Lưu lượng mạng trực tiếp là liên kết còn thiếu: AI không thể phát hiện những gì nó không thể nhìn thấy
AI đang thống trị các cuộc trò chuyện về an ninh mạng—và MSSP đang vội vã để tận dụng. Cho dù thông qua SIEM nền tảng với ML tích hợp hoặc EDR với các cuộc điều tra được hỗ trợ bởi AI, lời hứa rất rõ ràng: phát hiện nhanh hơn, phân loại thông minh hơn và kết quả tốt hơn. Nhưng đây là sự thật khó khăn—AI không thể cứu bạn nếu nó không có dữ liệu đầy đủ. Và đó chính xác là điều mà nhiều MSSP đang thiếu: khả năng hiển thị mạng theo thời gian thực thông qua NDR.
Phát hiện và phản hồi mạng (NDR) không chỉ là một lớp bổ sung—mà là đầu vào cốt lõi mà AI cần để phát hiện những gì nhật ký và điểm cuối không thể nhìn thấy. Tuy nhiên, quá thường xuyên, nó bị loại khỏi các ngăn xếp MSSP hoàn toàn, bị coi là phức tạp hoặc thừa thãi. Đó không chỉ là một khoảng cách kỹ thuật—mà là một điểm mù kinh doanh.
AI chỉ tốt bằng dữ liệu của nó
BDU và SIEM các công cụ cung cấp dữ liệu đo từ xa quan trọng—nhưng chúng không nắm bắt được mọi thứ. BDU không thể quan sát các thông tin liên lạc không bắt nguồn từ điểm cuối. SIEMs chỉ hiệu quả như dữ liệu nhật ký mà chúng thu thập—và nhật ký thường không đầy đủ, bị trì hoãn hoặc được định dạng không nhất quán. Ngay cả những mô hình AI tốt nhất cũng không thể "lấp đầy" những điểm mù đó trừ khi có dữ liệu cơ bản.
Đó là nơi lưu lượng mạng trực tiếp trở nên quan trọng. Nó khách quan, theo thời gian thực và liên tục. Khi AI được cung cấp dữ liệu mạng toàn phổ—từ thông tin liên lạc nội bộ đến luồng dữ liệu ra bên ngoài—nó có thể phát hiện chuyển động ngang, rò rỉ và các bất thường tinh vi mà các công cụ khác chỉ đơn giản là bỏ qua.
Ví dụ 1: Tiếp quản tài khoản với chuyển động ngang
Kẻ tấn công xâm phạm tài khoản người dùng hợp pháp. Hành vi có vẻ bình thường: đăng nhập trong giờ làm việc, truy cập vào các hệ thống quen thuộc. BDU thấy điểm cuối có hành vi bình thường. SIEM các bản ghi hoạt động—nhưng không có gì kích hoạt.
Nhập NDR: nó phát hiện tài khoản đang truy cập vào các mạng con mới, truy vấn các tài nguyên mà nó chưa bao giờ chạm đến và giao tiếp ngang hàng theo những cách phá vỡ các mô hình đã thiết lập. Sau đó, AI đánh dấu điều này là đáng ngờ—nhưng chỉ vì dữ liệu mạng đã có để xem nó. Nếu không có NDR, khả năng phát hiện bằng AI sẽ không bao giờ xảy ra.
Ví dụ 2: Rò rỉ dữ liệu qua các kênh bí mật
Bây giờ hãy xem xét một kịch bản đánh cắp dữ liệu. Kẻ tấn công sử dụng đường hầm DNS hoặc HTTPS được mã hóa để âm thầm đánh cắp dữ liệu. BDU Phát hiện các yêu cầu DNS hoặc lưu lượng HTTPS—không có gì đáng lo ngại. SIEM Nó ghi lại sự việc—nhưng trừ khi bạn đã xây dựng sẵn các quy tắc cho mẫu cụ thể đó, nếu không thì sự việc sẽ không được chú ý.
Với NDR, AI phát hiện luồng ra liên tục, nhịp độ truy vấn bất thường, hành vi báo hiệu. Một lần nữa, AI chỉ kết nối các dấu chấm vì NDR làm cho chúng trở nên hữu hình.
Trường hợp kinh doanh MSSP: Khả năng hiển thị + AI = Dịch vụ có giá trị cao
- Phát hiện sâu hơn: Khắc phục những điểm mù của EDR và SIEM với ngữ cảnh lớp mạng.
- Hiệu suất AI tốt hơn: Cung cấp cho các công cụ AI dữ liệu đầu vào hoàn chỉnh, có độ trung thực cao—tối đa hóa ROI trên các nền tảng phân tích.
- Sản phẩm cao cấp: Cung cấp báo cáo chi tiết về mối đe dọa với thông tin chi tiết rõ ràng về phạm vi bảo vệ của MITRE ATT&CK và các bất thường về hành vi.
- Vị thế tuân thủ mạnh mẽ hơn: Nhiều khuôn khổ quản lý yêu cầu giám sát mạng—NDR cho phép khả năng hiển thị liên tục và có thể xác minh.
Bản đồ MITRE ATT&CK: Bằng chứng về hiệu suất
Một ưu điểm nổi bật của NDR là cách nó tự nhiên ánh xạ đến các chiến thuật MITRE ATT&CK—đặc biệt là những chiến thuật mà chỉ có nhật ký mới bỏ sót (ví dụ: di chuyển ngang, chỉ huy và kiểm soát, xâm nhập). Khi NDR hỗ trợ phát hiện, bạn có thể tạo ra bằng chứng đáng tin cậy, hướng đến khách hàng rằng hệ thống AI của bạn không chỉ phân tích dữ liệu—mà còn thấy toàn bộ bề mặt tấn công.
MSSP có thể sử dụng điều này để tạo bằng chứng dịch vụ rõ ràng, có thể lặp lại trong các báo cáo, QBR và tóm tắt của ban điều hành. Điều này chuyển trực tiếp thành cơ hội duy trì, bán thêm và đòn bẩy gia hạn.
Tại sao Stellar Cyber
Tại Stellar Cyber, chúng tôi đã xây dựng Open XDR nền tảng để làm những gì mà AI không thể làm được: nhìn thấy mọi thứ. Tích hợp của chúng tôi NDR luôn bật, được nhúng sâu và được tối ưu hóa để cung cấp cho các công cụ AI dữ liệu thô, phong phú mà chúng cần để phát hiện các mối đe dọa thực sự. Không giống như các nền tảng được ghép lại với nhau, Stellar Cyber cung cấp khả năng hiển thị thống nhất trên các điểm cuối, nhật ký, người dùng và mạng—tất cả trong một giao diện duy nhất được thiết kế cho quy mô MSSP.
Với sự hỗ trợ cho báo cáo MITRE ATT&CK, đa thuê bao và tương quan mối đe dọa tự động, Stellar Cyber cung cấp cho MSSP nền tảng để cung cấp khả năng phát hiện nâng cao bằng AI với khả năng hiển thị theo thời gian thực được tích hợp sẵn.
