- Mula sa mga script hanggang sa ahenteng AI sa mga operasyong panseguridad
- Mga kaso ng paggamit ng pangunahing ahente ng AI security na pinakamahalaga
- Patuloy na pagsusuri sa pagsunod at pagpapatupad ng patakaran
- Mga pattern ng arkitektura na ipinapares ang agentive AI sa XDR at SIEM
- Praktikal na landas ng pag-aampon para sa mga mid-market na CISO
Mga Kaso ng Paggamit ng Real World Agentic AI Sa Cybersecurity
Ang mga pinuno ng seguridad sa kalagitnaan ng merkado ay nahaharap sa mga umaatake sa antas ng negosyo na may maliit na bahagi ng kawani at badyet. Ang pagkalat ng tool, maingay na telemetry, at patuloy na pag-update ng produkto ay lumikha ng isang marupok na stack na tumatakbo nang mainit bago ang unang kritikal na insidente. Dumating ang Agentic AI sa kontekstong ito, hindi sa isang laboratoryo.
Ipinapakita ng mga survey na humigit-kumulang 18 porsiyento ng mga organisasyon sa gitnang merkado ang nag-ulat ng isang paglabag noong nakaraang taon, kung saan ang ransomware ay tumama sa halos isang-kapat ng mga kumpanyang iyon. Sa UK, 45 porsiyento ng mga medium-sized na negosyo ang nakaranas ng cybercrime sa nakalipas na 12 buwan, na ang phishing pa rin ang nangingibabaw na entry point. Ang mga gastos sa paglabag para sa mga mid-sized na kumpanya ay nasa average na ngayon sa humigit-kumulang 3.5 milyong dolyar bawat insidente. Para sa isang sandalan na grupo ng IT at seguridad, ang isang pagkakamali ay maaaring magdulot ng isang taon ng badyet.
Makikita mo ang pressure na ito sa mga kamakailang insidente. Ang pag-atake ng Change Healthcare ransomware noong 2024 ay nakagambala sa US healthcare billing sa buong bansa at inaasahang gagastos ng parent company na UnitedHealth ng higit sa 2.3 bilyong dolyar bilang tugon at pagbawi, bukod pa sa isang 22 milyong dolyar na pagbabayad ng ransom. Ang MGM Resorts ay nag-ulat ng mahigit 100 milyong dolyar na epekto mula sa pag-atake nito noong 2023 matapos humantong ang social engineering ng help desk sa domain-wide ransomware. Ang paglabag sa Pambansang Pampublikong Data ay potensyal na naglantad ng 2.9 bilyong tala noong 2024, na binibigyang-diin kung paano maaaring lumampas sa isang kumpanya ang isang kompromiso.
Paano Pinagbuti ng Pag-aaral ng AI at Machine ang Cyberecurity ng Enterprise
Pagkonekta sa lahat ng Dots sa isang Complex Threat Landscape
Damhin ang AI-Powered Security in Action!
Tuklasin ang cutting-edge AI ng Stellar Cyber para sa instant na pagtuklas at pagtugon sa pagbabanta. Iskedyul ang iyong demo ngayon!
Itinatampok ng bar chart sa itaas ang tatlong simpleng katotohanan. Karaniwan ang mga paglabag laban sa mga mid-sized na organisasyon, nananatiling mataas ang cybercrime laban sa mga medium na negosyo, at maaaring burahin ng isang paglabag ang mga taon ng pamumuhunan sa seguridad. Para sa isang CISO na hindi maaaring magdagdag ng limampung analyst, hindi na opsyonal ang mas matalinong automation.
Para sa maraming koponan, ang tunay na hadlang ay ang atensyon ng tao, hindi ang mga kagamitan. Isang tipikal na SIEM or XDR magpapakita ang platform ng libu-libong alerto bawat araw, ngunit ang mga analyst ay makakapag-imbestiga lamang nang makabuluhan sa isang maliit na subset. Mga Pag-aaral ng AI SOC Ipinapakita ng mga deployment na kadalasang kailangang bawasan ng mga team ang workload sa paghawak ng analyst alert nang 70 hanggang 80 porsyento upang mabawi ang kontrol sa mga operasyon. Kung wala ang pagbabagong iyon, mananatiling nakatago ang mahahalagang signal. Ipinapaliwanag ng mga gabay tulad ng mga nangungunang threat detection platform kung paano umunlad ang alert flood na ito sa paglipas ng panahon.
