทธิ์ การเปลี่ยนแปลงการกำหนดค่า สิ่งเหล่านี้เผยให้เห็นถึงเจตนา
ตัวอย่าง: การยกระดับสิทธิพิเศษ
ผู้ใช้ที่ถูกบุกรุกเข้าสู่ระบบและพยายามเปลี่ยนแปลงระดับผู้ดูแลระบบทันที บันทึกแสดง:
- ภูมิศาสตร์การเข้าสู่ระบบที่น่าสงสัย
- การปรับเปลี่ยน IAM
- กิจกรรม API ที่ผิดปกติ
- การสร้างโทเค็นสำหรับการเข้าถึงด้านข้าง
การตรวจวัดระยะไกลปลายทาง: ความจริงของการดำเนินการ
จุดสิ้นสุดเผยให้เห็นว่าโค้ดคืออะไร วิ่งจริงๆ: กระบวนการ ไบนารี สคริปต์ กิจกรรมหน่วยความจำ กลไกการคงอยู่
ตัวอย่าง: มัลแวร์ที่ซ่อนอยู่
ผู้โจมตีทิ้งเพย์โหลดแบบไม่มีไฟล์ ข้อมูลระยะไกลปลายทางแสดง:
- PowerShell เกิดขึ้นโดยไม่คาดคิด
- เครื่องมือที่ใช้ประโยชน์นอกพื้นที่
- การคงอยู่ของรีจิสทรี
- ความพยายามยกระดับสิทธิพิเศษในพื้นที่
การจราจรบนเครือข่าย: สัญญาณที่ไม่อาจปฏิเสธได้
ทราฟฟิกเครือข่ายเป็นเรื่องของฟิสิกส์—คุณไม่สามารถปลอมแปลงการไหลของแพ็กเก็ตได้ มันแสดงให้เห็นถึงสิ่งที่เกิดขึ้นระหว่างระบบต่างๆ รวมถึงระบบที่คุณไม่สามารถติดตั้งเอเจนต์ได้ (OT, IoT, ระบบเดิม)
ตัวอย่าง: การแยกข้อมูล
เซิร์ฟเวอร์ที่ถูกบุกรุกจะเริ่มส่งข้อมูลที่เข้ารหัสไปยังภายนอก การวิเคราะห์เครือข่ายเผยให้เห็น:
- ยอดขาออกพุ่งสูง
- อุโมงค์ C2 ใหม่
- การระบายออกนอกเวลาทำการ
- การเชื่อมต่อด้านข้างก่อนการโจมตี
โมเดล ML สามารถตรวจจับรูปแบบที่ผิดปกติในด้านปริมาตร ทิศทาง และจังหวะเวลา โดยแสดงความพยายามในการแยกข้อมูลออกมาในระยะเริ่มต้น
AI เปลี่ยนแปลงเกมอย่างไร
การดูบันทึก + จุดสิ้นสุด + เครือข่ายเป็นสิ่งสำคัญ
การทำความเข้าใจทั้งสามสิ่งนี้แบบเรียลไทม์เป็นสิ่งที่เป็นไปไม่ได้สำหรับมนุษย์เพียงลำพัง
ของวันนี้ SOCพึ่งพา AI สามชั้น:
1. การเรียนรู้ของเครื่องจักรสำหรับการตรวจจับ
2. AI ตัวแทนสำหรับการคัดแยก
- การรวบรวมหลักฐานจากข้อมูลทางไกลทั้งหมด
- การสร้างลำดับการโจมตีใหม่
- การจัดทำแผนที่หน่วยงานและสินทรัพย์ที่เกี่ยวข้อง
- การระบุสาเหตุที่เป็นไปได้
- การจัดอันดับความเสี่ยงที่แท้จริง
ในการใช้งาน Stellar Cyber การคัดกรองตัวแทนจะส่งมอบสิ่งต่อไปนี้อย่างสม่ำเสมอ:
- ลดระดับเสียงการแจ้งเตือนได้ถึง 90%
- 80–90% ของกรณีทั่วไปได้รับการคัดแยกอัตโนมัติ
- การปรับปรุง MTTR มากกว่า 70%
3. ผู้ช่วยนักบิน (LLM)
แกนหลักที่ดีที่สุด: SIEM + เครือข่าย (พร้อมตัวเลือกปลายทางแบบเปิด)
SIEM (บันทึก) + การรับส่งข้อมูลเครือข่าย (NDR)
- บันทึกให้ข้อมูลประจำตัว การกำกับดูแล และความตั้งใจ
- ปริมาณการรับส่งข้อมูลในเครือข่ายเผยให้เห็นการเคลื่อนที่ด้านข้างและการระบายออก
- ทั้งสองจะพร้อมใช้งานเสมอ แม้ว่าตัวแทนปลายทางจะไปไม่ได้ก็ตาม
- เครื่องมือปลายทางเปลี่ยนแปลง สถาปัตยกรรมแบบเปิดหมายความว่าคุณสามารถใช้ EDR ใดๆ ที่คุณต้องการได้
Stellar Cyber รวบรวมสัญญาณทั้งสามเข้าเป็นแพลตฟอร์มที่ขับเคลื่อนด้วย AI หนึ่งเดียว ช่วยให้สามารถใช้งานการเรียนรู้ของเครื่องจักร, AI แบบตัวแทน และความสามารถของผู้ช่วยนักบินได้ทั่วทั้งสภาพแวดล้อม
เพราะการมองเห็น + ระบบอัตโนมัติไม่ใช่ทางเลือกอีกต่อไป มันคือวิธีเดียวที่จะก้าวล้ำหน้าคู่แข่งที่กำลังใช้ AI โจมตีคุณอยู่
