AI SecOps:实施和最佳实践
安全运营 (SecOps) 是防止漏洞和风险入侵敏感企业资产的单个流程的集合。这与安全运营中心 (SOC) 略有不同,后者是监控和预防安全事件的组织单位。
这一区别非常重要,因为 SecOps 旨在将安全流程集成到运营管道中,而传统 SOC 将安全从 IT 中分离出来,本质上是隔离了安全流程。这就是现代 SOC 经常实施 SecOps 的原因,以此来平衡威胁预防和专用事件响应能力。
由于 SecOps 需要与日常 IT 和 OT 工作流程相辅相成,而不是相互干扰,因此 SecOps 自动化是该战略的重要组成部分。本文探讨了 AI SecOps 的发展方式、AI 在 SecOps 中的用例以及在 SecOps 中实施 AI 的最佳实践。
亲身体验人工智能驱动的安全!
探索 Stellar Cyber 的尖端 AI,实现即时威胁检测和响应。立即安排您的演示!
AI SecOps 简介
SecOps 是一种在注重安全的组织中获得大量支持的方法。每个组织的 SecOps 都需要适应组织独特的数字资产、基础设施和敏感数据布局——就像企业随着时间的推移而发展并适应市场变化一样。由于 SecOps 在整个 IT 运营生命周期中集成了安全措施,因此它还需要将安全性嵌入到开发和运营的每个阶段。
为了实现这一点,SOC 需要持续深入地了解几乎所有用户的设备、网络和端点——这是一个令人难以置信的数据量。SOC 团队传统上与开发人员和 IT 同行分离的部分原因就是要管理所有这些数据。在分析师层级周围,SOC 团队还需要大量工具来提取和分组数据。安全信息和事件管理 (SIEM) 工具、防火墙和端点检测和响应 (EDR) 都有助于处理这些数据并将其转化为有意义的信息。
安全运营中的人工智能现在能够以与生成速度相同的速度提取安全数据。因此,机器学习及其较新的生成式人工智能负责将 SecOps 转变为一个连续的过程,使安全运营能够跟上 IT 和开发变化的步伐。此外,随着人工智能驱动的平台提供比以往更多的自动化选项,SecOps 的发展正朝着精简技术堆栈、降低复杂性和提高投资回报率的方向发展。
AI 在 SecOps 中的用例
减少误报的威胁发现
人工智能模型依靠大型数据集蓬勃发展:借助人工智能,曾经可能让安全团队不堪重负的大量警报现在可以被提取、交叉引用并用于检测其他警报。这与传统的威胁检测方法形成了鲜明对比——传统的威胁检测方法只是将安全工具堆叠在一起。
情况是这样的 一家美国金融公司 所面临的情况:SOC 分析师需要通过挖掘与每个警报相关的大量数据来启动每个安全操作。而且由于企业拥有多个安全工具软件,他们必须在每个控制台上手动识别相同的警报,并单独跟踪每个线索以确定警报的有效性和潜在损害。
由于 AI 能够提取工具警报触发器中的所有原始日志、网络和设备数据,因此它能够将该警报与相关网络、设备或帐户上的相应操作关联起来。这样一来,误报就会大大减少,而且,如果发生真正的安全事件,AI 可以将警报置于更广泛的攻击链中。
自动事件响应
剧本是自动响应能力的基石——它允许像 苏黎世大学 IT 系 针对特定警报快速实施某些监控和响应能力。例如,如果发生影响部门端点的事件,则可以通知相应的 IT 经理。
即使精益团队没有足够的人力随时安排分析师值班,自动化也能让他们提供全天候服务。自动化可通过剧本实现 - 剧本精确指示 AI 工具应针对特定警报类型和事件采取哪些补救措施。
优先警报和人工智能威胁检测
由于 AI 模型可以根据历史攻击进行训练,并且可以掌握企业整个资产堆栈的最新情况,因此它们能够根据潜在爆炸半径对警报进行分类。这大大减轻了手动 SecOps 流程的负担,否则这些流程需要长时间、艰苦的工作才能建立。
警报分类占用了大量 一个市政府的时间 – 在这种情况下,每位分析师都需要操作自己的安全工具。这留下了巨大的漏洞,复杂的攻击媒介可能会利用这些漏洞。人工智能辅助分类使他们能够大幅减少每位分析师所需的手动工作量,让分析师能够在 10 分钟内(而不是几天)查明事件的真相。
然而,实际上了解在哪里以及如何将 AI 实施到 SecOps 中通常是实施的第一个障碍。
在 SecOps 中实施 AI 的最佳实践
为您的 AI 部署定义可衡量的目标
SMART 目标让世界运转起来——而对可测量性的关注是定义和成功实施新 AI 工具的关键。为了获得最佳的投资回报,最好首先确定哪些 SecOps 流程占用了分析师的大部分时间。
这可能是一个特定的工具(如 SIEM),也可能是一个更广泛的指标,如平均响应时间 (MTTR)。这可能是分析师或 IT 人员在警报到达收件箱后必须遵循的工作流程中的一个步骤;重点是准确识别哪个组件导致了最大的减速。这个过程将描绘出 AI 工具需要填补的确切角色:如果主要痛点围绕资产发现,那么 AI 防火墙集成可能不是最大的优先事项。
最好也开始让这项工作成为一项协作努力。让 C 级人员和其他高管决策者参与进来对于实现持久变革至关重要,他们可以帮助 IT 和安全部门描绘出所需的组织变革。
将人工智能集成到您现有的工具和工作流程中
AI 技术在数据丰富的环境中蓬勃发展 - 但它们需要能够从某个地方提取数据。自定义集成可能很困难且耗时,因此在查看基于 AI 的解决方案时,请评估它们与您当前工具集成的能力。组织极少需要从头开始。有时,如果您的 SIEM、EDR 或防火墙已经正常运行 - 而速度变慢是由于分析师自身资源有限 - 最好用 AI 来补充您的 SIEM,而不是进行替换。
