Paano Binabago ng AI-Driven Hyperautomation ang Cybersecurity
Paano Pinagbuti ng Pag-aaral ng AI at Machine ang Cyberecurity ng Enterprise
Pagkonekta sa lahat ng Dots sa isang Complex Threat Landscape
Damhin ang AI-Powered Security in Action!
Tuklasin ang cutting-edge AI ng Stellar Cyber para sa instant na pagtuklas at pagtugon sa pagbabanta. Iskedyul ang iyong demo ngayon!
Automating Ang Tatlong Haligi ng Cybersecurity
Ang napakaraming data na nabubuo sa network ng isang enterprise ay sobra para sa simpleng manu-manong pagsubaybay. Sa kabuuan ng pagkolekta, pagsusuri, at pagreremedia ng pagbabanta, tukuyin natin ang mga antas ng maturity ng automation ng bawat field – at kung paano itinutulak ng Stellar Cyber ang pinakamataas na maturity sa loob ng hyperautomation na hinimok ng AI.
Automation sa Pagkolekta ng Data
Pagkolekta ng log
Ang tinapay at mantikilya ng pagsubaybay sa cybersecurity, mga log ay mga talaan ng mga kaganapang ginawa ng mga application, networking device, at server.
Sa pinakapangunahing antas ng maturity, ang mga log ay kasama sa proseso ng cybersecurity analyst sa pamamagitan ng log replication - kung saan ang isang analyst ay manu-manong nagse-set up ng isang lokal na script sa isang server o device na pana-panahong kinokopya ang lahat ng mga log at idinedeposito ang mga ito sa isang central repository. Pangunahing ginagamit para sa mga batch ng mga log, ang bawat log ay kadalasang naka-format upang maging nababasa ng tao – at kadalasang binabasa lamang kapag manu-manong sinusubukan ng mga analyst na lutasin ang isang isyu, o tinutuklasan kung paano nagsimula ang isang insidente sa seguridad.
Sa katamtamang antas ng maturity ng automation, nagsisimula ang prosesong ito na isama ang real-time na visibility sa pamamagitan ng awtomatikong paghila ng mga log sa isang sentral na sistema ng pamamahala, kadalasan sa pamamagitan ng API o mas malalim na configuration ng application. Ang indibidwal na pag-format ng mga log ay nagiging mas machine-centric din, na may higit na diin sa mga structured na layout na madaling makuha ng mga tool sa pamamahala ng log. Kailangan pa ring manu-manong tulungan ng mga analyst ang mga tool na ito sa pagpili kung aling mga device ang isasama, at kadalasan ay kailangang bumalik sa sample at isaayos ang kanilang mga kasanayan sa pamamahala ng log sa paglipas ng panahon.
Sa wakas, ang pag-log ingestion sa pinaka-automate nito ay higit pa sa isang purong sistema ng koleksyon upang isama ang awtomatikong pagtuklas ng device. Sa pamamagitan man ito ng API, log source, o native sensor, ang bawat enterprise device ay maaaring matuklasan at masubaybayan, anuman ang aktibidad nito sa network.
Pagsubaybay sa Seguridad ng Network
Ang pagsubaybay sa seguridad ng network ay umuurong mula sa mga indibidwal na pagkilos sa loob ng application, at sa halip ay tumitingin sa trapikong dumadaloy sa isang enterprise network upang masuri ang mga nakakahamak na aksyon.
Ang mga diskarte na hindi AI sa pagsubaybay sa seguridad ng network ay gumana nang maayos sa nakaraan, ngunit mabilis na inangkop ng mga cybercriminal ang kanilang mga diskarte sa kanilang paligid. Ang mas lumang mga tool sa seguridad ay naghahambing lamang ng impormasyon ng network packet laban sa isang paunang ginawang listahan ng mga kilalang diskarte – at ang mga lumang firewall ay nagpupumilit na labanan ang end-to-end na naka-encrypt na trapiko ngayon.
Ang mga naka-automate na tool sa seguridad ng network ay maaaring mangalap ng intel mula sa malalayong malawak na mga network, sa parehong pampubliko at pribadong cloud at on-prem na hardware. Mga sensor ng network ng Stellar Cyber humukay nang malalim, nangongolekta ng metadata sa lahat ng pisikal at virtual na switch. Ang mga sensor nito ay nagde-decode ng mga payload sa pamamagitan ng Deep Packet Inspection, at maaaring gumana sa Windows 98 server at pataas, kasama ng Ubuntu, Debian, at Red Hat.
Ang pagtitipon ng lahat ng data na ito ay maaaring maging batayan sa solidong cybersecurity - ngunit kailangan pa rin itong gawing insight at, kritikal, aksyon.
Automation ng Pagsusuri ng Data
Mayroong antas ng pagsusuri ng data na palaging mangangailangan ng kadalubhasaan at kaalaman ng isang tunay na tao. Gayunpaman, ang mga pagsulong sa automated analytics ngayon ay nagbibigay-daan sa mga analyst na gumawa ng mga desisyong kritikal sa oras nang mas malinaw kaysa dati.
Ang pagsusuri sa kaganapan sa isang maagang yugto ng automation ay madalas na umaasa sa isang analyst na kailangang ikonekta ang mga tuldok mismo - ito man ay isang bersyon ng software na nangangailangan ng pag-patch o isang pinangangasiwaan na depekto. Sa pinakamasamang sitwasyon, alam ng umaatake - at aktibong pinagsasamantalahan - ang kapintasan bago pa ito malaman ng isang analyst. Bagama't manu-mano pa rin ito, ang pagsasama-sama ng lahat ng iba't ibang format ng data sa isang sentral na dashboard ay ang pundasyon ng tool na ngayon na nasa lahat ng dako ng Security Information and Event Management (SIEM).
