AI XDRAng 6 na Benepisyo ng AI-Driven XDR
Ngayong segundo, ang mga application at server na bumubuo sa tech stack ng iyong organisasyon ay gumagawa ng tuluy-tuloy na stream ng impormasyon. Ayon sa kaugalian, ang patuloy na daloy ng data na ito ay dating bangungot ng isang propesyonal sa seguridad. Ang paglaban sa mga barrage ng log files ay isang walang tigil na digmaan sa nakalipas na ilang dekada, na ganap na isinagawa sa ilalim ng radar ng mga pang-araw-araw na end user.
Kahit ang maliliit na organisasyon na sumusubaybay lamang sa mahahalagang sukatan ay nakakaipon ng malaking dami ng datos ng log. Sa kabilang banda, ang malalaking korporasyon ay maaaring makaipon ng daan-daang gigabytes na halaga ng impormasyon sa pag-log araw-araw. Sa kasalukuyan, maraming organisasyon ang umaasa sa ilang iba't ibang solusyon – tulad ng Impormasyon sa Seguridad at Pamamahala ng Kaganapan (SIEM) at Network Detection and Resolution (NDR) – para makontrol ang lahat. Parehong solusyon ang tumutugon sa isyung ito sa pamamagitan ng pagsasama-sama ng log data mula sa buong saklaw ng network, at pagpapadali sa mga ito sa mga alerto. Gayunpaman, pareho silang may mga limitasyon: ang kumplikadong pag-setup at pamamahala at mataas na false positive rates ay nagpapanatili sa mga security analyst na nasa bingit ng panganib sa pagitan ng epektibong pamamahala ng banta at ng napakaraming patuloy na alerto. Naghihirap pa rin ang seguridad dahil sa mga tool silo.
Upang matugunan ang mga hamong ito, ang Pinalawak na Pagtuklas at Pagtugon (XDR) ay lumitaw. Ang pokus nito ay sa mas malalim na pag-zoom out sa pamamagitan ng paghahambing ng mga log file sa iba pang mahahalagang piraso ng datos ng seguridad. Enter, AI integration: cutting-edge analysis ng iyong buong network na nagbibigay-konteksto sa bawat alerto sa loob ng sarili nitong natatanging mga limitasyon. Sa pamamagitan ng pag-iisa ng data mula sa iba't ibang mga layer ng seguridad, XDR nangangako ng mabilis na pagbuti sa iyong mga kakayahan sa pagtuklas at pagtugon.
Tatalakayin ng artikulong ito kung paano ito gumagana, at kung ang AI ay pinapagana XDR sulit talaga ang hype.
Gartner XDR Gabay sa Market
XDR ay isang umuunlad na teknolohiya na maaaring mag-alok ng pinag-isang kakayahan sa pag-iwas, pagtuklas, at pagtugon sa banta...
Damhin ang AI-Powered Security in Action!
Tuklasin ang cutting-edge AI ng Stellar Cyber para sa instant na pagtuklas ng pagbabanta...
Ano nga ba ang Eksaktong Pinapatakbo ng AI XDR?
Una, ating tukuyin kung ano XDR ay.
XDR ay isang uri ng teknolohiya sa seguridad na pinagsasama-sama ang mga teknolohiya sa seguridad na nasa iyong toolkit upang maging isang magkakaugnay at maayos na kabuuan. Dahil dito, XDR Nag-aalok ng mas malawak na kakayahang makita ang seguridad ng lahat ng asset at device at kayang matukoy at tumugon sa mga banta sa real-time.
Nag-aalok ang AI ng ilang malaking benepisyo sa loob nito, salamat sa kakayahang makakita ng iba't ibang anyo ng pag-uugali. Halimbawa, kunin ang tradisyunal na antivirus: kung ang isang user ay magda-download ng isang malware-loaded na file, ang tradisyunal na malware defense ay maaari lamang i-scan ang file upang subukan at maghanap ng isang set, paunang kinikilalang pattern ng mga byte na nagpapahiwatig ng isang kilalang malware. Gayunpaman, ang polymorphic at novel strain ng malware ay nagdulot ng ilang matinding butas sa ganitong paraan ng pagtatanggol. Ang AI space ay higit na nalampasan ito, salamat sa isang kakayahang pag-aralan ang inaasahang gawi ng isang file, user account, o network device.
