Sa panahon kung saan binabago ng Artificial Intelligence (AI) ang bawat sektor, kabilang ang larangan ng cybersecurity, ang pagiging dalubhasa sa AI ay hindi na opsyonal—ito ay isang pangangailangan. Gaya ng kasabihan, "Hindi ka papalit sa AI, kundi papalit sa iyo ang isang taong gumagamit ng AI." Sa Stellar Cyber, niyakap namin ang pilosopiyang ito, isinasama ang AI sa bawat aspeto ng aming Security Operations Center (SOC) mga solusyon upang mapakinabangan ang bisa ng pagtukoy ng banta, kahusayan sa pagpapatakbo, at karanasan ng gumagamit.
Pag-maximize sa Kahusayan sa Pagtukoy sa Banta
Mula nang itatag kami noong 2015, nangunguna na kami sa pag-aampon ng AI sa mga operasyon ng seguridad (SecOps). Ang aming misyon ay palaging gawing naa-access ng lahat ang pagtukoy at pagtugon habang tinitiyak na ang lahat ng data, anuman ang pinagmulan nito, ay maaaring magamit sa real-time. Ang pangitaing ito ay natupad sa tinatawag ngayon na Open Extended Detection and Response (Open Extended Detection and Response).Open XDR). Ang aming Open XDR Kinokolekta ng solusyon ang datos ng seguridad mula sa anumang pinagmulan, tinitiyak ang malawakang kakayahang makita at nagbibigay-daan sa mahusay na pagtukoy ng banta. Sa pamamagitan ng paggamit ng unsupervised machine learning, pinapahusay namin ang aming mga modelo ng pagtukoy upang matukoy ang mga kumplikadong pattern ng pag-uugali at mga anomalya na maaaring hindi makita ng mga tradisyonal na pamamaraan. Ginagamit din namin ang supervised machine learning upang matukoy ang mga banta na may mga kilalang pattern tulad ng Domain Generated Algorithms (DGA). Ang mga pagtukoy na nakabatay sa machine learning na ito ay mahalaga sa kasalukuyang panahon ng mga banta, kung saan ang mga sopistikadong multi-stage na pag-atake ay nagiging mas karaniwan.
Pagpapahusay ng Operational Efficiency na may Correlation, GraphML, at Case-Centric Management
Sa Stellar Cyber, pinapakinabangan namin ang kahusayan sa pagpapatakbo sa pamamagitan ng paggamit ng Graph Machine Learning (GraphML) upang mapahusay ang mga operasyon sa seguridad sa pamamagitan ng sopistikadong ugnayan ng alerto. Ang pamamaraang ito ay humahantong sa isang makabuluhang pagbawas sa ingay, pagsasama-sama ng mga kaso at pagpapagana SOC mga analyst na pangasiwaan ang pinayaman na impormasyon sa halip na mapuno ng mga indibidwal na alerto. Nagreresulta ito sa isang malaking pagpapabuti sa kung paano inuuna, iniimbestigahan, at tinutugunan ng mga analyst ang mga banta.
Paggamit ng Pagkakatulad at Pag-uugnay
Ang GraphML ay mahusay sa pagkilala sa mga pagkakatulad at ugnayan sa pagitan ng iba't ibang entity sa loob ng iyong network. Sa pamamagitan ng pagmamapa ng mga ugnayan sa pagitan ng mga punto ng data, nakakatulong ang GraphML na makita ang mga pattern na maaaring hindi mapansin. Halimbawa, maaari itong kumonekta:
- Mga Entidad ng Gumagamit: Gaya ng Mga Session ID, Security Identifier (SIDs), at User Principal Names (UPNs), na maaaring i-link nang magkasama upang makita ang kahina-hinalang gawi ng user.
- Mga Entidad ng Device: Kasama ang mga device ID, pangalan ng file, folder, at registry key. Ang pag-uugnay ng aktibidad sa mga device ay nagbibigay-daan sa pagtuklas ng kumplikadong nakakahamak na aktibidad na sumasaklaw sa maraming endpoint.
