ШІ SecOps: впровадження та найкращі практики
Операції безпеки, або SecOps, – це кульмінація окремих процесів, що запобігають вразливостям та проникненню ризиків у конфіденційні активи підприємства. Це дещо відрізняється від Центру операцій безпеки (SOC) – організаційного підрозділу, який здійснює моніторинг та запобігання інцидентам безпеки.
Ця відмінність важлива, оскільки SecOps прагне інтегрувати процеси безпеки в операційний конвеєр, тоді як традиційні SOC відокремлюють безпеку від ІТ, по суті ізолюючи процеси безпеки. Ось чому сучасні SOC часто впроваджують SecOps як спосіб збалансування запобігання загрозам зі спеціалізованими можливостями реагування на інциденти.
Оскільки SecOps має бути поряд із щоденними робочими процесами ІТ та OT, а не заважати, автоматизація SecOps є важливою частиною стратегії. У цій статті розглядається розвиток ШІ в SecOps, варіанти використання ШІ в SecOps та найкращі практики впровадження ШІ в SecOps.
SIEM наступного покоління
Stellar Cyber SIEM наступного покоління, як критичний компонент платформи Stellar Cyber Open XDR...
Відчуйте безпеку на базі штучного інтелекту в дії!
Відкрийте для себе передовий штучний інтелект Stellar Cyber для миттєвого виявлення загроз та реагування на них. Заплануйте свою демонстрацію вже сьогодні!
Вступ до ШІ SecOps
SecOps – це підхід, який отримав значну підтримку в організаціях, що дбають про безпеку. SecOps кожної організації повинні адаптуватися до унікального розташування цифрових активів, інфраструктури та конфіденційних даних – так само, як підприємство зростає та адаптується до змін на ринку з часом. Оскільки SecOps інтегрує заходи безпеки протягом усього життєвого циклу ІТ-операцій, йому також необхідно вбудовувати безпеку на кожному етапі розробки та операцій.
Для досягнення цього SOC потребує постійного, глибокого контролю пристроїв, мереж та кінцевих точок практично всіх користувачів – це приголомшливий обсяг даних. Однією з причин, чому команди SOC традиційно були відокремлені від своїх колег-розробників та ІТ-фахівців, було управління всіма цими даними. Аналітикам на різних рівнях командам SOC також потрібна була велика кількість інструментів для їх вилучення та групування. Інструменти управління інформацією та подіями безпеки (SIEM), брандмауери та засоби виявлення та реагування на кінцеві точки (EDR) допомагали обробляти ці дані та перетворювати їх на значущу інформацію.
Штучний інтелект (ШІ) в операціях безпеки тепер здатний обробляти дані безпеки з тією ж швидкістю, з якою вони створюються. Як результат, машинне навчання – та його новіший генеративний ШІ – відповідає за перетворення SecOps на безперервний процес, дозволяючи операціям безпеки йти в ногу зі змінами в ІТ та розробці. Крім того, оскільки платформи на базі ШІ надають більше можливостей автоматизації, ніж будь-коли раніше, еволюція SecOps спрямована на оптимізацію технологічних стеків, зменшення складності та вищої рентабельності інвестицій.
Варіанти використання штучного інтелекту в SecOps
Виявлення загроз з меншою кількістю хибнопозитивних результатів
Моделі штучного інтелекту процвітають на великих наборах даних: завдяки штучному інтелекту кількість сповіщень, які раніше могли б перевантажити команду безпеки, тепер може бути отримана, зіставлена та використана для виявлення інших. Це разюче відрізняється від традиційного підходу до виявлення загроз, який просто нагромаджував інструменти безпеки один на одного.
Ось така ситуація одна фінансова фірма, що базується в США опинилася в такому стані: аналітики SOC повинні були розпочинати кожну операцію безпеки, перебираючи величезні обсяги даних, пов'язаних з кожним сповіщенням. А оскільки підприємство мало кілька програмних засобів безпеки, їм доводилося вручну ідентифікувати одне й те саме сповіщення на кожній консолі та окремо відстежувати кожну підказку, щоб визначити достовірність сповіщення та потенційну шкоду.
