AI SecOps: Triển khai và Thực hành Tốt nhất
Hoạt động bảo mật, hay SecOps, là đỉnh cao của các quy trình riêng lẻ nhằm ngăn chặn các lỗ hổng và sự xâm nhập rủi ro vào các tài sản doanh nghiệp nhạy cảm. Điều này hơi khác so với Trung tâm hoạt động bảo mật (SOC) – là đơn vị tổ chức gồm những người giám sát và ngăn ngừa các sự cố bảo mật.
Sự khác biệt này rất quan trọng vì SecOps hướng đến việc tích hợp các quy trình bảo mật trong đường ống hoạt động, trong khi SOC truyền thống tách biệt bảo mật khỏi CNTT, về cơ bản là cô lập các quy trình bảo mật. Đây là lý do tại sao SOC hiện đại thường triển khai SecOps, như một cách cân bằng giữa phòng ngừa mối đe dọa với khả năng ứng phó sự cố chuyên dụng.
Vì SecOps cần phải song hành cùng quy trình công việc IT và OT hàng ngày – và không cản trở – nên tự động hóa SecOps là một phần thiết yếu của chiến lược. Bài viết này xem xét cách AI SecOps đang phát triển, các trường hợp sử dụng AI trong SecOps và các phương pháp hay nhất để triển khai AI trong SecOps.
SIEM thế hệ tiếp theo
Stellar Cyber SIEM thế hệ tiếp theo, là một thành phần quan trọng trong Nền tảng Stellar Cyber Open XDR...
Trải nghiệm hoạt động bảo mật được hỗ trợ bởi AI!
Khám phá AI tiên tiến của Stellar Cyber để phát hiện và ứng phó ngay lập tức với mối đe dọa. Lên lịch demo của bạn ngay hôm nay!
Giới thiệu về AI SecOps
SecOps là một phương pháp tiếp cận nhận được sự ủng hộ đáng kể trong các tổ chức có ý thức bảo mật. SecOps của mọi tổ chức cần phải thích ứng với cách bố trí độc đáo của tổ chức về tài sản kỹ thuật số, cơ sở hạ tầng và dữ liệu nhạy cảm - cũng giống như doanh nghiệp phát triển và thích ứng với những thay đổi của thị trường theo thời gian. Vì SecOps tích hợp các biện pháp bảo mật trong suốt vòng đời hoạt động CNTT, nên nó cũng cần nhúng bảo mật vào mọi giai đoạn phát triển và hoạt động.
Để đạt được điều này, SOC yêu cầu khả năng hiển thị liên tục, chuyên sâu vào các thiết bị, mạng và điểm cuối của hầu hết mọi người dùng – đây là một lượng dữ liệu khổng lồ. Một phần lý do khiến các nhóm SOC thường tách biệt khỏi các đối tác phát triển và CNTT của họ là để quản lý tất cả dữ liệu này. Đối với các nhóm phân tích, các nhóm SOC cũng cần một số lượng lớn các công cụ để trích xuất và nhóm dữ liệu này. Các công cụ Quản lý sự kiện và thông tin bảo mật (SIEM), Tường lửa và Phát hiện và phản hồi điểm cuối (EDR) đều giúp xử lý dữ liệu này và biến chúng thành thông tin có ý nghĩa.
AI trong hoạt động bảo mật hiện có thể thu thập dữ liệu bảo mật với cùng tốc độ mà dữ liệu được tạo ra. Do đó, Machine Learning – và AI tạo sinh mới hơn – chịu trách nhiệm biến SecOps thành một quy trình liên tục, cho phép các hoạt động bảo mật theo kịp các thay đổi về CNTT và phát triển. Hơn nữa, khi các nền tảng do AI điều khiển cung cấp nhiều tùy chọn tự động hóa hơn bao giờ hết, quá trình phát triển SecOps đang được thúc đẩy theo hướng hợp lý hóa các ngăn xếp công nghệ, giảm độ phức tạp và ROI cao hơn.