Ang mga pag-atake na nakabatay sa pagkakakilanlan ay nagpapalala sa sitwasyon. Tinatantya ng Verizon at iba pang mga pag-aaral na humigit-kumulang 70 porsiyento ng mga paglabag ngayon ay nagsisimula sa mga ninakaw o inabusong mga kredensyal. Ang mga kampanya ng Salt Typhoon laban sa mga tagapagbigay ng telekomunikasyon sa US ay nanatiling hindi natukoy sa loob ng isa hanggang dalawang taon habang ang mga kalaban ay gumagamit ng mga diskarte sa pamumuhay sa lupa at wastong mga account upang lumipat sa gilid sa mga network. Ang mga paglabag sa Snowflake noong 2024 ay nakaapekto sa hindi bababa sa 165 na organisasyon na gumagamit ng mga ninakaw na kredensyal nang walang multi-factor na proteksyon. Direktang umaayon ang mga insidenteng ito sa mga diskarte ng MITRE ATT&CK para sa paunang pag-access, pag-access ng kredensyal, pag-ilid na paggalaw, at pag-exfiltrate, at inilalantad ang mga puwang na napapalampas lamang ng tradisyonal na mga panuntunan sa alerto.
Pinapataas ng pag-aampon ng ulap ang pagkakalantad na iyon. Ang insidente ng Change Healthcare ay nagpapakita kung paano ang isang hindi protektadong malayuang access point sa isang cloud-connected na kapaligiran ay maaaring magpahinto ng mga kritikal na pambansang serbisyo. Cloud detection at mga dokumento ng pagsasaliksik sa pagtugon na ang mga maling pagsasaayos, masyadong mapagpahintulot na mga tungkulin, at hindi pinangangasiwaang mga account ng serbisyo ay nagdudulot ng malaking bahagi ng mga modernong paglabag sa ulap. Mahigit sa kalahati ng mga kumpanya ang nag-uulat ng mahahalagang insidente sa seguridad sa ulap na nauugnay sa mga gaps sa visibility at pag-anod ng configuration. Ang mga mapagkukunan tulad ng cloud detection at gabay sa pagtugon ay naghuhukay sa mga pattern na ito nang mas malalim.
Kasabay nito, ang presyon ng regulasyon ay patuloy na lumalaki. Ang mga kumpanya sa kalagitnaan ng merkado ay dapat magpakita ng mga kontrol na nakahanay sa mga framework gaya ng NIST SP 800-207 para sa Zero Trust Architecture, habang nagmamapa rin ng mga detection at coverage sa MITER ATT&CK para sa operational proof. Ang mga board ay nagtatanong na ngayon ng mga mapurol na tanong: Aling mga taktika ng ATT&CK ang sakop at alin ang mga puwang? Gaano kabilis ihiwalay ang mga pagkakakilanlan na may mataas na peligro pagkatapos ng pinaghihinalaang kompromiso? Ang mga coverage analyzer na nakahanay sa MITER ATT&CK, tulad ng mga inilarawan sa sariling mga materyales ng Stellar Cyber, ay umiiral dahil ang mga auditor at insurer ay umaasa sa dami ng mga sagot.
Sa kontekstong iyan, nakakatulong ang simpleng playbook automation, ngunit hindi ito sapat. Nililinis nito ang mga indibidwal na gawain. Hindi ito nagpapatakbo ng mga kumplikadong imbestigasyon, hindi nakikipag-ugnayan sa iba't ibang domain, o umaangkop habang nagbabago ang tradecraft ng mga umaatake. Dito pumapasok ang agentic AI. Ang agentic AI SOC Binabalangkas ng mga gabay ang pagbabagong ito bilang paglipat mula sa mga script na pinapatakbo ng tao patungo sa mga autonomous at nakatuon sa layunin na mga digital analyst.
Mula sa mga script hanggang sa ahenteng AI sa mga operasyong panseguridad
Bago tuklasin ang mga partikular na kaso ng paggamit ng panseguridad na ahente ng AI, kailangan namin ng malinaw na pagkakaiba sa pagitan ng klasikong automation at mga tunay na ahenteng daloy ng trabaho. Maraming CISO ang nabigo sa mga tool na nangako ng awtonomiya ngunit nag-aalok lamang ng mga malutong na runbook. Ang mga malinaw na kahulugan ay pumipigil sa susunod na wave ng hype fatigue.
Ang simpleng automation ay nagsasagawa ng isang nakapirming pagkakasunod-sunod ng mga hakbang kapag may naganap na kilalang gatilyo. SIEM Kapag natutupad ang panuntunan, ang isang SOAR playbook ay nangongolekta ng ilang konteksto, marahil ay hinaharangan ang isang IP o hindi pinapagana ang isang account. Kapaki-pakinabang, ngunit hindi nagbabago. Kung ang input ay hindi tumutugma sa mga inaasahang pattern, ang automation ay titigil o tahimik na mabibigo. Ang mga human analyst ay nananatiling responsable sa pagbuo ng naratibo at paggawa ng karamihan sa mga desisyon.
