安全团队从未拥有过如此多的工具、数据或压力。每份安全公告都声称形势紧迫,每一种新的漏洞利用似乎都是自动化的,每个威胁行为者都在尝试使用人工智能。然而,大多数安全漏洞仍然能够得逞,并非因为防御者缺乏工具,而是因为他们缺乏…… 完全可见性 以及用于理解他们所看到内容的自动化系统。
要了解周围环境中正在发生的事情,你需要三个互补的信号流: 日志, 端点遥测和 网络流量它们各自揭示了攻击的不同层面,各自捕捉到其他方法无法发现的漏洞。当它们与现代人工智能——机器学习、智能体分诊和基于机器学习的辅助驾驶系统——相结合时,最终就能获得一个能够与攻击者抗衡的安全程序。
日志:意图的记录
日志记录了“已报告的内容”——身份验证、API 调用、权限变更、配置偏差。它们揭示了意图。
示例:权限提升
一名身份被盗用的用户登录后立即尝试进行管理员级别的更改。日志显示:
- 可疑的登录地理位置
- IAM修改
- 异常 API 活动
- 创建横向访问令牌
终端遥测:执行的真相
端点揭示了哪些代码 实际上运行进程、二进制文件、脚本、内存活动、持久化机制。
示例:隐藏的恶意软件
攻击者投放了一个无文件有效载荷。端点遥测数据显示:
- PowerShell 意外启动
- 滥用自给自足的工具
- 注册表持久性
- 本地权限提升尝试
网络流量:不容置疑的信号
网络流量本质上是物理现象——数据包的流动是无法伪造的。它展现了系统之间发生的一切,包括那些无法安装代理的系统(例如OT、IoT和传统系统)。
示例:数据泄露
一台被入侵的服务器开始向外部发送加密数据块。网络分析显示:
- 出站峰值
- 新建C2隧道
- 非工作时间的外逃
- 攻击前的横向联系
机器学习模型能够捕捉到数量、方向和时间上的异常模式,及早发现外泄企图。
人工智能如何改变游戏规则
查看日志、端点和网络状况至关重要。
单凭人类自身的力量,不可能实时理解这三者之间的关系。
今天的 SOC依赖于 三层人工智能:
1. 用于检测的机器学习
2. 用于分诊的智能体人工智能
- 收集所有遥测数据的证据
- 重建攻击序列
- 涉及的实体和资产的映射
- 确定可能的根本原因
- 对实际风险进行排名
在 Stellar Cyber 的所有部署中,代理分诊始终能够提供以下服务:
- 警报量最多可减少 90%
- 常规病例自动分诊率达 80-90%。
- 平均修复时间 (MTTR) 提升 70% 以上
3. 副驾驶(LLM)协助
最佳核心: SIEM + 网络(可选择开放端点)
SIEM (日志)+ 网络流量(NDR)
- 日志提供身份、治理和意图信息。
- 网络流量揭示了横向移动和数据泄露。
- 即使在终端代理无法到达的地方,两者也始终可用。
- 终端安全工具不断变化;开放式架构意味着您可以使用任何您喜欢的EDR工具。
Stellar Cyber 将所有三个信号整合到一个 AI 驱动的平台中,从而在整个环境中实现机器学习、智能 AI 和副驾驶功能。
因为可见性+自动化已不再是可选项。这是唯一能够领先于那些已经开始使用人工智能对抗你的对手的方法。