- Email Entity: Tulad ng mga address, URL, at mga kalakip ng nagpadala at tatanggap. Sa pamamagitan ng pag-uugnay ng trapiko ng email, SOC maaaring matukoy ng mga analyst ang mga pagtatangka sa phishing o mga pag-atake batay sa email.
- Mga Pangkalahatang Entidad: Tulad ng mga IP address, cloud resources, at application ID. Ang pag-uugnay sa mga punto ng data na ito ay tumutulong sa pagtuklas ng mga pinagsama-samang pag-atake na bumabagtas sa mga network at cloud environment.
Ang pagsusuring ito ng pagkakatulad ay nagtutulak ng matalino at alertong ugnayan. Sa halip na mang-atake SOC Para sa mga pangkat na may mga nakahiwalay na alerto, pinagsasama-sama ng aming sistema ang mga kaugnay na alerto sa mga kaso, na ipinapakita ang mas malawak na larawan at ginagawang mas madali ang pagbibigay-priyoridad at pagkilos.
Pagsusuri ng Sanhi sa Pamamagitan ng Mga Representasyong Batay sa Graph
Ang GraphML ay nagbibigay-daan din sa pagtatasa ng sanhi, na mahalaga para sa pag-unawa sa kumplikado, maraming yugto ng pag-atake. Sa pamamagitan ng pagsusuri sa mga representasyong nakabatay sa graph ng data ng kaganapan, natuklasan ng aming system ang mga potensyal na ugnayang sanhi sa pagitan ng mga alerto. Halimbawa, ang isang phishing na email ay maaaring humantong sa isang nakompromisong endpoint, na sinusundan ng pag-ilid na paggalaw sa iyong network.
Ang pagsusuring ito ng sanhi ay nagbibigay-daan SOC mga analyst upang subaybayan ang pag-usad ng isang pag-atake at maunawaan ang pagkakasunod-sunod ng mga pangyayari, na nagbibigay-kapangyarihan sa kanila upang tumugon nang mas epektibo. Sa pamamagitan ng pagpapakita ng mga ugnayan sa pagitan ng mga pangyayari, maaaring pamahalaan ng mga analyst ang buong daloy ng pag-atake bilang isang pinagsama-samang kaso sa halip na harapin ang mga indibidwal na alerto nang hiwalay.
Ang pagsusuring ito ng sanhi ay nagbibigay-daan SOC mga analyst upang subaybayan ang pag-usad ng isang pag-atake at maunawaan ang pagkakasunod-sunod ng mga pangyayari, na nagbibigay-kapangyarihan sa kanila upang tumugon nang mas epektibo. Sa pamamagitan ng pagpapakita ng mga ugnayan sa pagitan ng mga pangyayari, maaaring pamahalaan ng mga analyst ang buong daloy ng pag-atake bilang isang pinagsama-samang kaso sa halip na harapin ang mga indibidwal na alerto nang hiwalay.
Real-World Application:
Sa isang praktikal na senaryo, tulad ng halimbawa sa ibaba, ang ating XDR Ginagamit ng sistema ang GraphML upang awtomatikong i-link ang mga alerto batay sa mga ibinahaging katangian tulad ng mga asset o property. Halimbawa, ang isang phishing URL na natukoy sa isang host ay humahantong sa pagtuklas ng mga kahina-hinalang paglikha ng proseso ng Windows at mga pagpapatupad ng command-line, na lahat ay bahagi ng isang mas malaki at mas kumplikadong pattern ng pag-atake.
Gumaganap ang GraphML:
- Awtomatikong Pag-uugnay ng Mga Alerto: Sa pamamagitan ng awtomatikong pag-uugnay ng mga alerto na nagbabahagi ng mga karaniwang elemento, tulad ng nagmula sa parehong host (192.168.56.23) o kinasasangkutan ng parehong mga entity (bravos, daenerys.targaryen), pinapasimple ng GraphML ang pagsusuri. Nakakatulong ito sa pagbuo ng magkakaugnay na salaysay sa paligid ng pag-atake nang walang manu-manong interbensyon.