Оскільки ШІ може отримувати всі необроблені дані журналів, мережі та пристроїв, що надходять до тригера сповіщень інструменту, він потім може співвіднести це сповіщення з відповідними діями в мережі, пристрої чи обліковому записі. Результатом є набагато менше хибних сповіщень, а у разі справжнього інциденту безпеки ШІ може розміщувати сповіщення в контексті ширшого ланцюжка атак.
Автоматизоване реагування на інциденти
Плейбуки є основою можливостей автоматизованого реагування – вони дозволяють командам з економним підходом, таким як ті, що працюють у Кафедра інформаційних технологій Цюрихського університету швидко впроваджувати певні можливості моніторингу та реагування у відповідь на конкретні сповіщення. Наприклад, у разі інциденту, що впливає на кінцеві точки відділу, відповідний ІТ-менеджер може бути повідомлений.
Автоматизація може дозволити командам Lean забезпечувати цілодобове покриття, навіть якщо у них немає достатньої кількості людей для постійної присутності аналітиків. Автоматизація стає доступною завдяки сценаріям, які точно вказують, які кроки усунення несправностей має виконувати інструмент штучного інтелекту у відповідь на певні типи сповіщень та інциденти.
Пріоритетні сповіщення та виявлення загроз за допомогою штучного інтелекту
Оскільки моделі штучного інтелекту можна навчати на основі історичних атак – і вони можуть зберігати актуальне розуміння всього комплексу активів підприємства – вони здатні класифікувати сповіщення відповідно до потенційного радіуса вибуху. Це значно зменшує навантаження на ручні процеси SecOps, які в іншому випадку вимагали б тривалих і виснажливих годин роботи.
Категоризація сповіщень займала багато часу час одного міського самоврядування – у цьому випадку від кожного аналітика очікувалося використання власного інструменту безпеки. Це залишало значні прогалини, які потенційно могли б використати складні вектори атак. Сортування за допомогою штучного інтелекту дозволило їм значно зменшити ручне навантаження, необхідне для кожного аналітика, що дозволило аналітику дістатися до суті інциденту протягом 10 хвилин, а не кількох днів.
Однак, насправді знання того, де і як впроваджувати ШІ в SecOps, часто є першою перешкодою на шляху до впровадження.
Найкращі практики впровадження штучного інтелекту в SecOps
Визначте вимірювані цілі для розгортання вашого штучного інтелекту
SMART-цілі змушують світ обертатися, і зосередження на вимірюваності є ключем до визначення та успішного впровадження нового інструменту штучного інтелекту. Щоб отримати максимальну рентабельність інвестицій, найкраще почати з визначення того, які процеси SecOps забирають найбільше часу ваших аналітиків.
Це може бути специфічний інструмент, наприклад, SIEM, або ширший показник, наприклад, середній час реагування (MTTR). Це може бути крок у робочому процесі, який аналітики чи ІТ-спеціалісти повинні виконати після того, як сповіщення надходить до їхньої поштової скриньки; важливо точно визначити, який компонент спричиняє найбільше уповільнення. Цей процес дозволить створити уявлення про те, яку саме роль має виконувати інструмент штучного інтелекту: якщо основна проблемна точка пов’язана з виявленням активів, то інтеграція брандмауера штучного інтелекту, можливо, не є найбільшим пріоритетом.
Також найкраще почати робити це спільними зусиллями. Залучення керівників вищого рівня та інших осіб, які приймають керівні рішення, є життєво важливим для досягнення довготривалих змін, і вони можуть допомогти ІТ-відділу та відділу безпеки уявити необхідні організаційні зміни.