Iba ang pagpapatakbo ng Agentic AI. Binubuo ito ng mga ahente ng AI na maaaring magplano, kumilos, at umangkop sa mga multi-step na daloy ng trabaho. Dahil sa layunin tulad ng "siyasatin ang posibleng pagnanakaw ng kredensyal na ito," nagpapasya ang mga ahente kung aling mga data source ang susunod na itatanong, aling mga diskarte ng MITRE ATT&CK ang maaaring ilapat, anong karagdagang ebidensya ang kailangan, at aling mga opsyon sa pagtugon ang pinakamahusay na tumutugma sa patakaran at risk appetite. Maaari silang magbasa ng mga hilaw na kaganapan, tumawag sa mga API, mag-update ng mga tiket, at tumawag sa iba pang mga ahente sa isang chain.
Simpleng automation kumpara sa mga ahenteng daloy ng trabaho at mga analyst ng tao
Ang paghahambing na ito ay sumasalamin sa kung ano ang nakikita natin sa pagsasanay. Ang simpleng automation ay nag-aalis ng ilang paulit-ulit na keystroke, ngunit inaasahan pa rin ng isang analyst na magtatahi ng buong larawan. Ang mga analyst ng tao ay may paghuhusga, ngunit napakaraming oras lamang. Nasa gitna ang mga daloy ng trabaho ng Agentic AI: kumikilos sila tulad ng mga walang sawang junior analyst na kayang magpatakbo ng buong pagsisiyasat nang mag-isa, pagkatapos ay palakihin ang maayos na pagkakaayos ng mga kaso na may ebidensya, pagmamapa ng ATT&CK, at mga inirerekomendang tugon.
Kung babasahin mo ang pinakabago AI SOC gabay sa arkitektura, mapapansin mo ang isang karaniwang padron. Hindi pinapalitan ng Agentic AI ang isang SIEM or XDRIto ay nasa itaas nila, nag-oorganisa ng datos, nag-uugnay ng mga alerto, at nagsasagawa ng patuloy na mga imbestigasyon. Mahalaga ang pagkakaibang iyan para sa pagpaplano ng badyet at para sa pagpapaliwanag ng estratehiya sa iyong lupon.
Mga kaso ng paggamit ng pangunahing ahente ng AI security na pinakamahalaga
Pagtukoy at pag-iwas sa pagbabanta ng cross-domain
Karamihan sa mga seryosong pag-atake ay sumasaklaw na ngayon sa mga endpoint, network, cloud, email, at pagkakakilanlan. Ang mga tradisyunal na tool ay nakikita lamang ang mga hiwa ng kuwentong iyon. Isang nabigong admin login dito, isang DNS anomalya doon, marahil isang hindi pangkaraniwang tawag sa S3 API. Walang iisang sistema ang may sapat na konteksto para magdeklara ng insidente nang may kumpiyansa.
Ang National Public Data, Salt Typhoon, at ang mga paglabag sa Snowflake ay nagpakita ng fragmentation na ito. Pinagsama ng mga attacker ang pagnanakaw ng kredensyal, pamumuhay sa mga diskarte sa lupa, at pag-access sa ulap upang tahimik na i-stage at i-exfiltrate ang napakalaking dataset. Ang bawat hakbang sa sarili nitong mukhang halos normal. Tanging isang cross-domain na view ng gawi ang nagpakita ng pattern.
Tinutugunan ito ng Agentic AI sa mga operasyong panseguridad sa pamamagitan ng pagtatalaga ng iba't ibang ahente na tumuon sa mga partikular na eroplano ng data: ang isa ay nanonood ng mga daloy ng network, isa pang endpoint na EDR log, isa pang kaganapan sa cloud audit, at isa pang pagkakakilanlan at access telemetry. Pagkatapos, ang mga ahente ng ugnayan ay nagbubuo ng mga ugnayan sa pagitan ng mga entity, nagmamapa ng mga aksyon sa mga diskarte sa ATT&CK, at bumuo ng mga kill chain timeline na nagpapakita kung paano kumokonekta ang isang kahina-hinalang proseso sa isang endpoint sa isang hindi pangkaraniwang pivot ng pagkakakilanlan sa Azure at mga kakaibang query sa database sa Snowflake.
Direktang sinusuportahan nito ang mga ambisyon ng Zero Trust mula sa NIST SP 800-207. Binibigyang-diin ng dokumentong iyon ang tuluy-tuloy na pag-verify at pagpapatupad ng patakarang may kamalayan sa konteksto sa halip na implicit na tiwala batay sa lokasyon ng network. Ang mga ahente sa pagtukoy ng ahente ay nagbibigay ng tuluy-tuloy na pagtatasa sa pag-uugali na kailangan ng mga makina ng patakaran upang gumawa ng mas tumpak na payagan, hamunin, o tanggihan ang mga desisyon sa real time.