Các trường hợp sử dụng AI trong SecOps
Phát hiện mối đe dọa với ít kết quả dương tính giả hơn
Các mô hình AI phát triển mạnh mẽ từ các tập dữ liệu lớn: với AI, số lượng cảnh báo từng có thể khiến nhóm bảo mật quá tải giờ đây có thể được tiếp nhận, tham chiếu chéo và sử dụng để phát hiện các cảnh báo khác. Điều này trái ngược hoàn toàn với cách tiếp cận truyền thống để phát hiện mối đe dọa – chỉ xếp chồng các công cụ bảo mật lên nhau.
Đây là tình hình một công ty tài chính có trụ sở tại Hoa Kỳ đã tự tìm thấy chính mình trong: Các nhà phân tích SOC được yêu cầu bắt đầu mọi hoạt động bảo mật bằng cách đào sâu vào lượng lớn dữ liệu được đính kèm vào mỗi cảnh báo. Và vì doanh nghiệp có nhiều phần mềm công cụ bảo mật, họ phải xác định thủ công cùng một cảnh báo trên mỗi bảng điều khiển và theo dõi riêng từng đầu mối để xác định tính hợp lệ và thiệt hại tiềm ẩn của cảnh báo.
Vì AI có thể tiếp nhận tất cả dữ liệu nhật ký, mạng và thiết bị thô được đưa vào trình kích hoạt cảnh báo của công cụ, nên sau đó AI có thể liên hệ cảnh báo đó với các hành động tương ứng trên mạng, thiết bị hoặc tài khoản đang được đề cập. Kết quả là ít cảnh báo sai hơn nhiều - và trong trường hợp xảy ra sự cố bảo mật thực sự - AI có thể đặt cảnh báo trong bối cảnh của chuỗi tấn công rộng hơn.
Ứng phó sự cố tự động
Sổ tay hướng dẫn là nền tảng của khả năng phản hồi tự động – nó cho phép các nhóm tinh gọn như những nhóm tại Khoa CNTT của Đại học Zurich để nhanh chóng triển khai một số khả năng giám sát và phản hồi để đáp ứng các cảnh báo cụ thể. Ví dụ, trong trường hợp xảy ra sự cố ảnh hưởng đến các điểm cuối của một phòng ban, người quản lý CNTT tương ứng có thể được thông báo.
Tự động hóa có thể cho phép các nhóm tinh gọn cung cấp phạm vi bảo hiểm 24/7 ngay cả khi họ không có đủ nhân lực để có các nhà phân tích trực mọi lúc. Tự động hóa có thể truy cập thông qua sổ tay hướng dẫn – chỉ ra chính xác các bước khắc phục mà công cụ AI nên thực hiện để ứng phó với các loại cảnh báo và sự cố nhất định.
Cảnh báo ưu tiên và phát hiện mối đe dọa được hỗ trợ bởi AI
Vì các mô hình AI có thể được đào tạo từ các cuộc tấn công trong quá khứ – và có thể nắm bắt được thông tin cập nhật về toàn bộ tài sản của doanh nghiệp – nên chúng có thể phân loại cảnh báo theo bán kính nổ tiềm ẩn. Điều này làm giảm đáng kể gánh nặng đặt lên các quy trình SecOps thủ công vốn đòi hỏi nhiều giờ làm việc vất vả để thiết lập.
Phân loại cảnh báo đang chiếm rất nhiều thời gian thời gian của một chính quyền thành phố – trong trường hợp này, mỗi nhà phân tích được kỳ vọng sẽ vận hành công cụ bảo mật của riêng họ. Điều này để lại những khoảng trống đáng kể mà các vectơ tấn công phức tạp có thể khai thác. Phân loại được hỗ trợ bởi AI cho phép họ giảm đáng kể khối lượng công việc thủ công mà mỗi nhà phân tích phải thực hiện, cho phép một nhà phân tích tìm ra gốc rễ của một sự cố trong vòng 10 phút, thay vì vài ngày.
Tuy nhiên, thực sự biết nên triển khai AI vào SecOps ở đâu và như thế nào thường là rào cản đầu tiên khi triển khai.
Các phương pháp hay nhất để triển khai AI trong SecOps
Xác định các mục tiêu có thể đo lường được cho việc triển khai AI của bạn
Mục tiêu SMART khiến thế giới vận hành – và tập trung vào khả năng đo lường là chìa khóa để xác định và triển khai thành công một công cụ AI mới. Để trích xuất ROI tốt nhất có thể, tốt nhất là bắt đầu bằng cách xác định quy trình SecOps nào đang chiếm nhiều thời gian nhất của các nhà phân tích.
