AI SecOps: Pagpapatupad at Pinakamahuhusay na Kasanayan
Ang Security Operations, o SecOps, ay ang kulminasyon ng mga indibidwal na proseso na pumipigil sa mga kahinaan at panghihimasok ng panganib sa mga sensitibong asset ng enterprise. Ito ay bahagyang naiiba sa Security Operations Center (SOC) – na siyang unit ng organisasyon ng mga tao na sumusubaybay at pumipigil sa mga insidente sa seguridad.
Mahalaga ang pagkakaibang ito dahil nilalayon ng SecOps na pagsamahin ang mga proseso ng seguridad sa loob ng pipeline ng mga operasyon, samantalang ang mga tradisyonal na SOC ay nag-aalis ng seguridad palayo sa IT, na mahalagang ihiwalay ang mga proseso ng seguridad. Ito ang dahilan kung bakit ang mga modernong SOC ay madalas na nagpapatupad ng mga SecOps, bilang isang paraan ng pagbabalanse ng pag-iwas sa pagbabanta na may nakalaang mga kakayahan sa pagtugon sa insidente.
Dahil kailangan ng SecOps na maupo sa tabi ng pang-araw-araw na IT at OT workflow – at hindi humahadlang – Ang automation ng SecOps ay isang mahalagang bahagi ng diskarte. Tinitingnan ng artikulong ito kung paano umuusbong ang AI SecOps, paggamit ng mga kaso para sa AI sa SecOps, at pinakamahuhusay na kagawian para sa Pagpapatupad ng AI sa SecOps.
Susunod na Henerasyon ng SIEM
Stellar Cyber Next-Generation SIEM, bilang isang kritikal na bahagi sa loob ng Stellar Cyber Open XDR Platform...
Damhin ang AI-Powered Security in Action!
Tuklasin ang cutting-edge AI ng Stellar Cyber para sa instant na pagtuklas at pagtugon sa pagbabanta. Iskedyul ang iyong demo ngayon!
Panimula sa AI SecOps
Ang SecOps ay isang diskarte na nakakuha ng malaking suporta sa loob ng mga organisasyong may kamalayan sa seguridad. Ang bawat SecOps ng organisasyon ay kailangang umangkop sa natatanging layout ng organisasyon ng mga digital asset, imprastraktura, at sensitibong data – tulad ng paglaki at pag-aangkop ng enterprise sa mga pagbabago sa merkado sa paglipas ng panahon. Dahil isinasama ng SecOps ang mga hakbang sa seguridad sa buong ikot ng mga pagpapatakbo ng IT, kailangan din nitong i-embed ang seguridad sa bawat yugto ng pag-unlad at pagpapatakbo.
Upang makamit ito, ang SOC ay nangangailangan ng tuluy-tuloy, malalim na visibility sa mga device, network, at mga endpoint ng lahat ng user – ito ay isang nakakabighaning dami ng data. Bahagi ng dahilan kung bakit ang mga SOC team ay tradisyonal na inalis mula sa kanilang developer at mga katapat sa IT ay upang pamahalaan ang lahat ng data na ito. Sa paligid ng mga tier ng mga analyst, ang mga SOC team ay nangangailangan din ng malaking bilang ng mga tool upang kunin at ipangkat ito. Ang mga tool sa Security Information and Event Management (SIEM), Firewalls, at Endpoint Detection and Response (EDR) ay tumulong sa pagproseso ng data na ito at gawin itong makabuluhang impormasyon.
Nagagawa na ngayon ng AI sa mga operasyong panseguridad na kumuha ng data ng seguridad sa parehong rate na ginawa nito. Bilang resulta, ang Machine Learning – at ang mas bagong Generative AI nito – ay may pananagutan sa paggawa ng SecOps sa isang tuluy-tuloy na proseso, na nagpapahintulot sa mga pagpapatakbo ng seguridad na makasabay sa IT at mga pagbabago sa pag-unlad. Higit pa rito, dahil ang mga platform na hinimok ng AI ay nagbibigay ng mas malawak na mga opsyon sa automation kaysa dati, ang ebolusyon ng SecOps ay itinutulak patungo sa mga streamline na tech stack, pinababang kumplikado, at mas mataas na ROI.