Mga mapagkukunang naglalarawan sa XDR Pamamaraan ng Kill Chain outline kung paano tinutulungan ng kill chain-aligned analytics ang mga team na makita ang mga multi-stage attack nang mas maaga at sa mas structured na paraan. Ang Agentic AI ay mahalagang nag-automate ng kill chain interpretation sa lahat ng iyong telemetry.
Awtomatikong pagsisiyasat ng insidente at mga daloy ng trabaho sa pagtugon
Ang pagsisiyasat, hindi ang pagtuklas, ay kadalasang nangingibabaw sa oras ng analyst. Pagkatapos ng alerto na may mataas na kalubhaan, kailangang pagsamahin ng isang tao ang ebidensya, suriin ang mga katulad na entity, kumonsulta sa intelligence ng pagbabanta, at mag-draft ng plano sa pagtugon. Para sa mga kumplikadong insidente gaya ng Change Healthcare o MGM, ang mga hakbang na ito ay tumagal ng mga araw. Sa panahong iyon, ang mga sistema ay nanatiling nasiraan ng loob, at ang mga executive ay kulang sa kalinawan.
Binabago ng mga sistema ng Agentic AI ang padron na ito sa pamamagitan ng awtomatikong pagpapatakbo ng mga end-to-end na imbestigasyon. Kapag ang isang paunang signal ay lumampas sa isang partikular na limitasyon ng panganib, tinitipon ng isang case analysis agent ang lahat ng kaugnay na alerto at telemetry, tinutukoy ang mga apektadong entity, at binubuod ang posibleng ugat ng sanhi kasama ang mga taktika ng ATT&CK na kasangkot. Sinusuri ng ibang mga ahente ang pagkalat: katulad na aktibidad sa magkapatid na host, iba pang paggamit ng parehong kredensyal, mga koneksyon sa kilalang malisyosong imprastraktura mula sa mga feed ng threat intelligence.
Kapag mayroon nang sapat na ebidensya, ang mga ahente na nakatuon sa tugon ay nagmumungkahi ng mga opsyon na naaayon sa patakaran. Halimbawa, ihiwalay ang isang host, i-disable ang isang token, ilipat ang isang user sa isang restricted group, o ipatupad ang step-up authentication. Sa mas mature na mga deployment, maaaring direktang isagawa ng mga ahente ang mga contained response action para sa mga mahusay na natukoy na pattern, habang iruruta ang mga hindi malinaw na sitwasyon sa mga human analyst. Ang modelong "human on the loop" na ito ay sumasalamin sa parehong pinakamahusay na kasanayan sa seguridad at kasalukuyang mga inaasahan sa regulasyon.
Ang 6.2 release ng Stellar Cyber, halimbawa, ay nagha-highlight kung paano maaaring bawasan ng agentic case analysis at automated narrative generation ang oras sa pag-unawa mula araw hanggang minuto. Nalalapat ang mga katulad na prinsipyo sa buong merkado, lalo na kung saan pagtuklas, pagsisiyasat, at pagtugon sa banta ang mga platform ay nakaupo sa gitna ng mga operasyon.
SOC alerto sa triage at pagbibigay-priyoridad para sa mga lean team
Ang pagkapagod na may alerto ay nananatiling marahil ang pinakamasakit SOC problema. Maraming mid-market teams ang manu-manong nagbubukas pa rin ng bawat mataas o kritikal na alerto, para lamang matuklasan ang maingay na mga maling positibo o hindi kumpletong konteksto. Nauubusan ng lakas ang mga analyst, at ang mga totoong pag-atake ay nakakaligtaan ng alas-2 ng madaling araw.
Binibigyang-diin ng mga modernong ulat ng insidente ang puwang na ito. Ang mga pag-atake ng phishing na hinimok ng AI ay tumaas ng higit sa 700 porsyento sa pagitan ng 2024 at 2025, habang ang mga insidente ng ransomware ay tumaas ng higit sa 100 porsyento sa parehong panahon. Walang pangkat ng tao ang maaaring manu-manong subukan ang bawat kahina-hinalang email, log line, at endpoint na anomalya na nabubuo ng mga campaign na ito.
Patuloy na sinusuri ng mga ahente ng ahente ng triage ang mga bagong alerto sa pagdating ng mga ito, hindi lamang sa kalubhaan ng panuntunan, ngunit sa konteksto: pagiging kritikal ng entity, blast radius, dating gawi, kasalukuyang kampanya, at mga kumbinasyon ng diskarteng ATT&CK. Ang mga alerto sa mababang konteksto tungkol sa mga asset na mababa ang halaga ay maaaring awtomatikong isara pagkatapos ng mabilisang pagsusuri. Ang mga kumbinasyong may mataas na peligro, tulad ng isang may pribilehiyong pag-sign in ng account mula sa isang bagong heograpiya habang gumagawa ng mga bagong cloud key, ay tumatanggap ng agarang promosyon at isang buong pagsisiyasat.
