An ninh mạng hiệu quả bắt đầu và kết thúc bằng dữ liệu.
Vì những kẻ tấn công có thể triển khai tải trọng của chúng trong vài giây, nên việc đảm bảo nhóm bảo mật của bạn không phải đợi hàng phút hoặc hàng giờ để nền tảng hoạt động bảo mật của họ nhận thấy một cuộc tấn công đang diễn ra có thể tạo ra sự khác biệt giữa một mối đe dọa riêng lẻ và một sự xâm phạm trên diện rộng. Mặc dù hầu hết các sản phẩm an ninh mạng hiện đại có thể phát hiện các mối đe dọa một cách nhanh chóng, nhưng điều cuối cùng tác động đến hiệu suất tổng thể của chúng là các lựa chọn thiết kế được đưa ra sớm trong quá trình phát triển sản phẩm, cụ thể là cách sản phẩm xử lý việc quản lý và xử lý dữ liệu. Trong blog này, tôi sẽ thảo luận về cách hoạt động của tính năng phát hiện mối đe dọa do AI điều khiển với từng phương pháp sử dụng một tổ chức hư cấu làm việc với 50 sản phẩm bảo mật khác nhau và 50 nguồn dữ liệu khác nhau để bảo vệ môi trường của họ.
Tóm tắt nhanh về phát hiện mối đe dọa dựa trên AI
Hai phương pháp quản lý dữ liệu riêng biệt
Lược đồ khi đọc
Schema-on-Read là một phương pháp quản lý dữ liệu trong đó việc nhập dữ liệu thô diễn ra mà không áp dụng bất kỳ lược đồ nào được xác định trước. Cách tiếp cận này tích hợp nhiều nguồn dữ liệu khác nhau nhanh hơn vì không cần phải hiểu trước định dạng nguồn dữ liệu. Thay vào đó, dữ liệu thô được lưu trữ nguyên trạng và mọi lược đồ cần thiết để xử lý sẽ diễn ra tại thời điểm đọc mà không làm thay đổi dữ liệu thô. Nhiều kỹ sư dữ liệu thích Schema on Read vì nó cho phép họ:
- Nhập dữ liệu nhanh hơn vì không cần cấu trúc trả trước.
- Thích ứng với các tình huống mà định dạng dữ liệu liên tục thay đổi.
- Xử lý nhiều nguồn dữ liệu mà không sửa đổi lược đồ của chúng.
Giống như bất kỳ công nghệ nào, việc áp dụng phương pháp Schema-on-Read để quản lý dữ liệu có những nhược điểm:
- Hiệu suất tìm kiếm bị ảnh hưởng
- Phân tích dữ liệu sử dụng nhiều tài nguyên trên máy tính
- Xu hướng dữ liệu không nhất quán và sai sót cao hơn.
Phát hiện mối đe dọa dựa trên AI trong thế giới lược đồ khi đọc
Bây giờ chúng ta đã thảo luận về ưu và nhược điểm của Schema-on-Read. Hãy xem xét cách phát hiện mối đe dọa do AI điều khiển có thể hoạt động mà không cần lược đồ trên dữ liệu. Như đã đề cập trước đó, tính năng phát hiện mối đe dọa do AI điều khiển sẽ xác định các điểm bất thường so với hành vi dự kiến. Với yêu cầu này, một sản phẩm bảo mật dựa trên AI sẽ yêu cầu logic phức tạp được thiết kế để bình thường hóa và làm phong phú dữ liệu “một cách nhanh chóng” trên dữ liệu được lưu trữ ở các định dạng khác nhau. Mỗi bản ghi phải được xử lý nhanh chóng để tránh bỏ sót bất kỳ điểm bất thường nào. Không khó để tưởng tượng rằng phương pháp này có thể nhanh chóng trở nên đắt đỏ vì nó sẽ đòi hỏi sức mạnh xử lý và bộ nhớ đáng kể liên tục để lưu trữ tạm thời dữ liệu đã xử lý cho các hoạt động phát hiện khác nhau do AI điều khiển. Vì vậy, mặc dù ý tưởng nhập dữ liệu thô nghe có vẻ hay và có thể phù hợp với một số trường hợp sử dụng không liên quan đến an ninh mạng liên quan đến việc phát hiện mối đe dọa do AI điều khiển, nhưng chi phí liên tục có thể nhanh chóng vượt quá tầm kiểm soát. Giá có thể trở nên cực kỳ cao và khó dự đoán khi việc lưu trữ dữ liệu và phát hiện dựa trên AI đến từ các nhà cung cấp khác nhau.