Gamitin ang Mga Kaso ng AI sa SecOps
Pagtuklas ng Banta na may Mas Kaunting Maling Positibo
Ang mga modelo ng AI ay umuunlad sa malalaking dataset: gamit ang AI, ang dami ng mga alerto na minsang maaaring magpadaig sa isang security team ay maaari na ngayong ma-ingested, ma-cross-reference, at magamit upang makita ang iba. Malaki ang kaibahan nito sa tradisyunal na diskarte sa pagtuklas ng pagbabanta – na nakatambak lang ng mga tool sa seguridad sa isa't isa.
Ganito ang sitwasyon isang kumpanya sa pananalapi na nakabase sa US ay natagpuan ang sarili sa: Ang mga analyst ng SOC ay kinakailangang simulan ang bawat operasyong panseguridad sa pamamagitan ng paghuhukay sa napakaraming data na nakalakip sa bawat alerto. At dahil ang enterprise ay may maramihang security tooling software, kinailangan nilang manual na tukuyin ang parehong alerto sa bawat console at indibidwal na sundin ang bawat lead upang matukoy ang validity ng alerto at potensyal na pinsala.
Dahil na-ingest ng AI ang lahat ng raw log, network, at data ng device na napupunta sa alert trigger ng isang tool, nagagawa nitong iugnay ang alertong iyon laban sa mga kaukulang aksyon sa network, device, o account na pinag-uusapan. Ang resulta ay mas kaunting mga maling alerto - at, sa kaganapan ng isang tunay na insidente sa seguridad - ang AI ay maaaring maglagay ng mga alerto sa loob ng konteksto ng isang mas malawak na chain ng pag-atake.
Awtomatikong Pagtugon sa Insidente
Ang mga Playbook ay ang pundasyon ng mga awtomatikong kakayahan sa pagtugon – nagbibigay-daan ito sa mga lean team tulad ng mga nasa Ang departamento ng IT ng Unibersidad ng Zurich upang mabilis na ipatupad ang ilang mga kakayahan sa pagsubaybay at pagtugon bilang tugon sa mga partikular na alerto. Halimbawa, sa kaganapan ng isang insidente na nakakaapekto sa mga endpoint ng isang departamento, ang kaukulang IT manager ay maaaring maabisuhan.
Maaaring payagan ng automation ang mga lean team na magbigay ng 24/7 na saklaw kahit na wala silang lakas na magkaroon ng on-call analyst sa lahat ng oras. Ginagawang naa-access ang automation sa pamamagitan ng mga playbook – na eksaktong tumutukoy kung anong mga hakbang sa remediation ang dapat gawin ng AI tool bilang tugon sa ilang uri ng alerto at mga insidente.
Mga Priyoridad na Alerto at Pagtukoy sa Banta na Pinagana ng AI
Dahil ang mga modelo ng AI ay maaaring sanayin sa mga makasaysayang pag-atake – at maaaring magkaroon ng up-to-date na pag-unawa sa buong stack ng mga asset ng isang enterprise – nagagawa nilang ikategorya ang mga alerto ayon sa potensyal na blast radius. Lubos nitong binabawasan ang pasanin na inilagay sa mga manu-manong proseso ng SecOps na kung hindi man ay mangangailangan ng mahaba, mahirap na oras ng trabaho upang maitaguyod.
Ang pagkategorya ng alerto ay kumukuha ng malaking halaga panahon ng isang pamahalaang lungsod – sa kasong ito, ang bawat analyst ay inaasahang magpapatakbo ng kanilang sariling tool sa seguridad. Nag-iwan ito ng mga makabuluhang puwang na posibleng magamit ng mga kumplikadong vector ng pag-atake. Pinahintulutan sila ng AI-assisted triage na bawasan nang husto ang manual workload na hinihingi mula sa bawat analyst, na nagpapahintulot sa isang analyst na makarating sa ilalim ng isang insidente sa loob ng 10 minuto, sa halip na ilang araw.
Gayunpaman, ang aktwal na pag-alam kung saan at kung paano ipatupad ang AI sa SecOps ay kadalasang unang hadlang sa pagpapatupad.