Ang mga real-world na deployment ay nag-uulat na ang mga naturang system ay maaaring mag-compress ng libu-libong hilaw na alerto sa daan-daang mga kaso bawat araw, kadalasang binabawasan ang dami ng manu-manong triage ng analyst ayon sa isang order ng magnitude habang pinapahusay ang kalidad ng pagtuklas. Iyon ay nagpapalaya sa senior staff na tumuon sa pangangaso ng banta, purple teaming, at pagpapatigas ng arkitektura. Ang ahente SOC pangkalahatang-ideya ng plataporma ipinapaliwanag ang ilan sa mga pattern ng triage na ito nang mas malalim.
Pamamahala ng seguridad sa cloud at pag-aayos ng maling pag-configure
Ang mga maling pagsasaayos ng ulap ay nananatiling pangunahing sanhi ng mga paglabag. Ang mga pampublikong bucket, labis na ipinagkaloob na mga tungkulin, nakalimutang mga kapaligiran sa pagsubok, at mga lipas na account ng serbisyo ay lumilikha ng malambot na target na ibabaw. Ang mga insidente ng Snowflake at Change Healthcare ay parehong nagtatampok sa panganib ng mga kahinaan ng kredensyal at configuration sa mga cloud-connected system.
Tinutukoy ng mga tradisyunal na tool sa pamamahala ng postura ng seguridad ng ulap ang mga isyu, ngunit kadalasan ay nagbibigay ng malalaking static na listahan ang mga security team. Ang pag-aayos sa mga ito sa sukat ay nangangailangan ng koordinasyon sa buong DevOps, mga may-ari ng application, at kawani ng pagsunod. Sa pagsasagawa, maraming mga natuklasan ang nagtatagal nang ilang buwan.
Dinadala ng Agentic AI ang tuluy-tuloy, nababatid sa konteksto na pagsubaybay sa pamamahala ng seguridad sa ulap. Ang mga dalubhasang ahente ay nanonood ng configuration drift, mga pagbabago sa pagkakakilanlan, at workload na gawi laban sa mga baseline. Kapag ang isang S3 bucket ay biglang naging pampubliko o ang isang account ng serbisyo ay nakakuha ng mga bago, makapangyarihang tungkulin, ang isang ahente ay maaaring agad na i-flag ang pagbabago, masuri ang pagiging kritikal ng negosyo, at magmungkahi o magsagawa ng ligtas na remediation tulad ng pagbabalik sa nakaraang patakaran o pag-attach ng kilalang magandang template.
Para sa mga KMS key, mga patakaran ng IAM, o mga cluster ng Kubernetes, maaaring gayahin ng mga ahente ang mga iminungkahing pagbabago bago ilapat ang mga ito, na sinusuri ang mga panganib sa pagkasira. Kapag isinama sa mga kahulugan ng patakaran na nakaugat sa mga prinsipyo ng NIST SP 800-207 Zero Trust, lumilikha ito ng feedback loop kung saan ang postura ng ulap ay nananatiling mas malapit sa layunin ng disenyo. Ang mga mid-market na team na hindi makakapaglagay ng dedikadong cloud security squad ay nakakakuha ng praktikal na kapangyarihan sa pagpapatupad.
Ang cloud detection at pangkalahatang-ideya ng pagtugon lumalalim sa kung paano ipinapakita ng tuluy-tuloy na analytics sa mga cloud control plane at data plane ang mga attack chain na nakakaligtaan ng mga static scanner. Ang mga ahenteng daloy ng trabaho ay nasa itaas ng visibility na iyon upang gawing aksyon ang mga natuklasan.
Pamamahala ng pagkakakilanlan at pag-access na may pagtukoy sa maling paggamit ng pribilehiyo
Ang pagkakakilanlan ay naging bagong perimeter. Ang pag-atake ng MGM, ang napakalaking kredensyal na tumagas noong 2025, at ang mga insidente ng Snowflake ay kinasasangkutan ng mga umaatake na gumagalaw gamit ang mga wastong kredensyal sa halip na halatang malware. Iminumungkahi ng mga pag-aaral sa pagbabanta ng tagaloob na halos 60 porsiyento ng mga paglabag ay kinasasangkutan na ngayon ng mga insider o nakompromisong account.
Ang mga klasikong proseso ng pamamahala sa pagkakakilanlan at pag-access ay kadalasang tumatakbo kada quarter o taon-taon. Nakakatulong ang mga review ng entitlement, role mining, at ad hoc privilege audit, ngunit kakaunti ang naitutulong laban sa isang umaatake na umaabuso sa isang account sa loob ng siyam na araw na magkakasunod. Eksaktong ipinakita ng kampanya ng 2024 Salt Typhoon ang isyung ito, na nagpapanatili ng pangmatagalang access sa loob ng mga network ng telecom na may mga lehitimong kredensyal.
