- Від скриптів до агентного ШІ в операціях безпеки
- Основні варіанти використання агентного ШІ, які мають найбільше значення
- Постійні перевірки відповідності та забезпечення дотримання політики
- Архітектурні шаблони, що поєднують агентний ШІ з XDR та SIEM
- Практичний шлях впровадження для керівників інформаційних систем середнього ринку
Реальні випадки використання штучного інтелекту агентів у кібербезпеці
Лідери у сфері безпеки середнього рівня стикаються з атаками корпоративного рівня, маючи значно менший штат і бюджет. Розростання інструментів, шумна телеметрія та постійні оновлення продуктів створюють крихку систему, яка вже перегрівається ще до першого критичного інциденту. Агентський ШІ з'являється саме в цьому контексті, а не в лабораторії.
Опитування показують, що близько 18 відсотків організацій середнього бізнесу повідомили про порушення безпеки за останній рік, причому програми-вимагачі вразили приблизно чверть цих фірм. У Великій Британії 45 відсотків середніх підприємств зіткнулися з кіберзлочинністю за останні 12 місяців, причому фішинг залишається домінуючою точкою входу. Збитки від порушення безпеки для середніх компаній зараз становлять в середньому близько 3.5 мільйона доларів за інцидент. Для нестабільної ІТ-групи та групи безпеки одна помилка може коштувати річного бюджету.
Цей тиск можна побачити в нещодавніх інцидентах. Атака програми-вимагача Change Healthcare у 2024 році порушила виставлення рахунків за медичне обслуговування в США по всій країні та, за прогнозами, коштуватиме материнській компанії UnitedHealth понад 2.3 мільярда доларів на реагування та відновлення, крім викупу в розмірі 22 мільйонів доларів. MGM Resorts повідомила про збитки від атаки 2023 року на суму понад 100 мільйонів доларів після того, як соціальна інженерія служби підтримки призвела до появи програми-вимагача на рівні домену. Витік національних публічних даних потенційно викрив 2.9 мільярда записів у 2024 році, що підкреслює, як одна компрометація може масштабуватися далеко за межі однієї компанії.
Як штучний інтелект та машинне навчання покращують кібербезпеку підприємств
З'єднання всіх точок у складному ландшафті загроз
Відчуйте безпеку на базі штучного інтелекту в дії!
Відкрийте для себе передовий штучний інтелект Stellar Cyber для миттєвого виявлення загроз та реагування на них. Заплануйте свою демонстрацію вже сьогодні!
Наведена вище стовпчаста діаграма підкреслює три прості факти. Порушення безпеки середніх організацій є поширеним явищем, кіберзлочини проти середнього бізнесу залишаються високими, а одне порушення може знищити роки інвестицій у безпеку. Для директора з інформаційної безпеки, який не може просто додати п'ятдесят аналітиків, розумніша автоматизація більше не є необов'язковою.
Для багатьох команд справжнім обмеженням є людська увага, а не інструменти. Типовий приклад SIEM or XDR Платформа видаватиме тисячі сповіщень на день, проте аналітики зможуть змістовно дослідити лише невелику їх частину. Дослідження штучного інтелекту SOC Розгортання показують, що командам часто доводиться зменшувати навантаження аналітиків на обробку сповіщень на 70-80 відсотків, щоб відновити контроль над операціями. Без цієї зміни важливі сигнали залишаються прихованими. Такі посібники, як «Найкращі платформи виявлення загроз», пояснюють, як цей потік сповіщень розвивався з часом.
Атаки на основі ідентифікаційних даних погіршують ситуацію. Verizon та інші дослідження оцінюють, що приблизно 70 відсотків порушень зараз починаються з викрадених або зловживаних облікових даних. Кампанії Salt Typhoon проти американських телекомунікаційних провайдерів залишалися непоміченими протягом одного-двох років, тоді як зловмисники використовували методи «живи за рахунок землі» та дійсні облікові записи для латерального переміщення по мережах. Витоки Snowflake у 2024 році торкнулися щонайменше 165 організацій, які використовували викрадені облікові дані без багатофакторного захисту. Ці інциденти безпосередньо узгоджуються з методами MITRE ATT&CK для початкового доступу, доступу до облікових даних, латерального переміщення та витоку, і виявляють прогалини, які традиційні правила сповіщень просто пропускають.