Pinakamahuhusay na Kasanayan para sa Pagpapatupad ng AI sa SecOps
Tukuyin ang Mga Nasusukat na Layunin para sa Iyong AI deployment
Pinapaikot ng mga layunin ng SMART ang mundo – at ang pagtutok sa pagsukat ay susi sa pagtukoy at matagumpay na pagpapatupad ng bagong tool ng AI. Upang makuha ang pinakamahusay na ROI na posible, pinakamahusay na magsimula sa pamamagitan ng pagtukoy kung aling mga proseso ng SecOps ang kumukuha ng halos lahat ng oras ng iyong mga analyst.
Ito ay maaaring isang partikular na tool - tulad ng isang SIEM - o isang mas malawak na sukatan, tulad ng mean time to respond (MTTR). Maaaring ito ay isang hakbang sa daloy ng trabaho na kailangang sundin ng mga analyst o kawani ng IT pagkatapos maabot ng isang alerto ang kanilang inbox; ang mahalagang punto ay tiyaking matukoy kung aling bahagi ang nagdudulot ng pinakamalaking paghina. Ang prosesong ito ay bubuo ng isang larawan kung ano mismo ang papel na kailangang punan ng isang tool ng AI: kung ang isang pangunahing punto ng sakit ay umiikot sa pagtuklas ng asset, kung gayon ang isang AI firewall integration ay marahil hindi ang pinakamalaking priyoridad.
Pinakamainam din na simulan ang paggawa nito ng sama-samang pagsisikap. Ang pagsali sa mga C-level at iba pang executive na gumagawa ng desisyon ay mahalaga sa pagkamit ng pangmatagalang pagbabago, at makakatulong sila sa IT at seguridad na mailarawan ang mga pagbabago sa organisasyon na kinakailangan.
Isama ang AI sa Iyong Mga Umiiral na Tool at Workflow
Ang mga teknolohiya ng AI ay umuunlad sa mga kapaligirang mayaman sa data - ngunit kailangan nilang makuha ang data na iyon mula sa kung saan. Ang mga custom na pagsasama ay maaaring maging mahirap at matagal, kaya kapag tumitingin sa mga solusyon na nakabatay sa AI, tasahin ang kanilang kakayahang isama sa iyong mga kasalukuyang tool. Napakabihirang na ang isang organisasyon ay kailangang magsimula sa simula. Minsan, kung ang iyong SIEM, EDR, o firewall ay gumagana at maayos na – at ang mga pagbagal ay nagmumula sa sariling limitadong mapagkukunan ng mga analyst – pinakamainam na dagdagan ang iyong SIEM ng AI, sa halip na magsagawa ng kapalit.
Sa loob nito, huwag kalimutan na ang AI ay nangangailangan ng maraming data ng seguridad. Kung bubuo ka ng isang dataset mula sa simula, kakailanganin mong mamuhunan sa pagbuo ng isang matatag at nababanat na imprastraktura ng data, kasama ng mga mahigpit na protocol ng pamamahala. Ang isang malakas na imprastraktura ay nangangailangan ng pagpapatupad ng mga secure na solusyon sa imbakan, pag-optimize ng mga kakayahan sa pagproseso ng data, at pagtatatag ng mahusay na mga sistema ng paghahatid ng data upang suportahan ang real-time na pagtuklas at pagtugon sa pagbabanta. Sa kabilang banda, pinamamahalaan ng isang third-party na produkto ang lahat ng data na ito para sa iyo – ngunit tiyaking pinagkakatiwalaan mo ang provider.
Tune ang SecOps Team para Gumamit ng AI-Driven System
Bagama't kailangang maging flexible ang AI tool, dapat itong gumawa ng ilang pagbabago sa pang-araw-araw na gawain ng mga analyst – iyon ang dahilan kung bakit ito naroroon. Kailangang malaman ng mga naapektuhang koponan kung anong mga pagbabago ang kaakibat nito, at kung ano ang magiging hitsura ng sarili nilang mga daloy ng trabaho. Dahil hinihiling na ng SecOps ang komprehensibong pagsasanay sa pagpapatakbo ng seguridad, dapat ay pamilyar na sila sa mga balangkas ng mga patakaran at pamamaraan. Sa parehong paraan, ang pag-update ng AI ay kailangang hatiin ang mga proseso sa mga masusukat na aksyon at malinaw na gabay.