Đây có thể là một công cụ cụ thể – như SIEM – hoặc một số liệu rộng hơn, như thời gian phản hồi trung bình (MTTR). Đây có thể là một bước trong quy trình làm việc mà các nhà phân tích hoặc nhân viên CNTT phải tuân theo sau khi cảnh báo đến hộp thư đến của họ; điểm quan trọng là xác định chính xác thành phần nào đang gây ra sự chậm trễ lớn nhất. Quy trình này sẽ xây dựng một bức tranh về chính xác vai trò mà một công cụ AI sẽ cần phải thực hiện: nếu một điểm khó khăn lớn xoay quanh việc khám phá tài sản, thì tích hợp tường lửa AI có lẽ không phải là ưu tiên lớn nhất.
Tốt nhất là bắt đầu biến điều này thành một nỗ lực hợp tác. Việc có sự tham gia của các cấp lãnh đạo và những người ra quyết định điều hành khác là rất quan trọng để đạt được sự thay đổi lâu dài và họ có thể giúp CNTT và bảo mật hình dung những thay đổi cần thiết của tổ chức.
Tích hợp AI vào các công cụ và quy trình làm việc hiện có của bạn
Công nghệ AI phát triển mạnh trong môi trường giàu dữ liệu – nhưng chúng cần có khả năng lấy dữ liệu đó từ đâu đó. Tích hợp tùy chỉnh có thể khó khăn và tốn thời gian, vì vậy khi xem xét các giải pháp dựa trên AI, hãy đánh giá khả năng tích hợp của chúng với các công cụ hiện tại của bạn. Rất hiếm khi một tổ chức phải bắt đầu từ con số không. Đôi khi, nếu SIEM, EDR hoặc tường lửa của bạn đã hoạt động tốt – và sự chậm lại xuất phát từ nguồn lực hạn chế của chính các nhà phân tích – thì tốt nhất là bổ sung SIEM của bạn bằng AI, thay vì tiến hành thay thế.
Trong phạm vi này, đừng quên rằng AI đòi hỏi rất nhiều dữ liệu bảo mật. Nếu bạn đang xây dựng một tập dữ liệu từ đầu, bạn sẽ cần đầu tư vào việc xây dựng một cơ sở hạ tầng dữ liệu mạnh mẽ và có khả năng phục hồi, kết hợp với các giao thức quản trị nghiêm ngặt. Một cơ sở hạ tầng mạnh mẽ đòi hỏi phải triển khai các giải pháp lưu trữ an toàn, tối ưu hóa khả năng xử lý dữ liệu và thiết lập các hệ thống truyền dữ liệu hiệu quả để hỗ trợ phát hiện và phản hồi mối đe dọa theo thời gian thực. Mặt khác, một sản phẩm của bên thứ ba quản lý tất cả dữ liệu này cho bạn – nhưng hãy đảm bảo rằng bạn tin tưởng nhà cung cấp.
Điều chỉnh nhóm SecOps để sử dụng hệ thống do AI điều khiển
Mặc dù công cụ AI cần phải linh hoạt, nhưng nó phải thực hiện một số thay đổi đối với công việc hàng ngày của các nhà phân tích – đó là mục đích của nó. Các nhóm bị ảnh hưởng cần biết những thay đổi này sẽ kéo theo những gì và quy trình làm việc của riêng họ sẽ như thế nào. Vì SecOps đã yêu cầu đào tạo toàn diện về hoạt động bảo mật, nên họ phải quen thuộc với các khuôn khổ chính sách và thủ tục. Tương tự như vậy, bản cập nhật AI cần chia nhỏ các quy trình thành các hành động có thể đo lường được và hướng dẫn rõ ràng.