Впровадження хмарних технологій збільшує цей ризик. Інцидент Change Healthcare показує, як одна незахищена віддалена точка доступу в хмарно-підключеному середовищі може зупинити роботу критично важливих національних служб. Дослідження виявлення та реагування на хмарні технології документують, що неправильні конфігурації, надмірно дозвільні ролі та неконтрольовані облікові записи служб призводять до значної частини сучасних порушень хмарних технологій. Понад половина компаній повідомляють про значні інциденти безпеки хмарних технологій, пов'язані з прогалинами у видимості та дрейфом конфігурації. Такі ресурси, як посібник з виявлення та реагування на хмарні технології, детальніше досліджують ці закономірності.
Водночас, регуляторний тиск продовжує зростати. Компанії середнього бізнесу повинні демонструвати контроль, узгоджений з такими фреймворками, як NIST SP 800-207 для архітектури нульової довіри, а також зіставляти виявлення та покриття з MITRE ATT&CK для операційного підтвердження. Ради директорів тепер ставлять прямі запитання: які тактики ATT&CK охоплені, а які є прогалинами? Як швидко ізолюються високоризикові ідентифікаційні дані після підозри на компрометацію? Аналізатори покриття, узгоджені з MITRE ATT&CK, такі як ті, що описані у власних матеріалах Stellar Cyber, існують тому, що аудитори та страховики очікують кількісних відповідей.
На цьому тлі проста автоматизація за сценарієм допомагає, але її недостатньо. Вона спрощує окремі завдання. Вона не проводить складні розслідування, не корелює між доменами та не адаптується до змін у торгових навичок зловмисників. Саме тут на сцену вступає агентний ШІ. SOC Посібники описують цей зсув як перехід від сценаріїв, що запускаються людиною, до автономних, цілеспрямованих цифрових аналітиків.
Від скриптів до агентного ШІ в операціях безпеки
Перш ніж досліджувати конкретні випадки використання агентного ШІ, нам потрібно чітко розмежувати класичну автоматизацію та справді агентні робочі процеси. Багато керівників CISO були розчаровані інструментами, які обіцяли автономію, але пропонували лише крихкі робочі аркуші. Чіткі визначення запобігають наступній хвилі втоми від ажіотажу.
Проста автоматизація виконує фіксовану послідовність кроків, коли виникає відомий тригер. SIEM Коли правило спрацьовує, SOAR-плейбук збирає певний контекст, можливо, блокує IP-адресу або вимикає обліковий запис. Корисно, але статично. Якщо вхідні дані не відповідають очікуваним шаблонам, автоматизація зупиняється або дає непомітний збій. Аналітики-люди залишаються відповідальними за побудову наративу та прийняття більшості рішень.
Агентний ШІ працює по-іншому. Він складається з агентів ШІ, які можуть планувати, діяти та адаптуватися в багатоетапних робочих процесах. Маючи мету, таку як «розслідувати цю можливу крадіжку облікових даних», агенти вирішують, які джерела даних запитувати далі, які методи MITRE ATT&CK можуть застосовуватися, які додаткові докази потрібні та які варіанти відповіді найкраще відповідають політиці та схильності до ризику. Вони можуть зчитувати необроблені події, викликати API, оновлювати заявки та викликати інших агентів у ланцюжку.
Проста автоматизація порівняно з агентними робочими процесами та аналітиками-людьми
Це порівняння відображає те, що ми бачимо на практиці. Проста автоматизація усуває деякі повторювані натискання клавіш, але все ще вимагає від аналітика повного уявлення про ситуацію. Аналітики-люди мають судження, але обмежену кількість часу. Робочі процеси агентного штучного інтелекту знаходяться посередині: вони діють як невтомні молодші аналітики, які можуть самостійно проводити цілі розслідування, а потім ескалювати добре структуровані справи з доказами, картуванням ATT&CK та рекомендованими відповідями.