Sinusuportahan ng Agentic AI ang pagkakakilanlan at pag-access sa pamamahala sa dalawang paraan. Una, sinusubaybayan ng mga ahente ng analytics ng tuluy-tuloy na pag-uugali kung paano karaniwang gumagana ang bawat pagkakakilanlan: kung aling mga application ang hinawakan nito, karaniwang dami ng data, karaniwang mga heograpiya, at normal na oras ng araw. Kung ang isang account ay biglang kukuha ng gigabytes ng data sa 3 am mula sa isang bagong rehiyon, maaaring i-flag o suspindihin ng mga ahente ang session, hindi alintana kung ginamit ang MFA.
Pangalawa, ang mga ahente na nakatuon sa pamamahala ay nag-scan ng mga graph ng karapatan upang mahanap ang mga nakakalason na kumbinasyon ng mga tungkulin, mga naulilang account, at labis na mga pribilehiyo, na nagbibigay sa mga may-ari ng mga priyoridad, mayaman sa kontekstong rekomendasyon upang alisin ang panganib. Ang mga kaso tulad ng paglabag sa MGM, kung saan ang social engineering ay nagbunga ng administratibong pag-access, ay naglalarawan kung bakit ang naturang mga pribilehiyo na pagsusuri ay dapat na tuluy-tuloy, hindi episodiko.
Moderno pagtuklas at pagtugon sa banta ng pagkakakilanlan binabalangkas ng materyal kung paano pinagsasama nito ang klasikal na IAM sa detection engineering para sa mga diskarte ng ATT&CK tulad ng Mga Valid Account, Pagtaas ng Pribilehiyo, at Pag-ilid na Paggalaw. Ang mga sistemang ahente ay nag-o-automate ng karamihan sa engineering na iyon at pang-araw-araw na pagsubaybay.
Patuloy na pagsusuri sa pagsunod at pagpapatupad ng patakaran
Ang pagsunod para sa mga organisasyon sa kalagitnaan ng merkado ay palaging mabigat sa mapagkukunan. Ang PCI DSS, HIPAA, GDPR, mga utos na partikular sa sektor, at ngayon ang mga executive order sa paligid ng seguridad ng supply chain ng software ay nangangailangan ng tuluy-tuloy na ebidensya. Gayunpaman, itinuturing pa rin ng maraming kumpanya ang pagsunod bilang isang quarterly rush ng mga spreadsheet at screenshot.
Binabalangkas ng NIST SP 800-207 ang Zero Trust bilang isang tuluy-tuloy na proseso na dapat umangkop sa mga pagbabago sa mga asset, pagbabanta, at gawi ng user. Ipinapakita ng mga tool sa pagsusuri sa saklaw na hinihimok ng MITRE ATT&CK kung saan nakaayon ang mga kontrol sa mga diskarte ng tunay na kalaban, na nagha-highlight ng mga blind spot. Ang parehong mga balangkas ay tahasang tumatawag para sa automation at patuloy na pagpapatunay. Ang mga tao lamang ay hindi makakasabay.
Naaayon nang maayos ang Agentic AI sa kinakailangang ito. Ang mga ahente ng patakaran ay maaaring mag-encode ng mga panuntunan tulad ng "lahat ng may pribilehiyong pagkakakilanlan ay dapat mangailangan ng MFA na lumalaban sa phishing" o "walang unit ng negosyo ang maaaring direktang maglantad ng mga database sa internet." Pagkatapos ay patuloy na sinusuri ng iba pang mga ahente ang nauugnay na telemetry, mga estado ng pagsasaayos, at mga talaan ng pagkakakilanlan laban sa mga patakarang iyon, pagbubukas o pag-update ng mga natuklasan kapag lumitaw ang mga paglabag.
Inililipat nito ang pagsunod mula sa point-in-time na pagpapatunay patungo sa buhay na ebidensya. Para sa isang arkitekto ng seguridad na nagpapakita sa board, na nagpapakita ng heatmap ng saklaw ng ATT&CK na nabuo araw-araw, kasama ng mga naka-automate na marka ng pagsunod sa patakaran, ay may higit na timbang kaysa sa isang lipas na isang beses bawat taon na pagtatasa. Ang MITRE ATT&CK mga materyales sa coverage analyzer ilarawan kung paano sinusuportahan ng naturang mga visualization ang parehong negosasyon sa seguridad at insurance.