Hinihimok ng AI XDRAng pamamaraan ng static analysis hinggil sa kahina-hinalang pag-uugali ay maaaring hatiin sa dalawang larangan: static at dynamic. Kinukuha ng static analysis ang mababang antas ng impormasyon tungkol sa kaganapan – tulad ng mga system call, at ang mga control at data flow graph. Nakakatulong ito na magbigay ng antas ng lalim sa isang alerto o kaganapan, nang hindi gumugugol ng masyadong maraming oras sa bawat alerto. Sa kabilang banda, ang dynamic analysis ay nagbibigay-daan para sa isang kahina-hinalang network device o file na masuri mula sa isang runtime POV. Para sa isang piraso ng malware, nakikita nito ang isang kahina-hinalang file na isinasagawa sa isang sandbox, upang masuri nang hindi naaapektuhan ang mga tunay na sistema ng produksyon.
Upang higit pang mailarawan kung paano binabago ng generative AI ang mga kakayahan sa seguridad sa buong field, isaalang-alang ang paggamit nito sa pagtukoy ng mga nakompromisong account. Nang walang pag-asa sa data ng pagsasanay na may manu-manong label, binuo ang mga naunang proyekto ng AI upang mangolekta ng aktibidad sa pag-login ng user sa network, at bumuo ng isang modelo na hinuhulaan ang inaasahang baseline ng aktibidad. Halimbawa, kung ang isang user ay kailangang subukang mag-log in muli pagkatapos ng isang pagkabigo, inaasahan na ang IP address at oras ay mananatiling halos pare-pareho. Kung totoo ang mga iyon, pinananatiling mababa ang nauugnay na marka ng panganib. Kung ang IP address, oras ng pagsubok sa pag-login, o bilang ng mga pagtatangka sa pag-login ay magsimulang lumaki nang higit sa inaasahang baseline, iha-highlight ito ng modelo bilang kahina-hinala.
Ang unang matagumpay na pagpapakita nito ay naganap sa Microsoft's Project Qidemon sa 2021 – nang subukan ang modelo sa totoong datos, matagumpay nitong na-highlight ang pitong nakompromisong account sa isang pool ng 20,000 user. Bumilis lamang ang ebolusyon ng generative AI sa loob ng tatlong taon mula noon. XDR Ang mga solusyon ay nakatuon sa pagsasama-sama ng mga natatanging aplikasyon ng AI, at nagbibigay ng antas ng cross-referencing sa pagitan ng mga dating magkakaibang larangan ng seguridad. Sa panimula, XDR ay tungkol sa pagpapahintulot sa data mula sa isang lugar – tulad ng pag-iwas sa malware – na makaimpluwensya sa mga kakayahan sa pagtukoy ng remediation sa loob ng isa pa – tulad ng proteksyon ng account. Bagama't ang dalawang halimbawang ito ay nagbibigay lamang ng mabilisang sulyap sa mga umuunlad na benepisyo ng AI, nakakatulong ang mga ito na ipaliwanag kung paano XDR Ang mga sistema at AI ay umiiral nang magkasabay, pinapanatili ang kabuuan ng iyong tech stack na nakikinabang mula sa lumalaking kahusayan ng larangan.
Ang mga Benepisyo ng AI-Drive XDR
AI-hinimok XDR Ang mga benepisyo ay maaaring hatiin sa tatlong pangunahing larangan: pagsusuri ng datos, pagtuklas ng banta, at pagtugon sa pag-atake. Ang bawat isa sa mga larangang ito ay sumailalim sa mabilis na ebolusyon simula nang ipatupad ang arkitektura at pagsusuri ng AI.
Data ng Pagsusuri
Ang pag-access sa komprehensibong data ng seguridad ay palaging isang pundasyon para sa mga pangkat ng seguridad na nakikibahagi sa iba't ibang kritikal na aktibidad, kabilang ang pagsubaybay sa mga patuloy na pag-atake, pagsasagawa ng mga pagsusuri sa forensic pagkatapos ng insidente, at pagsasagawa ng mga operasyon sa pangangaso ng pagbabanta. Ang mga gawaing ito ay humihiling ng kakayahang maunawaan ang patuloy na daloy ng data ng kaganapan at mga pahintulot na nagmumula sa bawat app, user, at server.