Sa sinabi nito, isaalang-alang ang mga set ng kasanayan at karanasan ng mga kasalukuyang miyembro ng SecOps – kung may ilang mas bagong miyembro ng team na nakakakuha pa rin ng kanilang mga guhit, isaalang-alang ang pagpili ng AI tooling na madaling lapitan at gabayan sila sa mga automated na pagkilos o proseso ng alerto na ginawa nito. Nagbibigay-daan ito sa kanila na bumuo ng kanilang sariling kumpiyansa kapag humaharap sa mga banta. Ang transparency ay bumubuo rin ng higit na tiwala sa pagitan ng pangkat ng tao at ng AI analysis engine, habang pinapayagan din ang paghatol ng AI na maayos sa paglipas ng panahon.
Bumuo ng mga playbook
Ang mga Playbook ay ang pundasyon ng pagpapatupad ng seguridad ng AI, at habang ang isang AI tool ay maaaring may kasamang ilang mga nauna nang naitatag, pinakamainam na kasanayan na bumuo o baguhin ang iyong sarili, ayon sa partikular na kaso ng paggamit na kailangan mo.
Bilang halimbawa, kung ang isang koponan ay nakikitungo sa maraming panlabas na komunikasyon sa email, mahalagang bumuo ng ilang playbook upang partikular na mahawakan ang banta ng email phishing. Sa kasong ito, nade-detect ng isang central AI platform ang kahina-hinalang grammar o metadata ng isang phishing email, na nagti-trigger sa nauugnay nitong playbook. Sa kasong ito, awtomatikong ibinubukod ng playbook ang email – o ang mismong endpoint kung may ebidensya ng kompromiso – at pagkatapos ay magti-trigger ng pag-reset ng password. Ang isang mensahe ay ipinapadala sa kaukulang admin ng seguridad, na tumatanggap ng lahat ng impormasyong iyon na naka-package sa isang alerto. Ang mga playbook na kailangan ng iyong AI model ay nakadepende sa sariling setup at mga responsibilidad ng iyong organisasyon.
Sama-sama, tinitiyak ng pinakamahuhusay na kagawiang ito ng AI-driven na SecOps ang isang maayos na paglipat sa AI-driven na SecOps, habang naghahatid ng maximum ROI.
Paano Pinapaganda ng Stellar Cyber ang AI SecOps
Automated Incident Detection
Inaalis ng Stellar Cyber ang pag-asa sa manu-manong pagtuklas ng pagbabanta at pagkakakilanlan ng pagbabanta batay sa panuntunan maramihang mga layer ng AI.
Ang una sa mga AI na ito ay nakatuon sa pagtuklas: Ang pangkat ng pananaliksik sa seguridad ng Stellar Cyber ay gumagawa at nagsasanay ng mga pinangangasiwaang modelo gamit ang isang halo ng mga dataset na available sa publiko at panloob na nabuo. Ang mga zero-day at hindi kilalang banta ay nakikita sa pamamagitan ng parallel unsupervised machine learning models. Ang mga modelong ito ay nagtatatag ng baseline ng network at gawi ng user sa loob ng ilang linggo. Kapag na-ingeet na ang mga signal ng data, iniuugnay ng isang GraphML-based AI ang mga detection at iba pang signal ng data, na awtomatikong nagli-link ng mga nauugnay na punto ng data upang tumulong sa mga analyst. Sinusuri nito ang lakas ng koneksyon sa pagitan ng iba't ibang mga kaganapan sa pamamagitan ng pagsusuri ng mga katangian, timing, at mga pattern ng pag-uugali.
Iba pang mga anyo ng AI ay batay sa tuktok ng mga pangunahing kakayahan sa pagtuklas. Nagdadala sila ng higit na accessibility at mga kakayahan sa pagtugon sa mga organisasyong pinapagana ng Stellar Cyber.
Gawing Naa-access ang SecOps
Ang lahat ng real-time na data ng seguridad ng isang organisasyon ay kinakatawan sa dalawang pangunahing format: ang una sa kill chain na matatagpuan sa dashboard, at ang pangalawa ay sa pamamagitan ng Copilot.