Autonomous threat hunting gamit ang cross-domain na data
Karamihan sa mga mid-market team ay naghahangad na magsagawa ng threat hunting. Kakaunti lang ang makakapagpapanatili nito. Halos hindi nakakasabay ang mga analyst sa mga papasok na alerto; bumababa ang mga structured hunts sa ilalim ng queue. Ngunit ang mga kamakailang paglabag, mula sa Salt Typhoon hanggang Change Healthcare, ay nagpapakita na ang maagap na pangangaso ay maaaring nakakita ng mga anomalya bago pa ang ganap na epekto.
Binabaliktad ng mga ahente sa pangangaso ng banta ng ahente ng AI ang equation na ito. Sa halip na maghintay ng mga alerto, bumubuo at sumusubok sila ng mga hypotheses batay sa mga diskarte ng ATT&CK at threat intelligence. Halimbawa, maaaring maghanap ang isang ahente ng mga palatandaan ng paglalaglag ng kredensyal o hindi pangkaraniwang malayuang paggamit ng tool na pang-administratibo sa lahat ng endpoint, pagkatapos ay mag-pivot sa mga log ng network at mga track ng pag-audit sa cloud.
Dahil ang mga ahente ay maaaring tumakbo nang tuluy-tuloy at sa bilis ng makina, mas marami silang na-explore na hypotheses kaysa sa alinmang pangkat ng tao. Kapag nakakita sila ng mga kahina-hinalang pattern, nagbubukas sila ng mga kaso na may nakahanda nang konteksto, nagmamapa ng mga pinaghihinalaang diskarte, mga entity na kasangkot, at nagmumungkahi ng mga susunod na hakbang. Sa paglipas ng panahon, sinasanay ng feedback ng analyst ang mga ahente na ito kung saan ang mga paghahanap ay nagbunga ng halaga, na nagpapadalisay sa mga pagsisikap sa hinaharap.
Ang pangkalahatang-ideya ng katalinuhan sa banta sa cyber Inilalarawan ng nakabalangkas na pagmamapa ng ATT&CK ang sistematikong pangangaso sa buong siklo ng buhay ng pag-atake. Awtomatiko lamang ng mga sistemang Agentic ang nakabalangkas na pamamaraang iyon at itinatali ito sa iyong umiiral na telemetry stack.
Mga pattern ng arkitektura na ipinapares ang agentive AI sa XDR at SIEM
Kahit ang pinakamahusay na mga solusyon sa seguridad ng agentic AI ay mabibigo kung ilalagay nang padalos-dalos. Para sa isang CISO na gumagabay sa isang mid-market na organisasyon, ang pangunahing tanong ay hindi lamang "ano ang magagawa ng mga ahente," kundi "paano sila maisasama sa aking kasalukuyan SIEM, XDR, at mga pamumuhunan sa hyperautomation nang hindi pinalalaki ang panganib o badyet?”
Karamihan sa mga matagumpay na disenyo ay may ilang katangian. Una, tinatrato nila ang Open XDR o isang katulad na data fabric gaya ng pundasyon. Nino-normalize ng layer na iyon ang telemetry sa mga endpoint, network, cloud, identity, at mga SaaS application. Pagkatapos ay kinokonsumo ng mga agentic AI agent ang normalized stream na ito sa halip na subukang mag-integrate nang hiwalay sa bawat tool. Binabawasan nito ang panganib ng integration at pinapanatiling diretso ang onboarding ng mga bagong data source.
Pangalawa, nagsasama sila sa SIEM sa halip na palitan ito nang tuluyan. Pamana SIEMpinangangasiwaan pa rin ng mga s ang compliance logging, pangmatagalang pagpapanatili, at ilang ugnayan. Ang Agentic AI at moderno XDR mga platform na nasa tabi nila, na kumukuha ng kontrol sa real-time detection, multi-domain correlation, at response orchestration. Maraming organisasyon ang nagsisimula sa pamamagitan ng pag-mirror ng mga log sa isang Open XDR plataporma, na nagpapahintulot sa mga ahente na gamitin ang kopyang iyon bago muling pag-isipan SIEM mga siklo ng pagpapanibago.
Pangatlo, ang mga aksyon sa pagtugon ay naka-wire sa pamamagitan ng umiiral na mga hyperautomation stack at SOAR platform. Sa halip na lampasan ang mga naitatag na gawi sa pagkontrol sa pagbabago, ang mga ahente ng ahente ng AI ay tumatawag sa mga aprubadong playbook at daloy ng trabaho, gamit lamang ang mga mas matalinong pag-trigger at mas mayamang konteksto. Naaayon ito sa mga prinsipyo ng pamamahala sa NIST SP 800-207, na nagbibigay-diin sa kontrol na hinihimok ng patakaran sa pag-access sa network at mapagkukunan.