Noong nakaraan, ang mga estadistiko at mga naunang tagapanguna sa agham ng datos ay madalas na umaasa sa limitadong mga subset ng datos, na gumagamit ng mga sample na kumakatawan ngunit hindi komprehensibo. Ito ay pagkatapos ay unti-unting bubuo sa static, rule-based security architecture. XDR Muling pinag-uusapan kung paano ginagamit ang datos sa loob ng pilosopiya ng seguridad ng iyong organisasyon na may dalawang benepisyo sa pagsusuri: ang arkitekturang pinagbabatayan nito; at ang analysis engine.
Pagtaas ng Data Lakes
Bahagi ng dahilan ng biglaang paglabas ng AI sa mainstream ay ang pagbuo ng mga warehouse ng data sa mga lawa ng data. Ang dating diskarte ay nagse-segment ng data sa mga hierarchical na file - ginagawa itong mahusay para sa paggamit ng tao - ngunit ang mga lawa ng data ay nag-flat out sa mga hierarchy ng file sa isang napakalaking pool ng data. Naka-host sa uber-efficient na arkitektura, ang laki ng data sa aming pagtatapon ay mas malaki kaysa dati.
Bilang resulta, ang mga analyst ay binibigyan ng kakayahang makipag-ugnayan sa mga malawak na dataset sa kabuuan ng mga ito. Ang pagbabagong ito ay nagbibigay-daan sa isang mas malalim na pagsisid sa buong kumplikado, mga nuances, at mga detalyadong aspeto ng data, na iniiwasan ang pangangailangan para sa pag-asa sa mga kinatawan lamang na mga sample.
Bukod pa rito, ang kahusayan ng mga data lake ay nagbibigay-daan sa AI-enabled XDR upang maiwasan ang marami sa mga isyung kinakaharap ng mga nakaraang sistema ng seguridad, at magbigay ng malalim na pananaw sa natatanging hanay ng mga sistema ng seguridad ng iyong organisasyon. Sa pamamagitan ng muling pagpoposisyon ng datos ng seguridad sa isang sentralisado at patuloy na ina-update na database, handa na ang yugto upang gamitin ang pangalawang pangunahing bahagi ng XDR SA.
Ang Engine ng Pagsusuri
Bagama't binibigyan ng mga data lakes ang AI ng kakayahang ma-access ang malawak na bahagi ng data ng seguridad ngayon, nariyan pa rin ang bahagi ng ML ng tool. Sa pangkalahatan, ang Machine Learning ay gumagamit ng mga kumplikadong mathematical algorithm upang matukoy ang mga ugnayan sa pagitan ng iba't ibang elemento at kategorya. Binibigyang-daan ng computational analysis na ito ang mga system na matuto mula sa data, nagpoproseso ng bilyun-bilyong data point upang bumuo ng pinakamainam na tugon sa mga bagong instance ng data at magtatag ng mga maaasahang pattern sa paglipas ng panahon.
para XDR, ang prosesong ito ay partikular na mahalaga dahil sa mga hamong kinakaharap ng mga tao sa pagsusuri ng malalaking dami ng datos at pagtukoy ng mga pattern o anomalya, ang mga teknolohiya ng AI at ML ay nag-aalok ng napakahalagang tulong. Ang mga teknolohiyang ito ay mahusay sa mabilis na pagproseso at pagtatasa ng iba't ibang anyo ng datos, tulad ng impormasyon ng network packet, mga log ng kaganapan sa seguridad, at source code. Ang agarang pangangailangan para sa pagkilala ng pattern at pagsusuri ng pag-uugali sa mga operasyon ng seguridad at pamamahala ng peligro ay nagbibigay-diin sa lumalaking pag-asa sa AI at ML sa mga larangang ito, na nagpapakita ng kanilang kritikal na papel sa pagpapahusay ng mga hakbang sa cybersecurity.