Якщо ви читаєте останні AI SOC довідник по архітектурі, ви помітите загальну закономірність. Агентний ШІ не замінює SIEM or XDRВін знаходиться над ними, упорядковуючи дані, співвідносячи сповіщення та проводячи постійні розслідування. Ця відмінність важлива для планування бюджету та пояснення стратегії вашій раді директорів.
Основні варіанти використання агентного ШІ, які мають найбільше значення
Виявлення та запобігання міждоменним загрозам
Більшість серйозних атак зараз охоплюють кінцеві точки, мережі, хмару, електронну пошту та ідентифікаційні дані. Традиційні інструменти бачать лише фрагменти цієї історії. Тут невдалий вхід адміністратора, там аномалія DNS, можливо, незвичайний виклик API S3. Жодна окрема система не має достатньо контексту, щоб впевнено оголосити про інцидент.
Витік даних National Public Data, Salt Typhoon та Snowflake продемонстрував цю фрагментацію. Зловмисники поєднали крадіжку облікових даних, методи «живи за рахунок землі» та доступ до хмарних технологій, щоб непомітно розміщувати та вилучати величезні набори даних. Кожен крок сам по собі виглядав майже нормально. Лише міждоменний огляд поведінки виявив закономірність.
Агентний ШІ в операціях безпеки вирішує цю проблему, призначаючи різним агентам певні площини даних: один стежить за мережевими потоками, інший – за журналами EDR кінцевих точок, ще один – за подіями хмарного аудиту, а ще один – за телеметрією ідентифікації та доступу. Потім агенти кореляції збирають зв'язки між сутностями, зіставляють дії з методами ATT&CK та створюють часові шкали ланцюжка знищення, які показують, як підозрілий процес на кінцевій точці підключається до незвичайної точки опорної точки ідентифікації в Azure та дивних запитів до бази даних у Snowflake.
Це безпосередньо підтримує амбіції Zero Trust, викладені в NIST SP 800-207. У цьому документі наголошується на постійній перевірці та контекстно-залежному застосуванні політик, а не на неявній довірі на основі мережевого розташування. Агенти виявлення агентів забезпечують постійну оцінку поведінки, необхідну механізмам політик для прийняття точніших рішень щодо дозволу, оскарження або відхилення в режимі реального часу.
Ресурси, що описують XDR Підхід «ланцюга вбивств» Окресліть, як аналітика, вирівняна за ланцюжком знищення, допомагає командам виявляти багатоетапні атаки раніше та більш структуровано. ШІ агентів по суті автоматизує інтерпретацію ланцюжка знищення для всієї вашої телеметрії.
Автоматизовані робочі процеси розслідування та реагування на інциденти
Розслідування, а не виявлення, часто займає домінантну частину часу аналітиків. Після тривоги високого рівня серйозності хтось повинен консолідувати докази, перевірити схожі об'єкти, ознайомитися з розвідкою про загрози та скласти план реагування. Для складних інцидентів, таких як Change Healthcare або MGM, ці кроки займали дні. Протягом цього часу системи залишалися несправними, а керівникам бракувало ясності.
Агентні системи штучного інтелекту змінюють цю закономірність, автономно проводячи комплексні розслідування. Коли початковий сигнал перевищує певний поріг ризику, агент аналізу випадків збирає всі пов'язані сповіщення та телеметрію, ідентифікує уражені об'єкти та підсумовує ймовірну першопричину разом із задіяними тактиками ATT&CK. Інші агенти перевіряють поширення: подібну активність на рідних хостах, використання тих самих облікових даних іншими особами, підключення до відомої шкідливої інфраструктури з потоків інформації про загрози.