Інтегруйте штучний інтелект у ваші існуючі інструменти та робочі процеси
Технології штучного інтелекту процвітають у середовищах, багатих на дані, але їм потрібно мати можливість отримувати ці дані звідкись. Індивідуальна інтеграція може бути складною та трудомісткою, тому, розглядаючи рішення на основі штучного інтелекту, оцініть їхню здатність інтегруватися з вашими поточними інструментами. Організації надзвичайно рідко доводиться починати з нуля. Іноді, якщо ваша SIEM, EDR або брандмауер вже працюють належним чином, а уповільнення виникають через обмежені ресурси аналітиків, краще доповнити вашу SIEM штучним інтелектом, а не проводити заміну.
У цьому контексті не забувайте, що ШІ вимагає багато даних безпеки. Якщо ви створюєте набір даних з нуля, вам потрібно буде інвестувати в побудову надійної та стійкої інфраструктури даних у поєднанні зі суворими протоколами управління. Потужна інфраструктура вимагає впровадження безпечних рішень для зберігання даних, оптимізації можливостей обробки даних та створення ефективних систем передачі даних для підтримки виявлення загроз та реагування на них у режимі реального часу. З іншого боку, сторонній продукт керує всіма цими даними за вас, але переконайтеся, що ви довіряєте постачальнику.
Налаштуйте команду SecOps на використання системи на базі штучного інтелекту
Хоча інструмент штучного інтелекту має бути гнучким, він має вносити певні зміни в щоденну роботу аналітиків – саме для цього він і існує. Команди, на які це вплине, повинні знати, які зміни це спричинить і як мають виглядати їхні власні робочі процеси. Оскільки SecOps вже вимагає комплексного навчання з операцій безпеки, вони вже повинні бути знайомі з політиками та процедурами. Так само оновлення штучного інтелекту має розбити процеси на вимірювані дії та чіткі вказівки.
З огляду на це, враховуйте навички та досвід нинішніх членів SecOps. Якщо в команді є нові члени, які все ще досягають успіху, подумайте про вибір інструментів штучного інтелекту, які є доступними та допомагають їм пройти через автоматизовані дії або процеси сповіщень. Це дозволяє їм зміцнити власну впевненість у боротьбі зі загрозами. Прозорість також підвищує довіру між командою людей та механізмом аналізу на основі штучного інтелекту, а також дозволяє з часом удосконалювати судження штучного інтелекту.
Створюйте посібники з розробки
Плейбуки є основою впровадження безпеки штучного інтелекту, і хоча інструмент штучного інтелекту може мати деякі попередньо встановлені, найкращою практикою є створення або модифікація власних, відповідно до конкретного випадку використання, який вам потрібен.
Наприклад, якщо команда має справу з багатьма зовнішніми електронними листами, важливо створити кілька сценаріїв для боротьби із загрозою фішингу електронною поштою. У цьому випадку центральна платформа штучного інтелекту виявляє підозрілу граматику або метадані фішингового електронного листа, що потім запускає відповідний сценарій. У цьому випадку сценарій автоматично ізолює електронний лист – або саму кінцеву точку, якщо є докази компрометації – а потім запускає скидання пароля. Повідомлення надсилається відповідному адміністратору безпеки, який отримує всю цю інформацію, упаковану в одне сповіщення. Сценарії, необхідні вашій моделі штучного інтелекту, залежать від власних налаштувань та обов’язків вашої організації.
Разом ці найкращі практики SecOps на основі штучного інтелекту забезпечують плавний перехід до SecOps на основі штучного інтелекту, забезпечуючи при цьому максимальну рентабельність інвестицій.
Як Stellar Cyber покращує безпеку за допомогою штучного інтелекту
Автоматизоване виявлення інцидентів
Stellar Cyber позбавляється залежності від ручного виявлення загроз та ідентифікації загроз на основі правил за допомогою кілька шарів штучного інтелекту.
Перший із цих штучних інтелектів зосереджений на виявленні: дослідницька команда Stellar Cyber створює та навчає контрольовані моделі, використовуючи поєднання загальнодоступних та внутрішньо згенерованих наборів даних. Загрози нульового дня та невідомі загрози можна виявити за допомогою паралельних моделей машинного навчання без нагляду. Ці моделі встановлюють базову лінію поведінки мережі та користувачів протягом кількох тижнів. Після отримання сигналів даних штучний інтелект на основі GraphML співвідносить виявлення та інші сигнали даних, автоматично пов'язуючи пов'язані точки даних, щоб допомогти аналітикам. Він оцінює силу зв'язку між різними подіями, аналізуючи властивості, час та моделі поведінки.