Pagbanta sa pagbabanta
Ang sopistikadong framework ng AI ay mahusay sa pag-filter sa mga dataset na nakuha mula sa napakaraming source sa loob ng digital ecosystem ng isang organisasyon, kabilang ang trapiko sa network, mga endpoint, cloud environment, at application logs. Ang pinag-isang dataset na ito ay nagbibigay-daan sa isang antas ng pagtuklas ng banta na higit sa karaniwan at siled na mga tool sa seguridad.
Katulad ng pag-atras ng AI upang tipunin at suriin ang bawat piraso ng datos, ang larangan ng XDR Nilalayon ng tooling na lumayo mula sa nakakabagot na mga indibidwal na tooling sa seguridad. Sa halip, XDR Ginagamit ang malawak na dami ng datos na ito upang mabilis na masuri ang aktibidad at matukoy ang anumang nakababahalang aktibidad na maaaring maiugnay sa mas malawak na mga pattern ng malisyosong pag-uugali.
Bilang paglalarawan, isaalang-alang ang mga umaatake na nakapagtatag na ng koneksyon sa isang command and control server. Maaaring na-encrypt ng mga medyo advanced na umaatake ang mga channel na ito, na nagdudulot ng mas malaking panganib, dahil ang iyong SOC Mahihirapan ang koponan na matukoy ang mga masasamang sesyon mula sa daan-daang iba pang lehitimong sesyon sa isang araw. Ang mga modelo ng ML ay mainam na nakalagay upang matukoy ang mga malisyosong beacon (ibig sabihin, mga regular na pagsabog ng trapiko na kinabibilangan ng pare-parehong dami ng data) na nakikipag-usap sa mga panlabas na domain. Mas mabuti pa, ang pagkakakilanlang nakabatay sa pag-uugali na ito ay hindi nangangailangan ng decryption.
AI XDR nagpapahintulot sa mga hakbang sa pagkilala tulad ng nasa itaas na magamit sa mas kumplikado at magkakaugnay na mga ibabaw ng pag-atake. Bagama't maaaring gayahin ng isang tipikal na solusyon sa seguridad na nakabatay sa network ang proseso ng pagkilala sa banta na ating tinalakay, tanging isang XDR maaaring mag-ugnay ng ebidensya ng pag-click sa isang link na naka-embed sa loob ng isang email; pansinin ang access sa site ng isang device ng kumpanya, tukuyin ang hindi pangkaraniwang aktibidad ng pag-download – at panghuli ay iugnay ito sa mga pattern ng network na nagpapahiwatig ng isang command and control server.
Ang papel ng AI sa XDR Nagmamarka ng isang transformatibong pagbabago tungo sa mga proaktibong kasanayan sa seguridad, na nagbibigay-kapangyarihan sa mga organisasyon na maunahan at manatiling nangunguna sa kabila ng patuloy na nagbabagong mga banta sa cyber. Ang isang pangunahing bentahe ng AI sa kontekstong ito ay ang kapasidad nito para sa patuloy na pagkatuto at pag-aangkop sa pamamagitan ng mga diskarte sa malalim na pagkatuto. Habang umuunlad ang sistema gamit ang mga bagong datos at nagbabagong tanawin ng banta, hindi lamang nito pinapabuti ang katumpakan ng pagtuklas ng banta kundi binabawasan din ang insidente ng mga maling positibo. Ang pinong pag-unawa sa banta na ito ay nagbibigay-daan sa mga pangkat ng seguridad na magtuon sa mga tunay na panganib, sa gayon ay pinapahusay ang kahusayan sa pagpapatakbo at mga oras ng pagtugon, na nagmamarka ng isang makabuluhang pagsulong sa mga operasyon sa cybersecurity.
Pagtugon sa Pag-atake
AI XDRAng epekto nito ay hindi lamang limitado sa yugto ng pagtukoy: ang abot nito ay nagpapatuloy sa buong proseso ng triage at pagtugon.
Pananaw sa Root Cause
Sa pamamagitan ng pagbibigay ng malalim na pananaw sa mga ugat ng mga insidente at pagbabalangkas ng pagkakasunud-sunod ng pag-atake, pinapagana ng AI XDR Ang mga kagamitang ito ay nagbibigay-daan sa mas mabilis at mas mahusay na mga imbestigasyon. Pinapabilis nito ang proseso mula sa pagtuklas hanggang sa pagtugon, na tumutulong sa mga organisasyon na mabilis na maunawaan at mabawasan ang mga epekto ng mga paglabag sa seguridad.