- Holistic View ng Attack Vectors: Ang graph view na ibinigay sa aming XDR Inilalarawan ng platform ang mga koneksyon sa pagitan ng iba't ibang alerto tulad ng paggawa ng kahina-hinalang proseso at mga operasyon ng command line na humahantong sa paggamit ng mga PowerShell script, na mga tipikal na pag-uugali sa mga sopistikadong pag-atake ng malware.
- Pinahusay na Triage Efficiency: Gamit ang GraphML, SOC Hindi nabibigatan ang mga analyst sa mga nakahiwalay na alerto ngunit maaari nilang tingnan ang magkakaugnay na mapa ng mga malisyosong aktibidad, na nagpapabilis sa proseso ng triage. Nagbibigay-daan ito para sa mas mabilis na paghihiwalay at pag-aayos ng mga banta, sa gayon ay nababawasan ang mga potensyal na pinsala.
Mga Benepisyo sa Pagpapatakbo:
- Naka-streamline na Mga Daloy ng Pagtuklas: Sa pamamagitan ng pagpapakita sa mga analyst ng mas mataas na antas ng pagbuo ng mga naka-link na alerto, nakakatulong ang GraphML sa mas mabilis at mas tumpak na pagtuklas ng pagbabanta, na binabawasan ang oras na kinakailangan para sa manu-manong ugnayan.
- Nabawasan ang Pagkapagod sa Alerto: Ang teknolohiyang ito ay makabuluhang pinabababa ang bilang ng mga alerto na nangangailangan ng indibidwal na atensyon, binabawasan ang pagkapagod sa alerto at nagpapahintulot sa mga analyst na tumuon sa mga alerto na talagang mahalaga.
- Aktibong Pangangaso sa Banta: Ang kakayahang makita at maiugnay ang mga pattern ng pag-atake ay aktibong nakakatulong sa pag-asam ng mga potensyal na pag-atake sa hinaharap batay sa mga naobserbahang gawi, na nagpapahusay sa pangkalahatang postura ng seguridad.
Sa pamamagitan ng paggamit ng GraphML para sa alert correlation sa mga kumplikadong senaryo tulad ng mga ipinapakita sa halimbawa sa itaas, hindi lamang tinitiyak ng aming sistema ang kahusayan sa pagpapatakbo kundi pinapalakas din nito ang imprastraktura ng seguridad laban sa maraming aspeto ng mga banta sa cyber. Tinitiyak ng pinagsamang pamamaraang ito na SOC Ang mga pangkat ay may mga kagamitang kinakailangan upang epektibong harapin ang mga makabagong hamon sa cyber.
Pabilisin ang Pagsisiyasat sa Banta gamit ang Generative AI
Nakatuon din kami sa pag-optimize ng karanasan ng user sa pamamagitan ng pagsasama ng Generative AI. Isipin ang isang chatbot na nagbibigay-daan sa mga security analyst na makipag-ugnayan sa system at data gamit ang natural na wika. Katulad ng ChatGPT ngunit dalubhasa para sa mga pagsisiyasat sa seguridad, ang tampok na ito ay nagbibigay-daan sa mga analyst na magtanong at natural na ilarawan ang kanilang mga gawain.
Halimbawa, maaaring magtanong ang isang analyst, "Tukuyin ang mga abnormal na pag-uugali ng mga administrator ng system sa labas ng mga oras ng negosyo noong nakaraang linggo.” Isinasalin ng system ang query na ito sa isang tumpak na paghahanap kasama ang lahat ng kinakailangang pamantayan, tulad ng mga uri ng kaganapan, mga pribilehiyo ng user, at mga time frame. Ang mga analyst ay maaaring humiling ng mga visualization, tulad ng "Gumawa ng histogram ng nangungunang 10 user na nakatanggap ng pinakamaraming pagsubok sa phishing,” at awtomatikong bubuo ng chart ang system.
