В епоху, коли штучний інтелект (ШІ) революціонізує кожен сектор, включаючи сферу кібербезпеки, оволодіння ШІ вже не є необов'язковим, а необхідністю. Як то кажуть: «ШІ не замінить вас, але той, хто його використовує, замінить». У Stellar Cyber ми прийняли цю філософію, інтегруючи ШІ в кожен аспект нашого Центру операцій безпеки (SOC) рішення для максимізації ефективності виявлення загроз, операційної ефективності та зручності використання.
Максимізація ефективності виявлення загроз
З моменту нашого заснування у 2015 році ми були на передовій впровадження штучного інтелекту в операціях безпеки (SecOps). Наша місія завжди полягала в тому, щоб зробити виявлення та реагування доступними для всіх, забезпечуючи при цьому можливість використання всіх даних, незалежно від їх джерела, в режимі реального часу. Це бачення матеріалізувалося в те, що сьогодні відоме як Відкрите розширене виявлення та реагування (Open XDR). Наш Open XDR Рішення збирає дані безпеки з будь-якого джерела, забезпечуючи повсюдну видимість та надійне виявлення загроз. Використовуючи машинне навчання без учителя, ми вдосконалюємо наші моделі виявлення, щоб виявляти складні поведінкові моделі та аномалії, які традиційні методи можуть пропустити. Ми також використовуємо машинне навчання з учителем для виявлення загроз за допомогою відомих шаблонів, таких як алгоритми, згенеровані доменом (DGA). Ці виявлення на основі машинного навчання є критично важливими в сучасному ландшафті загроз, де складні багатоетапні атаки стають все більш поширеними.
Підвищення операційної ефективності за допомогою кореляції, GraphML та управління, орієнтованого на випадки
У Stellar Cyber ми максимізуємо операційну ефективність, використовуючи графове машинне навчання (GraphML) для підвищення безпеки операцій за допомогою складної кореляції сповіщень. Такий підхід призводить до значного зменшення шуму, консолідації справ та сприяння... SOC аналітикам працювати з багатою інформацією, а не бути заваленими окремими сповіщеннями. Це призводить до суттєвого покращення того, як аналітики визначають пріоритети, розслідують та реагують на загрози.
Використання подібності та кореляції
GraphML чудово розпізнає подібності та кореляції між різними об'єктами у вашій мережі. Відображаючи зв'язки між точками даних, GraphML допомагає виявляти закономірності, які інакше могли б залишитися непоміченими. Наприклад, він може пов'язати:
- Користувацькі сутності: Такі як ідентифікатори сеансів, ідентифікатори безпеки (SID) та імена принципалів користувачів (UPN), які можна пов’язати разом для виявлення підозрілої поведінки користувачів.
- Сутності пристрою: Включаючи ідентифікатори пристроїв, імена файлів, папки та ключі реєстру. Кореляція активності на різних пристроях дозволяє виявляти складну шкідливу активність, що охоплює кілька кінцевих точок.
- Суб'єкти електронної пошти: Такі як адреси відправника та одержувача, URL-адреси та вкладення. Шляхом співвіднесення електронного трафіку, SOC аналітики можуть виявляти спроби фішингу або атаки через електронну пошту.
- Загальні сутності: Такі як IP-адреси, хмарні ресурси та ідентифікатори програм. Зіставлення цих точок даних допомагає виявляти скоординовані атаки, що проходять через мережі та хмарні середовища.
Цей аналіз подібності забезпечує інтелектуальну та оперативну кореляцію. Замість бомбардування SOC команди з окремими сповіщеннями, наша система групує пов’язані сповіщення у випадки, показуючи ширшу картину та полегшуючи визначення пріоритетів та дії.
Аналіз причинно-наслідкових зв'язків за допомогою графових представлень
GraphML також дозволяє проводити аналіз причинно-наслідкових зв'язків, що є важливим для розуміння складних багатоетапних атак. Аналізуючи графічні представлення даних про події, наша система виявляє потенційні причинно-наслідкові зв'язки між сповіщеннями. Наприклад, фішинговий електронний лист може призвести до компрометації кінцевої точки, а потім до горизонтального поширення інформації по вашій мережі.
Цей аналіз причинно-наслідкових зв'язків дозволяє SOC аналітикам відстежувати розвиток атаки та розуміти послідовність подій, що дає їм змогу ефективніше реагувати. Візуалізуючи зв'язки між подіями, аналітики можуть керувати всім потоком атаки як єдиним випадком, а не розглядати окремі сповіщення ізольовано.
Цей аналіз причинно-наслідкових зв'язків дозволяє SOC аналітикам відстежувати розвиток атаки та розуміти послідовність подій, що дає їм змогу ефективніше реагувати. Візуалізуючи зв'язки між подіями, аналітики можуть керувати всім потоком атаки як єдиним випадком, а не розглядати окремі сповіщення ізольовано.
Реальне застосування:
У практичному сценарії, як-от у наведеному нижче прикладі, наш XDR Система використовує GraphML для автоматичного зв'язування сповіщень на основі спільних атрибутів, таких як ресурси або властивості. Наприклад, виявлена фішингова URL-адреса на хості призводить до виявлення підозрілих процесів Windows та виконання командного рядка, що є частиною більшої та складнішої схеми атаки.
GraphML у дії:
- Автоматична кореляція сповіщень: Автоматично зіставляючи сповіщення зі спільними елементами, такими як походження з одного хоста (192.168.56.23) або залучення тих самих об'єктів (bravos, daenerys.targaryen), GraphML спрощує аналіз. Це допомагає побудувати цілісний наратив навколо атаки без ручного втручання.