Щойно з'являться достатні докази, агенти, орієнтовані на реагування, пропонують варіанти, що відповідають політиці. Наприклад, ізолювати хост, вимкнути токен, перемістити користувача до обмеженої групи або забезпечити посилену автентифікацію. У більш зрілих розгортаннях агенти можуть виконувати обмежені дії реагування безпосередньо для чітко визначених шаблонів, водночас направляючи неоднозначні ситуації аналітикам-людям. Ця модель «людина в циклі» відображає як найкращі практики безпеки, так і поточні регуляторні очікування.
Наприклад, у версії 6.2 від Stellar Cyber підкреслюється, як агентний аналіз випадків та автоматизована генерація наративів можуть скоротити час розуміння з днів до хвилин. Подібні принципи застосовуються на всьому ринку, особливо там, де виявлення, розслідування та реагування на загрози платформи знаходяться в центрі операцій.
SOC сортування попереджень та визначення пріоритетів для команд з економним підходом
Втома від пильності залишається, мабуть, найболючішою SOC проблема. Багато команд середнього ринку досі вручну відкривають кожне високе або критичне сповіщення, лише щоб виявити хибні спрацьовування або неповний контекст. Аналітики виснажуються, і справжні атаки прослизають о 2-й годині ночі.
Сучасні звіти про інциденти підкреслюють цю прогалину. Кількість фішингових атак, керованих штучним інтелектом, зросла більш ніж на 700 відсотків між 2024 і 2025 роками, тоді як кількість інцидентів із програмами-вимагачами за той самий період перевищила 100 відсотків. Жодна команда людей не може вручну сортувати кожен підозрілий електронний лист, рядок журналу та аномалію кінцевих точок, які генерують ці кампанії.
Агенти сортування безперервно оцінюють нові сповіщення в міру їх надходження, не лише за серйозністю правил, але й за контекстом: критичність об'єкта, радіус вибуху, минула поведінка, поточні кампанії та комбінації технік ATT&CK. Сповіщення з низьким контекстом про активи з низькою цінністю можуть автоматично закриватися після швидких перевірок. Комбінації з високим ризиком, такі як вхід привілейованого облікового запису з нової географічної області під час створення нових хмарних ключів, отримують миттєве підвищення та повне розслідування.
Реальні випробування показують, що такі системи можуть стискати тисячі необроблених сповіщень до сотень випадків на день, часто скорочуючи обсяг ручного сортування аналітиками на порядок, одночасно покращуючи якість виявлення. Це звільняє старший персонал, щоб зосередитися на пошуку загроз, об’єднанні в «фіолетові команди» та посиленні архітектури. агентний SOC огляд платформи пояснює деякі з цих моделей сортування більш детально.
Управління безпекою хмари та виправлення неправильної конфігурації
Неправильні конфігурації хмарних систем залишаються основною причиною порушень. Публічні контейнери, надмірно надані ролі, забуті тестові середовища та застарілі облікові записи служб створюють поверхню легкої мішені. Інциденти Snowflake та Change Healthcare підкреслюють ризик слабких місць облікових даних та конфігурації в хмарно-підключених системах.
Традиційні інструменти управління безпекою хмарних систем виявляють проблеми, але часто надають командам безпеки великі статичні списки. Їх виправлення у великих масштабах вимагає координації між DevOps, власниками додатків та персоналом з дотримання вимог. На практиці багато висновків зберігаються місяцями.
Штучний інтелект (AI) забезпечує безперервний, контекстно-залежний моніторинг для управління хмарною безпекою. Спеціалізовані агенти відстежують зсув конфігурації, зміни ідентифікаційних даних та поведінку робочого навантаження порівняно з базовими рівнями. Коли корзина S3 раптово стає публічною або обліковий запис служби отримує нові, потужні ролі, агент може негайно позначити зміну, оцінити критичність для бізнесу та запропонувати або виконати безпечне виправлення, таке як повернення до попередньої політики або додавання відомого справного шаблону.