Với những điều đã nói, hãy xem xét các bộ kỹ năng và kinh nghiệm của các thành viên SecOps hiện tại – nếu có một số thành viên nhóm mới hơn vẫn đang nỗ lực, hãy cân nhắc chọn công cụ AI dễ tiếp cận và hướng dẫn họ thực hiện các hành động tự động hoặc quy trình cảnh báo mà nó đã thực hiện. Điều này cho phép họ xây dựng sự tự tin của riêng mình khi giải quyết các mối đe dọa. Tính minh bạch cũng xây dựng thêm lòng tin giữa nhóm con người và công cụ phân tích AI, đồng thời cho phép phán đoán của AI được tinh chỉnh theo thời gian.
Xây dựng sổ tay hướng dẫn
Sổ tay hướng dẫn là nền tảng của việc triển khai bảo mật AI và mặc dù một công cụ AI có thể đi kèm một số sổ tay hướng dẫn được thiết lập sẵn, nhưng cách tốt nhất là bạn nên tự xây dựng hoặc sửa đổi sổ tay hướng dẫn của riêng mình, tùy theo trường hợp sử dụng cụ thể mà bạn cần.
Ví dụ, nếu một nhóm xử lý nhiều liên lạc qua email bên ngoài, điều quan trọng là phải xây dựng một số sổ tay hướng dẫn để xử lý cụ thể mối đe dọa lừa đảo qua email. Trong trường hợp này, một nền tảng AI trung tâm phát hiện ngữ pháp hoặc siêu dữ liệu đáng ngờ của email lừa đảo, sau đó kích hoạt sổ tay hướng dẫn liên quan. Trong trường hợp này, sổ tay hướng dẫn tự động cô lập email - hoặc chính điểm cuối nếu có bằng chứng xâm phạm - và sau đó kích hoạt đặt lại mật khẩu. Một thông báo được gửi đến quản trị viên bảo mật tương ứng, người sẽ nhận tất cả thông tin đó được đóng gói thành một cảnh báo. Các sổ tay hướng dẫn mà mô hình AI của bạn cần phụ thuộc vào thiết lập và trách nhiệm của tổ chức bạn.
Nhìn chung, các biện pháp thực hành SecOps tốt nhất do AI thúc đẩy này đảm bảo quá trình chuyển đổi suôn sẻ sang SecOps do AI thúc đẩy, đồng thời mang lại ROI tối đa.
Stellar Cyber cải thiện AI SecOps như thế nào
Phát hiện sự cố tự động
Stellar Cyber loại bỏ sự phụ thuộc vào việc phát hiện mối đe dọa thủ công và xác định mối đe dọa dựa trên quy tắc với nhiều lớp AI.
AI đầu tiên trong số này tập trung vào phát hiện: Nhóm nghiên cứu bảo mật của Stellar Cyber tạo và đào tạo các mô hình có giám sát bằng cách sử dụng hỗn hợp các tập dữ liệu có sẵn công khai và được tạo nội bộ. Các mối đe dọa zero-day và chưa biết có thể phát hiện được thông qua các mô hình học máy không giám sát song song. Các mô hình này thiết lập đường cơ sở về hành vi của mạng và người dùng trong nhiều tuần. Sau khi các tín hiệu dữ liệu được thu thập, AI dựa trên GraphML sẽ liên kết các phát hiện và các tín hiệu dữ liệu khác, tự động liên kết các điểm dữ liệu liên quan để hỗ trợ các nhà phân tích. Nó đánh giá cường độ kết nối giữa các sự kiện khác nhau bằng cách phân tích các thuộc tính, thời gian và các mẫu hành vi.
Các dạng AI khác dựa trên các khả năng khám phá cốt lõi này. Chúng mang lại nhiều khả năng tiếp cận và phản hồi hơn cho các tổ chức do Stellar Cyber hỗ trợ.
Làm cho SecOps có thể truy cập được
Mọi dữ liệu bảo mật thời gian thực của một tổ chức đều được thể hiện theo hai định dạng chính: định dạng đầu tiên là chuỗi tiêu diệt nằm trên bảng điều khiển và định dạng thứ hai là thông qua Copilot.
Bảng điều khiển XDR Kill Chain đóng vai trò là trang chủ mặc định cho Stellar Cyber, cung cấp chế độ xem tập trung về rủi ro tổng thể và các mối đe dọa đã phát hiện. Nó cho phép đánh giá nhanh bằng cách cung cấp các phân tích chi tiết về các sự cố đang hoạt động, tài sản có rủi ro cao và chiến thuật tấn công. Phương pháp tiếp cận hợp lý này giúp các nhóm bảo mật ưu tiên các vấn đề quan trọng, bất kể các điểm trọng tâm riêng lẻ của họ sau đó có thể được đào sâu hơn.