Pag-aalerto sa Priyoridad
Bagama't ang mga kagamitan sa seguridad ay karaniwang nagkakaroon ng tendensiyang magpaulan ng walang katapusang mga alerto sa mga analyst, XDR ay may natatanging posisyon upang ihambing ang isang alerto sa mga kaugnay na daloy ng datos at mga aktibidad na nakapalibot dito. Ang kontekstong pokus na ito ay makabuluhang nakakabawas sa pasanin ng mga pangkat ng seguridad sa pamamagitan ng pag-automate ng proseso ng triage, na nagpapahintulot sa kanila na unang tumuon sa mga pinakamahalagang alerto.
Awtomatikong Tugon
Pina-streamline ng AI ang pagtugon sa mga insidente ng seguridad sa pamamagitan ng awtomatikong pagsasagawa ng mga aksyon tulad ng paghiwalay ng mga nakompromisong device, pagharang sa mga nakakahamak na aktibidad, at pagpapatupad ng mga hakbang sa remediation sa real-time. Ang mabilis na kakayahang tumugon na ito ay nagpapaliit sa potensyal na epekto ng mga pagbabanta at tinitiyak na ang mga hakbang sa seguridad ay mabilis na naisabatas nang may mas kaunting mga kahilingan para sa manu-manong interbensyon.
Bakit Pinapatakbo ng AI XDR pagpapalit SIEM?
Ang salik na nagtutulak sa XDRAng kasalukuyang tagumpay ng AI engine nito ay ang panloob na AI engine nito. Taglay ang walang kapantay na kakayahang ihambing ang daan-daang datapoint na nakapalibot sa bawat alerto – at may malalim at napapasadyang dashboard na tumutugma – ang mga tagapamahala na may kamalayan sa badyet ay napakalapit na lamang sa muling pagsusuri sa pangangailangan ng iba pang bahagi ng cybersecurity tech stack. May mabuting dahilan: ang paglawak ng mga tool ay naging isang alalahanin sa loob ng mahigit kalahating dekada na ngayon, dahil sinubukan ng malalaking organisasyon na punan ang kakulangan sa kasanayan sa cybersecurity gamit ang maraming hyper-specific na tool. Gayunpaman, mas maraming tool ang nadagdag lamang sa mga daloy ng trabaho ng mga analyst – sa halip na isang makinang bumubuo ng alerto, kailangan nilang harapin ang dose-dosenang mga tool. Gayunpaman, ngayon, itinutulak ng AI ang pag-unlad ng cybersecurity lampas sa hyper-specific, niche tooling at patungo sa pangkalahatang, mataas na antas ng pag-unawa.
Nagsimula na ang rebolusyon ng konsolidasyon - Mga hula ni Gartner sa 2024 ipakita na sa loob ng susunod na tatlong taon, 70% ng mga organisasyon ay magkakaroon ng pinagsamang mga tool sa pag-iwas sa pagkawala ng data at pag-iwas sa panganib ng insider sa konteksto ng IAM. Ang pagkilala sa potensyal na data ng pag-atake ay nagiging higit na nakatuon sa gawi, at nagbibigay-daan sa mga security team na mag-isyu ng mga iisang patakaran na may dalawahang epekto sa parehong seguridad ng data at panganib ng insider.
SIEM Karaniwang ipinagmamalaki ng mga kagamitan ang kanilang mga sarili sa detalyadong antas ng impormasyon na maaaring makuha mula sa pagsusuri ng log. Gayunpaman, ang mga modernong AI-driven XDR Isinasama ng tooling ang parehong pag-intake at pagsusuri ng log data – kasama ang marami pang iba. Sa pamamagitan ng pagkuha at pagsusuri ng lahat ng security data sa loob ng iisang repositoryo, tradisyonal SIEM nagsisimula nang magmukhang lipas na ang mga kagamitan. Habang ang susunod na henerasyon SIEMSimula noon ay nagsimula nang ipatupad ang sarili nilang mga modelo ng AI – upang makatulong sa pag-aralan ang kasaganaan ng data ng log na kanilang kinokolekta – ang mas malawak na saklaw ng XDR mga karagdagang dahon SIEM sa alikabok. Sa halip na suriin lamang ang datos ng log, XDR tumatagal SIEMmga indibidwal na datapoint at isinasakonteksto ang mga ito sa mas malawak na konteksto ng network at aktibidad ng user.