Для ключів KMS, політик IAM або кластерів Kubernetes агенти можуть симулювати запропоновані зміни перед їх застосуванням, перевіряючи ризики порушення безпеки. У поєднанні з визначеннями політик, що базуються на принципах NIST SP 800-207 Zero Trust, це створює цикл зворотного зв'язку, в якому стан хмари залишається набагато ближчим до задуму проекту. Команди середнього бізнесу, які не можуть виділити спеціалізовану команду хмарної безпеки, отримують практичні повноваження щодо забезпечення дотримання правил.
Команда Огляд виявлення та реагування на хмарні ресурси глибше розглядає, як безперервна аналітика на хмарних площинах керування та площинах даних виявляє ланцюжки атак, які пропускають статичні сканери. Агентські робочі процеси базуються на цій видимості, щоб перетворювати висновки на дії.
Керування ідентифікацією та доступом з виявленням зловживання привілеями
Ідентифікація стала новим периметром. Атака MGM, масові витоки облікових даних у 2025 році та інциденти Snowflake – усі ці інциденти стосувалися зловмисників, які використовували дійсні облікові дані, а не очевидне шкідливе програмне забезпечення. Дослідження внутрішніх загроз показують, що майже 60 відсотків порушень зараз пов'язані з інсайдерами або скомпрометованими обліковими записами.
Класичні процеси управління ідентифікацією та доступом часто виконуються щоквартально або щорічно. Перевірки прав доступу, видобування ролей та спеціальні аудити привілеїв допомагають, але мало що роблять проти зловмисника, який зловживає одним обліковим записом дев'ять днів поспіль. Кампанія «Соляний тайфун» 2024 року продемонструвала саме цю проблему, зберігаючи довгостроковий доступ у телекомунікаційних мережах за допомогою облікових даних, що виглядають законними.
Агентний ШІ підтримує управління ідентифікацією та доступом двома способами. По-перше, агенти безперервної аналітики поведінки відстежують, як зазвичай працює кожна ідентифікаторна особа: з якими програмами вона стикається, типовий обсяг даних, звичайні географічні регіони та звичайний час доби. Якщо обліковий запис раптово отримує гігабайти даних о 3-й годині ночі з нового регіону, агенти можуть позначити або навіть призупинити сеанс, незалежно від того, чи використовувалася багатофакторна автентифікація (MFA).
По-друге, агенти, орієнтовані на управління, сканують графи прав доступу, щоб знайти токсичні комбінації ролей, осиротілі облікові записи та надмірні привілеї, надаючи власникам пріоритетні, контекстно-багаті рекомендації щодо усунення ризику. Такі випадки, як порушення безпеки MGM, коли соціальна інженерія забезпечила адміністративний доступ, ілюструють, чому такі перевірки привілеїв повинні бути безперервними, а не епізодичними.
Modern виявлення загроз ідентифікації та реагування У матеріалі описано, як це поєднує класичну IAM з інженерією виявлення для методів ATT&CK, таких як дійсні облікові записи, ескалація привілеїв та горизонтальне переміщення. Агентські системи автоматизують значну частину цієї інженерії та щоденного моніторингу.
Постійні перевірки відповідності та забезпечення дотримання політики
Дотримання вимог для організацій середнього бізнесу завжди вимагало багато ресурсів. PCI DSS, HIPAA, GDPR, галузеві вимоги, а тепер і виконавчі накази щодо безпеки ланцюга постачання програмного забезпечення – все це вимагає постійних доказів. Проте багато фірм досі ставляться до дотримання вимог як до щоквартального потоку електронних таблиць та скріншотів.
NIST SP 800-207 розглядає Zero Trust як безперервний процес, який має адаптуватися до змін в активах, загрозах та поведінці користувачів. Інструменти аналізу покриття на основі MITRE ATT&CK показують, де засоби контролю відповідають реальним методам зловмисників, виявляючи сліпі зони. Обидві системи неявно закликають до автоматизації та постійної перевірки. Люди самі по собі не можуть встигати за всім.
