Các đội ngũ an ninh chưa bao giờ có nhiều công cụ, dữ liệu hay áp lực như hiện nay. Mọi khuyến cáo đều mang tính cấp bách, mọi khai thác mới dường như đều được tự động hóa, và mọi tác nhân đe dọa hiện đang thử nghiệm AI. Tuy nhiên, hầu hết các vụ xâm phạm vẫn thành công không phải vì các bên bảo vệ thiếu công cụ—mà là vì họ thiếu... khả năng hiển thị hoàn chỉnh và tự động hóa để hiểu những gì họ nhìn thấy.
Để hiểu những gì đang xảy ra trong môi trường của bạn, bạn cần ba luồng tín hiệu bổ sung: các bản ghi, đo từ xa điểm cuốivà lưu lượng mạngMỗi hệ thống phơi bày một khía cạnh khác nhau của một cuộc tấn công. Mỗi hệ thống có thể phát hiện những gì hệ thống khác không thể. Và khi kết hợp chúng với AI hiện đại — học máy, phân loại đặc vụ và phi công phụ được hỗ trợ bởi LLM — cuối cùng bạn sẽ có một chương trình bảo mật có thể theo kịp kẻ tấn công.
Nhật ký: Bản ghi ý định
Nhật ký ghi lại câu chuyện về "những gì đã được báo cáo"—xác thực, lệnh gọi API, thay đổi đặc quyền, thay đổi cấu hình. Chúng tiết lộ mục đích.
Ví dụ: Tăng quyền hạn
Người dùng bị xâm phạm đăng nhập và ngay lập tức thử thay đổi cấp quản trị. Nhật ký hiển thị:
- Địa lý đăng nhập đáng ngờ
- Sửa đổi IAM
- Hoạt động API bất thường
- Tạo mã thông báo cho quyền truy cập ngang hàng
Đo từ xa điểm cuối: Sự thật của việc thực hiện
Điểm cuối tiết lộ mã nào thực sự đã chạy: quy trình, tệp nhị phân, tập lệnh, hoạt động bộ nhớ, cơ chế duy trì.
Ví dụ: Phần mềm độc hại ẩn
Kẻ tấn công thả một tải trọng không có tệp. Dữ liệu đo từ xa của điểm cuối cho thấy:
- PowerShell xuất hiện bất ngờ
- Các công cụ sống ngoài đất bị lạm dụng
- Sự tồn tại của sổ đăng ký
- Những nỗ lực leo thang đặc quyền cục bộ
Lưu lượng mạng: Tín hiệu không thể phủ nhận
Lưu lượng mạng là vật lý—bạn không thể làm giả luồng gói tin. Nó cho thấy những gì xảy ra giữa các hệ thống, bao gồm cả những hệ thống bạn không thể cài đặt tác nhân (OT, IoT, hệ thống cũ).
Ví dụ: Rò rỉ dữ liệu
Một máy chủ bị xâm nhập bắt đầu gửi các đoạn mã hóa ra bên ngoài. Phân tích mạng cho thấy:
- Đột biến đi ra
- Đường hầm C2 mới
- Thoát nước ngoài giờ làm việc
- Các kết nối bên trước cuộc tấn công
Các mô hình ML phát hiện các mẫu bất thường về thể tích, hướng và thời gian—phát hiện sớm các nỗ lực thoát khí.
AI thay đổi trò chơi như thế nào
Việc xem nhật ký + điểm cuối + mạng là điều cần thiết.
Con người không thể tự mình hiểu được cả ba điều này trong thời gian thực.
Ngày nay SOCdựa vào ba lớp AI:
1. Học máy để phát hiện
2. AI đặc vụ cho phân loại
- Thu thập bằng chứng từ tất cả dữ liệu đo từ xa
- Tái tạo chuỗi tấn công
- Lập bản đồ các thực thể và tài sản liên quan
- Xác định nguyên nhân gốc rễ có thể xảy ra
- Xếp hạng rủi ro thực tế
Trong các lần triển khai Stellar Cyber, phân loại tác nhân luôn mang lại:
- giảm tới 90% âm lượng cảnh báo
- 80–90% tự động phân loại các trường hợp thường quy
- Cải thiện MTTR hơn 70%
3. Hỗ trợ phi công phụ (LLM)
Cốt lõi tốt nhất: SIEM + Mạng (Với tùy chọn điểm cuối mở)
SIEM (Nhật ký) + Lưu lượng mạng (NDR)
- Nhật ký cung cấp danh tính, quyền quản trị và mục đích.
- Lưu lượng mạng cho thấy sự di chuyển ngang và sự rò rỉ.
- Cả hai đều luôn khả dụng—ngay cả khi các tác nhân điểm cuối không thể đến được.
- Các công cụ điểm cuối thay đổi; kiến trúc mở có nghĩa là bạn có thể sử dụng bất kỳ EDR nào bạn thích.
Stellar Cyber hợp nhất cả ba tín hiệu thành một nền tảng hỗ trợ AI, cho phép máy học, AI tác nhân và khả năng lái phụ trên toàn bộ môi trường.
Bởi vì khả năng hiển thị + tự động hóa không còn là tùy chọn nữa. Đó là cách duy nhất để vượt lên trước những đối thủ đã và đang sử dụng AI để chống lại bạn.