Lược đồ khi ghi
Không giống như Lược đồ khi đọc, Lược đồ khi ghi thực hiện ETL (Trích xuất, Chuyển đổi, Tải), áp dụng một số cấu trúc (lược đồ) để trả trước dữ liệu, chuyển đổi và xác thực dữ liệu đã nhập trước khi ghi vào bất kỳ kho lưu trữ dữ liệu nào. Như bạn có thể mong đợi, lợi ích của Schema on Write:
- Tăng tính toàn vẹn dữ liệu và giảm thiểu sự không nhất quán của nó
- Tìm kiếm nhanh chóng và hiệu quả
- Phân tích dữ liệu dễ dàng và nhanh chóng
Công bằng mà nói, có một số hạn chế khi nói đến phương pháp Schema-on-Write để quản lý dữ liệu:
- Những thay đổi đối với định dạng dữ liệu nguồn dữ liệu có thể yêu cầu cập nhật lược đồ.
- Lược đồ dữ liệu cần được cập nhật để phù hợp với các nguồn dữ liệu mới.
Phát hiện mối đe dọa dựa trên AI trong thế giới lược đồ khi đọc
Với những ưu và nhược điểm của Schema-on-Write đã được xác định, giờ chúng ta hãy xem xét khả năng phát hiện mối đe dọa do AI điều khiển bằng các lược đồ dữ liệu được áp dụng trước khi ghi vào cơ sở dữ liệu. Chúng tôi giả định rằng chúng tôi làm việc với cùng một tổ chức với 50 sản phẩm bảo mật khác nhau để bảo vệ môi trường của họ. Việc chuyển đổi dữ liệu xảy ra trước khi tải vào cơ sở dữ liệu khi tổng hợp dữ liệu vào nền tảng bảo mật lược đồ khi ghi. Trong quá trình xử lý trước này, tất cả dữ liệu được chuẩn hóa và làm giàu bằng dữ liệu từ các nguồn khác. Khả năng phát hiện mối đe dọa do AI điều khiển hiện hoạt động với bộ dữ liệu sạch ở định dạng tiêu chuẩn phù hợp với ngữ cảnh, tạo ra nhiều đường cơ sở khác nhau và xác định các điểm bất thường một cách nhanh chóng, hiệu quả và chính xác. Ví dụ: việc phát hiện hoạt động thông tin xác thực bị xâm phạm từ một vị trí thực tế bất thường có thể dễ dàng được tối ưu hóa do vị trí địa lý đã được thêm vào dữ liệu trong quá trình làm phong phú trước khi ghi vào cơ sở dữ liệu. Tương tự, chẳng hạn, tất cả các địa chỉ IP có thể được bổ sung thêm thông tin vị trí nhờ quá trình chuẩn hóa, đảm bảo mọi hoạt động bất thường của người dùng đều dễ dàng được phát hiện.
Đâu là sự lựa chọn phù hợp cho bạn?
Khi bạn nghĩ đến lợi thế cạnh tranh bền vững trước những kẻ tấn công, phương pháp quản lý dữ liệu có thể không phải là điều đầu tiên bạn nghĩ đến, nhưng nó nên như vậy. Mặc dù có những ưu và nhược điểm đối với từng phương pháp quản lý dữ liệu được thảo luận ở trên, nhưng cuối cùng, bạn phải cân nhắc tác động của chiến lược quản lý dữ liệu sản phẩm đối với mục tiêu của mình trước khi áp dụng nó, vì điều này có ý nghĩa rất lớn đến chi phí, khả năng săn lùng mối đe dọa thông qua hiệu quả. tìm kiếm và khả năng phát triển các quy tắc thủ công hoặc do AI điều khiển của riêng bạn để phát hiện mối đe dọa.
Stellar Cyber được xây dựng trên phương pháp quản lý dữ liệu Schema-on-Write, cung cấp cho khách hàng kết quả phát hiện mối đe dọa chính xác và hiệu quả dựa trên AI, khả năng săn lùng mối đe dọa nhanh chóng và năng lực phát triển linh hoạt cho phân tích mối đe dọa của bạn. Ngoài ra, khi các tổ chức sử dụng khả năng Bring Your Own Data Lake (BYODL) của nền tảng chúng tôi, họ có thể tiết kiệm chi phí đáng kể bằng cách chỉ lưu trữ kết quả trong data lake hoặc hệ thống hiện có của họ. SIEMĐể tìm hiểu thêm về cách Stellar Cyber tối ưu hóa việc tương tác của chúng tôi với dữ liệu của bạn, liên hệ với chúng tôi ngay hôm nay để thiết lập một tư vấn cá nhân.