Агентський ШІ добре відповідає цій вимозі. Агенти політик можуть кодувати правила, такі як «всі привілейовані ідентифікаційні дані повинні вимагати стійкої до фішингу багатофакторної автентифікації» або «жоден бізнес-підрозділ не може безпосередньо надавати доступ до баз даних в Інтернеті». Інші агенти потім постійно перевіряють відповідну телеметрію, стани конфігурації та записи ідентифікаційних даних на відповідність цим політикам, відкриваючи або оновлюючи результати, коли виникають порушення.
Це переводить відповідність вимогам з моменту підтвердження на момент часу на реальний доказ. Для архітектора безпеки, який представляє раді директорів теплову карту покриття ATT&CK, що генерується щодня, разом з автоматизованими оцінками відповідності політикам, має набагато більшу вагу, ніж застаріла оцінка, що проводиться раз на рік. Матеріали для аналізу покриття MITRE ATT&CK проілюструйте, як такі візуалізації підтримують переговори як щодо безпеки, так і щодо страхування.
Автономне полювання на загрози з використанням міждоменних даних
Більшість команд середнього бізнесу прагнуть займатися пошуком загроз. Дуже мало хто може це підтримувати. Аналітики ледве встигають за вхідними сповіщеннями; структуроване пошукання опускається на останнє місце. Однак нещодавні порушення, від Salt Typhoon до Change Healthcare, показують, що проактивне пошукування могло виявити аномалії задовго до їх повного впливу.
Агенти-пошуковці загроз на основі штучного інтелекту інвертують це рівняння. Замість того, щоб чекати на сповіщення, вони генерують та перевіряють гіпотези на основі методів ATT&CK та розвідки про загрози. Наприклад, агент може шукати ознаки витоку облікових даних або незвичайного використання інструментів віддаленого адміністрування на всіх кінцевих точках, а потім звертатися до мережевих журналів та хмарних журналів аудиту.
Оскільки агенти можуть працювати безперервно та зі швидкістю машини, вони досліджують набагато більше гіпотез, ніж будь-яка людська команда. Коли вони виявляють підозрілі закономірності, вони відкривають справи з готовим контекстом, відображаючи підозрілі методи, задіяні суб'єкти та пропонуючи наступні кроки. З часом аналітичний зворотний зв'язок навчає цих агентів, які саме полювання принесло цінність, удосконалюючи майбутні зусилля.
Команда огляд розвідки кіберзагроз описує, як структуроване картування ATT&CK дозволяє систематичне полювання протягом усього життєвого циклу атаки. Агентні системи просто автоматизують цей структурований підхід та пов'язують його з вашим існуючим стеком телеметрії.
Архітектурні шаблони, що поєднують агентний ШІ з XDR та SIEM
Навіть найкращі агентні рішення для безпеки на основі штучного інтелекту зазнають невдачі, якщо їх встановити хаотично. Для директора з інформаційної безпеки, який керує організацією середнього бізнесу, ключове питання не просто «що можуть робити агенти», а «як вони інтегруються з моєю поточною системою». SIEM, XDR...і інвестиції в гіперавтоматизацію без збільшення ризиків чи бюджету?»
Більшість успішних дизайнів мають кілька спільних рис. По-перше, вони розглядають Open XDR або аналогічну структуру даних, що й основа. Цей рівень нормалізує телеметрію між кінцевими точками, мережевими, хмарними, ідентифікаційними та SaaS-додатками. Агентні ШІ-агенти потім споживають цей нормалізований потік, а не намагаються інтегруватися окремо з кожним інструментом. Це зменшує ризик інтеграції та спрощує інтеграцію нових джерел даних.
По-друге, вони інтегруються з SIEM а не замінити його повністю. Спадщина SIEMвсе ще обробляють реєстрацію відповідності, довгострокове зберігання та деяку кореляцію. Агентний ШІ та сучасні XDR платформи працюють поруч із ними, беручи на себе виявлення в режимі реального часу, багатодоменну кореляцію та оркестрацію відповідей. Багато організацій починають з дзеркалювання журналів у Open XDR платформа, дозволяючи агентам працювати з цією копією, перш ніж переосмислити її SIEM цикли оновлення.