- Цілісний погляд на вектори атаки: Графічний вигляд, наданий у нашому XDR Платформа ілюструє зв'язки між різними сповіщеннями, такими як створення підозрілих процесів та операції командного рядка, що призводять до використання скриптів PowerShell, що є типовою поведінкою під час складних атак шкідливого програмного забезпечення.
- Підвищена ефективність сортування: За допомогою GraphML, SOC Аналітики не обтяжені окремими сповіщеннями, а можуть переглядати взаємопов’язану карту шкідливої діяльності, що пришвидшує процес сортування. Це дозволяє швидше ізолювати та усувати загрози, тим самим зменшуючи потенційну шкоду.
Отримані операційні переваги:
- Оптимізовані робочі процеси виявлення: Надаючи аналітикам високорівневу конструкцію пов'язаних сповіщень, GraphML допомагає швидше та точніше виявляти загрози, скорочуючи час, необхідний для ручної кореляції.
- Знижена тривожна втома: Ця технологія значно зменшує кількість сповіщень, які потребують індивідуальної уваги, зменшуючи втому від сповіщень та дозволяючи аналітикам зосередитися на сповіщеннях, які дійсно важливі.
- Проактивне полювання на загрози: Здатність візуалізувати та проактивно співвідносити моделі атак допомагає передбачати потенційні майбутні атаки на основі спостережуваної поведінки, покращуючи загальний рівень безпеки.
Використовуючи GraphML для кореляції сповіщень у складних сценаріях, як показано у наведеному вище прикладі, наша система не лише забезпечує операційну ефективність, але й зміцнює інфраструктуру безпеки від багатогранних кіберзагроз. Такий інтегрований підхід гарантує, що SOC команди оснащені інструментами, необхідними для ефективного подолання сучасних кіберзавдань.
Прискорення розслідування загроз за допомогою генеративного штучного інтелекту
Ми також зосереджені на оптимізації користувацького досвіду шляхом інтеграції генеративного штучного інтелекту. Уявіть собі чат-бота, який дозволяє аналітикам безпеки взаємодіяти із системою та даними, використовуючи природну мову. Подібно до ChatGPT, але спеціалізований на розслідуваннях безпеки, ця функція дозволяє аналітикам ставити запитання та природним чином описувати свої завдання.
Наприклад, аналітик може запитати: «…Виявлення аномальної поведінки системних адміністраторів поза робочим часом минулого тижняСистема перетворює цей запит на точний пошук з усіма необхідними критеріями, такими як типи подій, права користувача та часові рамки. Аналітики можуть навіть запитувати візуалізації, такі як «Створіть гістограму 10 користувачів, які отримали найбільше спроб фішингу.«, і система автоматично згенерує діаграму.
Наша мета — забезпечити безперешкодну інтеграцію штучного інтелекту в методи людського спілкування. Оволодівши людською мовою, штучний інтелект може розуміти нюанси та наміри, дозволяючи користувачам зосередитися на своїх розслідуваннях, не розуміючи складної мови машини. Ця природна взаємодія підвищує ефективність та глибину процесу розслідування, дозволяючи аналітикам створювати чіткі ментальні карти поточних ситуацій, не турбуючись про складність основних даних.
Наприклад, аналітик може запитати: «…Виявлення аномальної поведінки системних адміністраторів поза робочим часом минулого тижняСистема перетворює цей запит на точний пошук з усіма необхідними критеріями, такими як типи подій, права користувача та часові рамки. Аналітики можуть навіть запитувати візуалізації, такі як «Створіть гістограму 10 користувачів, які отримали найбільше спроб фішингу.«, і система автоматично згенерує діаграму.
Наша мета — забезпечити безперешкодну інтеграцію штучного інтелекту в методи людського спілкування. Оволодівши людською мовою, штучний інтелект може розуміти нюанси та наміри, дозволяючи користувачам зосередитися на своїх розслідуваннях, не розуміючи складної мови машини. Ця природна взаємодія підвищує ефективність та глибину процесу розслідування, дозволяючи аналітикам створювати чіткі ментальні карти поточних ситуацій, не турбуючись про складність основних даних.
Залишатися на крок попереду в кібербезпеці
Щоб залишатися на передовій кібербезпеки, ми постійно впроваджуємо інновації. Наші користувачі вже користуються перевагами інтегрованого штучного інтелекту в наші рішення для щоденного виявлення загроз та реагування на них. У майбутньому ми плануємо впровадити генеративний штучний інтелект для подальшої оптимізації взаємодії з користувачем під час пошуку та розслідувань. Для тих, хто прагне скористатися цими досягненнями, ми пропонуємо ранній доступ до цього рішення, починаючи з цього літа.
Висновок
Інтеграція ШІ в SOC операції – це не просто тенденція; це критична еволюція. Оволодівши штучним інтелектом, організації можуть значно покращити виявлення загроз, операційну ефективність та взаємодію з користувачами. У Stellar Cyber ми надаємо нашим користувачам можливість використовувати ШІ на повну потужність, гарантуючи, що вони залишатимуться лідерами в постійно мінливому ландшафті кібербезпеки.
Заклик до дії: Чи готові ви дослідити потенціал SOC автоматизація та штучний інтелект для ваших операцій з кібербезпеки? Зв’яжіться з нами сьогодні за адресою [Наша контактна інформація] або відвідайте наш веб-сайт, щоб запланувати персональну консультацію. Давайте разом використаємо можливості штучного інтелекту для безпечнішого майбутнього.