Інші форми штучного інтелекту базуються на цих основних можливостях виявлення. Вони надають організаціям, що працюють на базі Stellar Cyber, більше можливостей доступності та реагування.
Зробіть SecOps доступними
Усі дані безпеки організації в режимі реального часу представлені у двох основних форматах: перший — у ланцюжку знищення, розташованому на інформаційній панелі, а другий — через Copilot.
Панель керування XDR Kill Chain слугує домашньою панеллю за замовчуванням для Stellar Cyber, пропонуючи централізований огляд загальних ризиків та виявлених загроз. Вона дозволяє швидко проводити оцінки, надаючи детальний огляд активних інцидентів, активів високого ризику та тактик атак. Такий оптимізований підхід допомагає командам безпеки пріоритезувати критичні проблеми, незалежно від їхніх окремих ключових точок, які потім можна досліджувати детальніше.
З іншого боку, Copilot AI — це розслідувач на основі LLM, який пришвидшує власні проекти аналітиків з аналізу загроз, надаючи миттєві відповіді на запити. Це робить його ідеальним для швидкого пошуку та пояснення даних, що ще більше інтегрує інструмент у проекти SecOps.
Омні-поверхнева видимість
Stellar cyber збирає журнали та дані безпеки за допомогою кількох типів датчиків. Мережеві та безпекові датчики збирають метадані з фізичних та віртуальних комутаторів, одночасно агрегуючи журнали для повного огляду. Його глибока перевірка пакетів (DPI) аналізує корисні навантаження в режимі реального часу. Серверні датчики, з іншого боку, здатні збирати дані з серверів Linux та Windows, фіксуючи мережевий трафік, команди, процеси, файли та активність програм. Очікуйте повну сумісність з Windows 98 та наступними версіями, а також з дистрибутивами Linux, такими як Ubuntu, CoreOS та Debian.
Платформа розміщується скрізь, де потрібна видимість: хмарна, гібридна, повністю локальна чи орендарська – Stellar Cyber враховує дані з будь-якого місця.
Розширений штучний інтелект для реагування
Можливості реагування Stellar Cyber розширюють інтеграцію інструменту з існуючими засобами безпеки: замість простого отримання даних, Stellar може автоматично вживати заходів за допомогою тих самих інструментів.
Оскільки Stellar зосереджений на швидкому впровадженні, він постачається з 40 попередньо створеними посібниками з пошуку загроз, які охоплюють усю поверхню атаки, таку як помилки входу в Windows, аналіз DNS та Microsoft 365. Це робить виявлення загроз та реагування на них доступнішим навіть для команд без глибоких знань у галузі безпеки.
Stellar Cyber бездоганно інтегрується з брандмауерами, засобами безпеки кінцевих точок, інструментами керування ідентифікацією та доступом, системами продажу квитків та програмами обміну повідомленнями для масштабування операцій безпеки. Для потреб більш просунутої оркестрації підтримується інтеграція з провідними платформами SOAR для оптимізованого та ефективного реагування на загрози. Підприємства на базі Stellar Cyber мають детальний контроль над тригерами, умовами та результатами кожного сценарію, що дозволяє їм чітко та чітко дотримуватися найкращих практик SecOps. Сценариї можна розгортати глобально або для кожного клієнта окремо.
Ознайомтеся зі Stellar Cyber AI SecOps
Платформа Stellar Cyber спрощує впровадження штучного інтелекту в SecOps, зосереджуючись на швидкому впровадженні. Це дозволяє підприємствам досягати більш ефективних та результативних операцій безпеки без тривалого або блокованого постачальниками процесу впровадження. Його можливості автоматизації доступні "з коробки" – для дослідження середовища та можливостей Stellar Cyber, заплануйте демо.