Paano AI XDR Binabawasan ang mga Maling Positibo
SIEM, mga tool sa proteksyon ng email, at mga firewall ay kilalang-kilala sa dami ng mga alertong pinapagana ng mga ito. Dahil walang konteksto o ugat na kasama, ang human analyst ay naiiwang kailangang unawain ang dumaraming bilang ng mga alerto. Ang pagsubaybay sa mga apektadong user at pagtukoy kung ito ay tunay na malisyosong aktibidad ay nangangailangan ng oras: nag-iiwan ng mas maraming oras para sa iba pang mga alerto na maipon, at makahadlang sa tunay na pagtuklas ng banta.
Nangungunang nakabatay sa AI sa merkado XDR Ang mga solusyon ay nag-aalok ng isang paraan upang balansehin ang kayamanan ng datos na magagamit nila sa sariling kakayahan ng mga security analyst. Upang makamit ang pinakamataas na antas ng seguridad nang hindi isinasakripisyo ang sensitibidad, XDRTumatanggap ng mga alerto ang mga ito at iniuugnay ang mga ito sa mga kaugnay na asset, user, at signal – ang magkakaugnay na kabuuan na ito ay isang Insidente. Habang lumalabas ang mga bagong alerto, awtomatikong itinatalaga ang bawat isa sa mga kaugnay na insidente nito. Sa ganitong paraan, matutuklasan at maaaksyunan ang mga kumplikadong pag-atake, habang ang mga isahanang maling alarma ay hindi isinasama sa usapan.
Ang kakayahang subaybayan ang isang kuwento ng pag-atake sa buong device, pagkakakilanlan ng gumagamit, o pag-deploy ng cloud ay nangangahulugan na ang mga security analyst ay maaaring humawak ng mas maraming bilang ng mga alerto sa mas magkakaugnay na paraan. Sa pamamagitan ng pagsusuri sa mas malawak na konteksto ng mga alerto, ang AI-based XDR mahalagang nababawasan ang malaking pag-aaksaya ng oras, na nagbibigay-daan sa mga lean security team na mag-concentrate sa pag-remediate ng mga pinakakritikal na banta sa lalong madaling panahon. Ang incident-first na pamamaraang ito ang nangunguna sa pinasimpleng security tech stacks, mabilis na remediation, at mga analyst na hindi gaanong stressed. Tuklasin ang higit pa tungkol sa kung paano ang Stellar Cyber's Mga alerto na pinapagana ng AI magtrabaho ka dito.
Piliin ang Advanced, AI-Driven Threat Detection
Sa kung magkano ang isang XDR Dahil ang solusyon ay umaasa sa cross-channel visibility, mahalaga na ang solusyong pinag-uusapan ay manatiling bukas at lubos na maipapatupad. Sa halip na maikulong sa tech stack ng isang vendor, ang Stellar Cyber ay bukas XDR Nagbibigay ng makabagong pagtukoy ng banta sa iyong dati nang arkitektura. Binabago nito ang mga siloed operation na maaaring mayroon ka na tungo sa isang ganap na unibersal na tool sa EDR.
Habang ang pangunahing AI-driven XDR Malaki ang pakinabang ng tool na ito sa mga lean cybersecurity team, ang pangako ng Stellar Cyber sa mga security analyst ay nakasaksi ng karagdagang mga generative na pagsulong sa AI. Ngayon, binibigyan pa nga ng kakayahang magtanong ang mga analyst na may kaugnayan sa imbestigasyon sa mismong tool. Sa pagtugon gamit ang mga usapan, ang tooling ay nagbibigay-daan sa mga analyst na may mga kasanayan pa lamang na umuunlad – o limitadong oras – na masulit ang katalinuhan ng tool nang mas mabilis kaysa dati.
Tuklasin ang higit pa tungkol sa aming buksan XDR mga kakayahan at simulang ilabas ang buong potensyal ng iyong security team.