Ang XDR Kill Chain dashboard ay nagsisilbing default na homepage para sa Stellar Cyber, na nag-aalok ng isang sentralisadong view ng pangkalahatang panganib at nakitang mga banta. Nagbibigay-daan ito sa mga mabilisang pagtatasa sa pamamagitan ng pagbibigay ng mga drilldown sa mga aktibong insidente, mga asset na may mataas na peligro, at mga taktika sa pag-atake. Ang naka-streamline na diskarte na ito ay tumutulong sa mga security team na bigyang-priyoridad ang mga kritikal na isyu, anuman ang kanilang mga indibidwal na focal point na maaari pang pag-aralan.
Ang Copilot AI, sa kabilang banda, ay isang LLM-based na imbestigador na nagpapabilis sa mga proyekto ng sariling pagsusuri ng pagbabanta ng mga analyst sa pamamagitan ng pagbibigay ng agarang tugon sa mga query. Ginagawa nitong perpekto para sa mabilis na pagkuha at pagpapaliwanag ng data, pagsasama-sama pa ng tool sa loob ng mga proyekto ng SecOps.
Omni-surface Visibility
Ang stellar cyber ay kumukuha ng mga log at data ng seguridad sa pamamagitan ng maraming uri ng mga sensor. Ang network at mga sensor ng seguridad ay kumukuha ng metadata mula sa mga pisikal at virtual na switch habang pinagsasama-sama ang mga log para sa komprehensibong visibility. Sinusuri ng Deep Packet Inspection (DPI) nito ang mga payload nang mabilis. Ang mga sensor ng server, sa kabilang banda, ay nakakakuha ng data mula sa mga server ng Linux at Windows, na kumukuha ng trapiko sa network, mga utos, mga proseso, mga file, at aktibidad ng application. Asahan ang buong compatibility mula sa Windows 98 lampas, at mga pamamahagi ng Linux tulad ng Ubuntu, CoreOS, at Debian.
Ang platform ay nakaupo saanman kailangan ang visibility: cloud-based man, hybrid, o ganap na nasa lugar – o base sa nangungupahan – isinasama ng Stellar Cyber ang data mula sa kahit saan.
Advanced na Tugon AI
Ang mga kakayahan sa pagtugon ng Stellar Cyber ay nagpapalawak ng pagsasama ng tool sa mga umiiral nang tool sa seguridad: sa halip na simpleng pag-ingest ng data, gayunpaman, maaaring awtomatikong kumilos si Stellar sa pamamagitan ng parehong mga tool na iyon.
Dahil nakatuon ang Stellar sa mabilis na pagpapatupad, ipinadala ito ng 40 pre-built na threat hunting playbook na sumasaklaw sa buong pag-atake—gaya ng mga pagkabigo sa pag-log in sa Windows, pagsusuri sa DNS, at Microsoft 365. Ginagawa nitong mas madaling ma-access ang pagtuklas at pagtugon sa pagbabanta, kahit para sa mga team na walang malalim na kadalubhasaan sa seguridad.
Walang putol na isinasama ang Stellar Cyber sa mga firewall, endpoint na seguridad, pagkakakilanlan at mga tool sa pamamahala ng access, ticketing system, at mga app sa pagmemensahe upang sukatin ang mga pagpapatakbo ng seguridad. Para sa mas advanced na mga pangangailangan sa orkestra, sinusuportahan nito ang pagsasama sa nangungunang SOAR platform para sa streamlined at mahusay na pagtugon sa pagbabanta. Tinatangkilik ng mga Stellar Cyber-powered na negosyo ang butil na kontrol sa mga trigger, kundisyon, at output ng bawat playbook – na nagbibigay-daan sa kanila na malapit at maayos na sundin ang mga pinakamahuhusay na kagawian sa SecOps. Maaaring i-deploy ang mga Playbook sa buong mundo o sa bawat nangungupahan.
I-explore ang Stellar Cyber AI SecOps
Platform ng Stellar Cyber pinapasimple ang paggamit ng AI sa SecOps sa pamamagitan ng pagtutok sa mabilis na pagpapatupad. Binibigyang-daan nito ang mga negosyo na makamit ang mas epektibo, mahusay na mga operasyong panseguridad nang walang proseso ng pagpapatupad na matagal o hinarangan ng vendor. Ang mga kakayahan sa pag-automate nito ay magagamit sa labas ng kahon - upang galugarin ang kapaligiran at mga kakayahan ng Stellar Cyber, iskedyul ng isang demo.