Sa wakas, ang pangangasiwa ng tao ay nananatiling sentro. Mga press release tungkol sa pinalaking awtonomiya ng tao SOCs bigyang-diin na ang mga ahente ay nag-triage, nag-uugnay, at nagmumungkahi, habang ang mga tao ay nagpapatunay ng mga aksyon na may mataas na epekto at nagsasaayos ng diskarte. Natutugunan ng modelong ito ang mga inaasahan sa kultura ng seguridad at mga umuusbong na kinakailangan sa pamamahala ng AI.
Para sa mga pinunong nagpaplano ng transisyong ito, ang mataas na antas ng AI SOC mga sanggunian tulad ng AI SOC gabay sa arkitektura at ang pinakamahusay na AI SOC pangkalahatang-ideya ng mga platform magbigay ng praktikal na pamantayan sa pagsusuri. Bigyang-pansin kung paano imamapa ng bawat platform ang mga detection sa MITER ATT&CK, inilalantad ang Zero Trust na may kaugnayang konteksto, at sinusukat ang mga pagbawas sa workload ng analyst sa mga totoong numero.
Praktikal na landas ng pag-aampon para sa mga mid-market na CISO
Kahit na ang halaga ay malinaw, ang paggamit ng ahente ng AI ay maaaring maging mapanganib. Ang mga alalahanin ay mula sa mga maling positibong nakakagambala sa negosyo hanggang sa mga AI system na kumikilos sa labas ng patakaran. Ang mga alalahaning iyon ay may bisa, lalo na sa mga kinokontrol na industriya o mga kapaligiran na may mga marupok na legacy na aplikasyon. Ang sagot ay nakasalalay sa itinanghal na pag-deploy na may malinaw na mga guardrail.
Nagsisimula ang isang pragmatic na landas sa mga read-only na deployment na nakatuon sa visibility at triage. Paganahin ang mga ahente na makakuha ng mga alerto, bumuo ng mga kaso, at magmungkahi ng mga tugon, ngunit nangangailangan ng pag-apruba ng tao para sa anumang pagkilos na nagbabago ng mga system. Sukatin ang mga pagbabago sa ibig sabihin ng oras upang matukoy, ang ibig sabihin ng oras upang tumugon, at oras ng analyst na ginugol sa bawat kaso. Kung hindi ka makakita ng makabuluhang mga pakinabang sa loob ng ilang buwan, ayusin ang configuration o muling isaalang-alang ang mga vendor.
Susunod, tumukoy ng makitid, mataas ang dami ngunit mababa ang panganib na domain para sa bahagyang awtonomiya, gaya ng phishing email remediation o paghihiwalay ng mga hindi kritikal na endpoint ng lab. Maraming organisasyon ang nagtitiwala sa mga SOAR playbook sa mga lugar na ito; Ang agentic AI ay nagpapasya lang kung kailan sila patakbuhin. Subaybayan ang mga rate ng error, dalas ng rollback, at mga reklamo ng user.
Pagkatapos lamang na mapatunayang ligtas ang mga pilot na ito, dapat isaalang-alang ng mga team ang pagbibigay ng mas malawak na awtonomous na awtoridad, lalo na sa mga kontrol ng pagkakakilanlan at pagbabalik ng configuration ng cloud. Gayunpaman, ihanay ang bawat autonomous na uri ng pagkilos sa tahasang patakaran, pag-apruba ng may-ari ng negosyo, at mga istruktura sa pag-log na nagbibigay-daan para sa pagsusuri sa forensic sa ibang pagkakataon.
Sa kabuuan, panatilihin ang pag-unlad ng pagmamapa laban sa MITER ATT&CK at NIST SP 800-207. Gumamit ng mga coverage analyzer at Zero Trust assessment upang ipakita kung aling mga diskarte sa pag-atake at mga kontrol sa patakaran ang natatanggap na ngayon ng tuluy-tuloy, atensiyon na hinihimok ng ahente. Itali ang bawat advance sa isang tunay na halimbawa ng paglabag na natukoy sana nang mas maaga o mas mabilis na nilalaman. Tumugon ang mga executive sa mga konkretong sitwasyon: "Malamang na nakakuha ang setup na ito ng maling paggamit ng kredensyal sa istilo ng Change Healthcare sa loob ng ilang oras, hindi araw."
Para sa mas malalim na pag-aaral ng mga partikular na bloke ng pagbuo, mga mapagkukunan tulad ng gabay sa analytics ng gawi ng user at entity at ang Pangkalahatang-ideya sa pagtuklas ng banta ng pagkakakilanlan magbigay ng nakatutok na konteksto sa analitika ng pag-uugali at mga kontrol na nakasentro sa pagkakakilanlan. Kasama ng Open XDR at isang ahente SOC tela, tinutukoy nila ang isang makatotohanang landas mula sa mga pilit na operasyon ngayon patungo sa isang mas nagsasarili at matatag na postura na akma para sa mga limitasyon sa kalagitnaan ng merkado.