Ang aming layunin ay upang matiyak na ang AI ay nagsasama ng walang putol sa mga paraan ng komunikasyon ng tao. Sa pamamagitan ng pag-master ng wika ng tao, mauunawaan ng AI ang mga nuances at layunin, na nagpapahintulot sa mga user na tumuon sa kanilang mga pagsisiyasat nang hindi nauunawaan ang kumplikadong wika ng makina. Ang natural na pakikipag-ugnayan na ito ay nagpapalakas sa kahusayan at lalim ng proseso ng pagsisiyasat, na nagbibigay-daan sa mga analyst na lumikha ng malinaw na mga mapa ng isip ng mga kasalukuyang sitwasyon nang hindi nababahala tungkol sa pinagbabatayan ng mga kumplikadong data.
Halimbawa, maaaring magtanong ang isang analyst, "Tukuyin ang mga abnormal na pag-uugali ng mga administrator ng system sa labas ng mga oras ng negosyo noong nakaraang linggo.” Isinasalin ng system ang query na ito sa isang tumpak na paghahanap kasama ang lahat ng kinakailangang pamantayan, tulad ng mga uri ng kaganapan, mga pribilehiyo ng user, at mga time frame. Ang mga analyst ay maaaring humiling ng mga visualization, tulad ng "Gumawa ng histogram ng nangungunang 10 user na nakatanggap ng pinakamaraming pagsubok sa phishing,” at awtomatikong bubuo ng chart ang system.
Ang aming layunin ay upang matiyak na ang AI ay nagsasama ng walang putol sa mga paraan ng komunikasyon ng tao. Sa pamamagitan ng pag-master ng wika ng tao, mauunawaan ng AI ang mga nuances at layunin, na nagpapahintulot sa mga user na tumuon sa kanilang mga pagsisiyasat nang hindi nauunawaan ang kumplikadong wika ng makina. Ang natural na pakikipag-ugnayan na ito ay nagpapalakas sa kahusayan at lalim ng proseso ng pagsisiyasat, na nagbibigay-daan sa mga analyst na lumikha ng malinaw na mga mapa ng isip ng mga kasalukuyang sitwasyon nang hindi nababahala tungkol sa pinagbabatayan ng mga kumplikadong data.
Manatiling Nauna sa Cybersecurity
Upang manatili sa pinakadulo ng cybersecurity, patuloy kaming naninibago. Nakikinabang na ang aming mga user mula sa pinagsamang AI sa aming mga solusyon para makita at tumugon sa mga banta araw-araw. Sa hinaharap, plano naming ipakilala ang Generative AI para higit pang ma-optimize ang karanasan ng user sa mga paghahanap at pagsisiyasat. Para sa mga sabik na maranasan ang mga pagsulong na ito, nag-aalok kami ng maagang pag-access sa solusyon na ito simula ngayong tag-init.
Konklusyon
Ang pagsasama ng AI sa SOC Ang mga operasyon ay hindi lamang isang trend; ito ay isang kritikal na ebolusyon. Sa pamamagitan ng pag-master ng AI, maaaring lubos na mapahusay ng mga organisasyon ang kanilang pagtukoy ng banta, kahusayan sa operasyon, at karanasan ng gumagamit. Sa Stellar Cyber, binibigyang-kapangyarihan namin ang aming mga gumagamit na gamitin ang AI sa pinakamataas nitong potensyal, tinitiyak na mananatili silang nangunguna sa patuloy na nagbabagong larangan ng cybersecurity.
Tumawag sa Aksyon: Handa ka na bang tuklasin ang potensyal ng SOC automation at AI para sa iyong mga operasyon sa cybersecurity? Makipag-ugnayan sa amin ngayon sa [Our Contact Information] o bisitahin ang aming website upang mag-iskedyul ng personalized na konsultasyon. Sama-sama nating gamitin ang kapangyarihan ng AI para sa isang mas ligtas na kinabukasan.