在此过程中,不要忘记人工智能需要大量的安全数据。如果您从头开始构建数据集,则需要投资构建强大且有弹性的数据基础架构,并结合严格的治理协议。强大的基础架构需要实施安全存储解决方案、优化数据处理能力并建立高效的数据传输系统以支持实时威胁检测和响应。另一方面,第三方产品会为您管理所有这些数据 - 但请确保您信任提供商。
调整 SecOps 团队以使用 AI 驱动的系统
虽然人工智能工具需要灵活,但它必须对分析师的日常工作做出一些改变——这就是它存在的意义。受影响的团队需要知道这将带来哪些变化,以及他们自己的工作流程应该是什么样子。由于 SecOps 已经要求全面的安全运营培训,他们应该已经熟悉政策和程序框架。同样,人工智能更新需要将流程分解为可衡量的行动和明确的指导。
话虽如此,请考虑当前 SecOps 成员的技能和经验——如果有一些新团队成员仍在努力,请考虑选择易于上手的 AI 工具,并引导他们完成自动化操作或警报流程。这让他们能够在应对威胁时建立自己的信心。透明度还可以在人类团队和 AI 分析引擎之间建立更多的信任,同时也允许 AI 的判断随着时间的推移而得到微调。
构建剧本
剧本是人工智能安全实施的基础,虽然人工智能工具可能带有一些预先建立的剧本,但最佳做法是根据需要的具体用例构建或修改自己的剧本。
例如,如果一个团队要处理许多外部电子邮件通信,那么制定一些剧本来专门处理电子邮件网络钓鱼的威胁就很重要。在这种情况下,中央 AI 平台会检测网络钓鱼电子邮件的可疑语法或元数据,然后触发其关联的剧本。在这种情况下,剧本会自动隔离电子邮件(如果有证据显示存在泄露,则隔离端点本身),然后触发密码重置。一条消息会发送给相应的安全管理员,后者会收到打包成一个警报的所有信息。您的 AI 模型所需的剧本取决于您组织自己的设置和职责。
总的来说,这些 AI 驱动的 SecOps 最佳实践确保了向 AI 驱动的 SecOps 的顺利过渡,同时提供最大的投资回报率。
Stellar Cyber 如何增强 AI SecOps
自动事件检测
Stellar Cyber 消除了对手动威胁检测和基于规则的威胁识别的依赖, 多层次的人工智能。
这些 AI 中的第一个专注于检测:Stellar Cyber 的安全研究团队使用公开可用的和内部生成的数据集创建和训练监督模型。零日威胁和未知威胁可通过并行无监督机器学习模型检测。这些模型在几周内建立了网络和用户行为的基线。一旦数据信号被采集,基于 GraphML 的 AI 就会关联检测和其他数据信号,自动链接相关数据点以协助分析师。它通过分析属性、时间和行为模式来评估不同事件之间的联系强度。
其他形式的人工智能则基于这些核心发现能力。它们为 Stellar Cyber 支持的组织带来了更多的可访问性和响应能力。
让 SecOps 变得触手可及
所有组织实时安全数据都以两种主要格式呈现:第一种是位于仪表板上的杀伤链,第二种是通过 Copilot。
XDR Kill Chain 仪表板是 Stellar Cyber 的默认主页,可集中查看总体风险和检测到的威胁。它通过深入分析活动事件、高风险资产和攻击策略来实现快速评估。这种简化的方法可帮助安全团队确定关键问题的优先级,无论其各自的重点是什么,然后都可以进一步深入研究。
另一方面,Copilot AI 是一个基于 LLM 的调查工具,它通过提供对查询的即时响应来加速分析师自己的威胁分析项目。这使其成为快速数据检索和解释的完美选择,并将该工具进一步集成到 SecOps 项目中。
全表面可视性
Stellar cyber 通过多种类型的传感器采集日志和安全数据。网络和安全传感器从物理和虚拟交换机收集元数据,同时汇总日志以获得全面的可见性。其深度数据包检测 (DPI) 可以快速分析有效载荷。另一方面,服务器传感器能够从 Linux 和 Windows 服务器收集数据,捕获网络流量、命令、进程、文件和应用程序活动。预计与 Windows 98 及更高版本以及 Ubuntu、CoreOS 和 Debian 等 Linux 发行版完全兼容。
该平台位于需要可见性的任何地方:无论是基于云、混合、还是完全本地部署或基于租户,Stellar Cyber 都可以整合来自任何地方的数据。
高级响应人工智能
Stellar Cyber 的响应能力扩展了该工具与现有安全工具的集成:然而,Stellar 并不是简单地提取数据,而是可以通过相同的工具自动采取行动。
由于 Stellar 专注于快速实施,它附带了 40 个预先构建的威胁搜寻剧本,涵盖了整个攻击面 - 例如 Windows 登录失败、DNS 分析和 Microsoft 365。这使得威胁检测和响应更容易实现,即使对于没有深厚安全专业知识的团队也是如此。
Stellar Cyber 可与防火墙、端点安全、身份和访问管理工具、票务系统和消息应用程序无缝集成,以扩展安全运营。对于更高级的编排需求,它支持与领先的 SOAR 平台集成,以实现简化和高效的威胁响应。采用 Stellar Cyber 的企业可以精细控制每个剧本的触发器、条件和输出,从而使他们能够紧密而整齐地遵循 SecOps 最佳实践。剧本可以在全球范围内部署,也可以按租户部署。
探索 Stellar Cyber AI SecOps