По-третє, дії реагування реалізуються через існуючі стеки гіперавтоматизації та платформи SOAR. Замість того, щоб обходити встановлені практики контролю змін, агенти ШІ викликають затверджені плейбуки та робочі процеси, тільки з розумнішими тригерами та багатшим контекстом. Це відповідає принципам управління в NIST SP 800-207, які наголошують на контролі над мережею та доступом до ресурсів на основі політик.
Зрештою, людський нагляд залишається центральним. Прес-релізи про доповнена автономна людина SOCs наголошують, що агенти сортують, співвідносять та пропонують, тоді як люди перевіряють дії з високим рівнем впливу та коригують стратегію. Ця модель задовольняє як очікування культури безпеки, так і нові вимоги до управління штучним інтелектом.
Для лідерів, які планують цей перехід, високорівневий штучний інтелект SOC такі посилання, як AI SOC довідник по архітектурі та найкращий ШІ SOC огляд платформ надайте практичні критерії оцінювання. Зверніть особливу увагу на те, як кожна платформа зіставляє виявлення з MITRE ATT&CK, розкриває контекст, що стосується Zero Trust, та вимірює зниження робочого навантаження аналітиків у реальних цифрах.
Практичний шлях впровадження для керівників інформаційних систем середнього ринку
Навіть якщо цінність очевидна, впровадження агентного ШІ може бути ризикованим. Побоювання варіюються від хибнопозитивних результатів, що порушують роботу бізнесу, до систем ШІ, що діють поза політикою. Ці побоювання обґрунтовані, особливо в регульованих галузях або середовищах з нестабільними застарілими програмами. Відповідь полягає в поетапному розгортанні з чіткими бар'єрами.
Прагматичний шлях починається з розгортання лише для читання, зосередженого на видимості та сортуванні. Дозвольте агентам оцінювати сповіщення, створювати справи та пропонувати відповіді, але вимагайте схвалення людини для будь-яких дій, які змінюють системи. Вимірюйте зміни в середньому часі виявлення, середньому часі реагування та часі, витраченому аналітиками на кожну справу. Якщо ви не бачите суттєвих покращень протягом кількох місяців, налаштуйте конфігурацію або перегляньте постачальників.
Далі, визначте вузьку, високооб’ємну, але низькоризикову область для часткової автономії, таку як видалення фішингової електронної пошти або ізоляція некритичних лабораторних кінцевих точок. Багато організацій вже довіряють методологіям SOAR у цих сферах; агентний ШІ просто вирішує, коли їх запускати. Відстежуйте рівень помилок, частоту відкату та скарги користувачів.
Лише після того, як ці пілотні проекти підтвердять свою безпеку, команди повинні розглянути можливість надання ширших автономних повноважень, зокрема щодо контролю ідентифікації та відкату хмарних конфігурацій. Навіть тоді кожен тип автономної дії слід узгодити з чіткою політикою, схваленням власника бізнесу та структурами реєстрації, що дозволять подальшу експертизу.
Протягом усього процесу слід відстежувати прогрес відповідно до MITRE ATT&CK та NIST SP 800-207. Використовуйте аналізатори покриття та оцінки Zero Trust, щоб показати, які методи атаки та засоби контролю політик зараз отримують постійну увагу, керовану агентами. Пов’яжіть кожен прогрес із реальним прикладом порушення, яке було б виявлено раніше або локалізовано швидше. Керівники реагують на конкретні сценарії: «Ця система, ймовірно, виявила б неправомірне використання облікових даних у стилі Change Healthcare протягом кількох годин, а не днів».
Для глибшого вивчення конкретних структурних елементів, такі ресурси, як посібник з аналітики поведінки користувачів та сутностей і огляд виявлення загроз ідентифікації забезпечити цілеспрямований контекст щодо аналітики поведінки та контролю, орієнтованого на ідентичність. У поєднанні з Open XDR та агент SOC тканину, вони визначають реалістичний шлях від сьогоднішніх напружених операцій до більш автономної, стійкої позиції, що відповідає обмеженням середнього ринку.