Mặt khác, Copilot AI là một công cụ điều tra dựa trên LLM giúp đẩy nhanh các dự án phân tích mối đe dọa của các nhà phân tích bằng cách cung cấp phản hồi tức thời cho các truy vấn. Điều này làm cho nó hoàn hảo để truy xuất và giải thích dữ liệu nhanh chóng, tích hợp công cụ này sâu hơn vào các dự án SecOps.
Khả năng hiển thị toàn diện
Stellar cyber thu thập nhật ký và dữ liệu bảo mật thông qua nhiều loại cảm biến. Các cảm biến mạng và bảo mật thu thập siêu dữ liệu từ các thiết bị chuyển mạch vật lý và ảo trong khi tổng hợp nhật ký để có khả năng hiển thị toàn diện. Deep Packet Inspection (DPI) của nó phân tích các tải trọng một cách nhanh chóng. Mặt khác, các cảm biến máy chủ có thể thu thập dữ liệu từ các máy chủ Linux và Windows, ghi lại lưu lượng mạng, lệnh, quy trình, tệp và hoạt động của ứng dụng. Mong đợi khả năng tương thích hoàn toàn từ Windows 98 trở đi và các bản phân phối Linux như Ubuntu, CoreOS và Debian.
Nền tảng này có thể đặt ở bất kỳ nơi nào cần khả năng hiển thị: dù là nền tảng đám mây, nền tảng kết hợp hay hoàn toàn tại cơ sở hoặc dựa trên đối tượng thuê, Stellar Cyber đều kết hợp dữ liệu từ mọi nơi.
AI phản hồi nâng cao
Khả năng phản hồi của Stellar Cyber mở rộng khả năng tích hợp của công cụ này với các công cụ bảo mật hiện có: tuy nhiên, thay vì chỉ thu thập dữ liệu, Stellar có thể tự động thực hiện các hành động thông qua các công cụ đó.
Vì Stellar tập trung vào việc triển khai nhanh chóng nên nó được cung cấp kèm 40 cẩm nang săn tìm mối đe dọa được xây dựng sẵn, bao gồm toàn bộ bề mặt tấn công—chẳng hạn như lỗi đăng nhập Windows, phân tích DNS và Microsoft 365. Điều này giúp việc phát hiện và ứng phó với mối đe dọa dễ tiếp cận hơn, ngay cả đối với các nhóm không có chuyên môn sâu về bảo mật.
Stellar Cyber tích hợp liền mạch với tường lửa, bảo mật điểm cuối, công cụ quản lý danh tính và quyền truy cập, hệ thống tạo phiếu và ứng dụng nhắn tin để mở rộng hoạt động bảo mật. Đối với nhu cầu phối hợp nâng cao hơn, nó hỗ trợ tích hợp với các nền tảng SOAR hàng đầu để phản hồi mối đe dọa hợp lý và hiệu quả. Các doanh nghiệp được Stellar Cyber hỗ trợ tận hưởng quyền kiểm soát chi tiết đối với các kích hoạt, điều kiện và đầu ra của từng sổ tay hướng dẫn – cho phép họ tuân thủ chặt chẽ và gọn gàng các biện pháp thực hành tốt nhất của SecOps. Sổ tay hướng dẫn có thể được triển khai trên toàn cầu hoặc trên cơ sở từng đối tượng thuê bao.
Khám phá Stellar Cyber AI SecOps
Nền tảng của Stellar Cyber đơn giản hóa việc áp dụng AI trong SecOps bằng cách tập trung vào việc triển khai nhanh chóng. Nó cho phép các doanh nghiệp đạt được các hoạt động bảo mật hiệu quả hơn mà không cần quá trình triển khai dài dòng hoặc bị nhà cung cấp chặn. Khả năng tự động hóa của nó có sẵn ngay khi xuất xưởng – để khám phá môi trường và khả năng của Stellar Cyber, lên lịch trình demo.