Humigit-kumulang isang dekada na ang nakalipas, ang isa sa mga kakayahan na ipinagmamalaki ng mga may karanasang propesyonal sa seguridad – ang kakayahang makilala ang isang pag-atake na nasaksihan na nila dati – ay maaaring biglang gamitin ng mga mas bagong team salamat sa pagtukoy na nakabatay sa lagda. Kaya nagsimulang makinabang ang mga organisasyon mula sa isang katamtamang antas ng awtomatikong pagsusuri. Kung ang isang file signature o IP address ay tumugma sa isang dating na-tag na pag-atake, ang isang analyst ay maaaring maalerto kaagad (karaniwan ay sa pamamagitan ng kanilang SIEM tool).
Gayunpaman, ang pangunahing anyo ng pagsusuri ng kaganapan na ito ay talagang walang sagot sa mga zero-day o nobelang pag-atake. Higit pa rito, ang mga analyst ay nahaharap sa isang mas malaking hamon: ang mga kaganapang panseguridad ay nabuo nang mas mabilis kaysa sa maproseso ang mga ito.
Ikaw ay (Marahil) Pamilyar na sa Automated Analysis
Bagama't mahuhulaan ang anamalya-based na behavioral analytics at samakatuwid ay maiwasan ang mga pag-atake, maaari itong maging madaling kapitan ng mga maling positibo at nakakalat sa mga daloy ng trabaho sa pagtugon sa insidente - kung saan ang huling layer ng automation ng seguridad ay gumagawa ng pinakamalaking pagbabago ngayon.
Pag-automate ng Tugon sa Insidente
Ang huling dalawang hakbang – pangongolekta at pagsusuri ng data – parehong humahantong sa isang bagay: pagtugon sa insidente.
Ang pagtugon sa insidente na umaasa sa isang pangunahing antas ng automation ay nangangailangan ng analyst na manu-manong i-disable ang access sa network kapag nag-quarantine ng mga device na nahawaan ng malware, malayuang mag-install ng mga bagong patch ng software, at mag-reset ng mga password at username para sa mga user na maaaring nasira ang kanilang mga account. Maaari mong mapansin na ang mga ito ay pangunahing reaktibo sa likas na katangian - ito ay isang resulta ng manu-manong interbensyon na tulad ng snail na bilis.
Umuusad sa isang mid-tier na antas ng automation ng pagtugon sa insidente, ito ay tumatagal ng pundasyon ng behavioral analytics at kumikilos nang naaayon - kadalasan sa pamamagitan ng awtomatikong pagtanggi sa mga kahina-hinalang user ng access sa mga kritikal na mapagkukunan, o pag-alerto sa tamang analyst ayon sa kanilang lugar ng kadalubhasaan. Binibigyang-daan ng mga Playbook ang mga security team na mapanatili ang ganap na kontrol sa mga awtomatikong tugon, na nagbibigay-daan sa isang tool na pinapagana ng AI na maging mahusay sa pagsasagawa ng mga paulit-ulit na gawain ng pang-araw-araw na cybersecurity.
Ang antas ng automation ng insidente ay lubhang madaling kapitan sa isang isyu, gayunpaman: mga maling positibo. Ang mga ito ay maaaring maling maglagay ng mga paghihigpit sa isang user o device, na lubhang nakakaapekto sa pagiging produktibo. Ang mga kumpanyang may mga mature na pipeline ng pagtugon sa insidente ay nagsasagawa na ng proseso ng pagtugon sa insidente na may mataas na katumpakan: ito ay sa pamamagitan ng hyperautomation.
Paano Binabago ng Hyper Automation ng Stellar Cyber ang Tugon sa Insidente
Bumalik sa intro, ipinaliwanag namin kung paano ang hyperautomation ay ang proseso ng pagsasalansan ng mga layer ng automation upang makagawa ng pinakamahusay na posibleng resulta ng negosyo. Sa mga mature na stack ng seguridad, pinagsasama ng hyperautomation ang malalim, batay sa pattern na pagsusuri ng mga algorithm ng machine learning, kasama ang proseso ng contextualization ng insidente.
Nagagawa ng Graph ML ng Stellar Cyber na imapa ang mga ugnayan sa pagitan ng mga indibidwal na alerto sa anomalya, at ginagawa ang mga ito sa mga kaso: pag-convert ng libu-libong alerto sa ilang daang totoong kaganapan na maaaring bahagi ng mga ito. Ang bawat kaso ay awtomatikong pinayaman at binibigyang-priyoridad, ayon sa mga natatanging katangian ng mga indibidwal na alerto nito. Sa wakas, ang mga analyst ay ipinakita ng isang punto ng sanggunian - isang dashboard na nagsasama-sama ng kabuuan ng mga pag-uugali, mga depekto, at mga device ng kanilang organisasyon sa mga streamline na kaso.
Kung ang iyong organisasyon ay wala pa sa peak automation maturity, huwag mag-alala – normal para sa automation maturity na paminsan-minsang umuunlad, dahil ang tooling ay ina-upgrade kada ilang taon. Kung gusto mong malaman kung paano nag-aalok ang Stellar Cyber ng pinaka-cost-effective na Open XDR na platform sa merkado, makipag-ugnayan para sa isang demo ngayon.
