- От скриптов до агентного ИИ в операциях по обеспечению безопасности
- Ключевые сценарии использования агентного ИИ в сфере безопасности, имеющие наибольшее значение.
- Постоянные проверки соблюдения требований и обеспечение выполнения политики.
- Архитектурные шаблоны, сочетающие агентный ИИ с XDR и SIEM
- Практический путь внедрения для руководителей служб информационной безопасности компаний среднего размера.
Реальные примеры применения агентного ИИ в кибербезопасности
Лидеры в сфере безопасности среднего бизнеса сталкиваются с атаками корпоративного уровня, имея при этом значительно меньший штат сотрудников и бюджет. Разрозненность инструментов, избыточная телеметрия и постоянные обновления продуктов создают уязвимую систему, которая и без того находится в состоянии повышенной нагрузки еще до первого критического инцидента. Агентный ИИ появляется именно в таких условиях, а не в лаборатории.
Опросы показывают, что около 18 процентов организаций среднего размера сообщили о взломе за последний год, причем программы-вымогатели затронули примерно четверть этих компаний. В Великобритании 45 процентов средних предприятий столкнулись с киберпреступлениями за последние 12 месяцев, причем фишинг по-прежнему остается доминирующим способом проникновения. Ущерб от взлома для средних компаний сейчас составляет в среднем около 3.5 миллионов долларов за инцидент. Для небольшой ИТ-подразделения и службы безопасности одна ошибка может стоить годового бюджета.
Это давление можно наблюдать в недавних инцидентах. Атака программы-вымогателя Change Healthcare в 2024 году нарушила работу системы выставления счетов в сфере здравоохранения по всей стране и, по прогнозам, обойдется материнской компании UnitedHealth более чем в 2.3 миллиарда долларов на реагирование и восстановление, помимо выплаты выкупа в размере 22 миллионов долларов. Компания MGM Resorts сообщила о последствиях атаки 2023 года на сумму более 100 миллионов долларов после того, как социальная инженерия в службе поддержки привела к распространению программы-вымогателя по всему домену. Утечка данных National Public Data потенциально привела к раскрытию 2.9 миллиарда записей в 2024 году, что подчеркивает, как единичный случай компрометации может масштабироваться далеко за пределы одной компании.
Как искусственный интеллект и машинное обучение повышают кибербезопасность предприятия
Соединение всех точек в сложном ландшафте угроз
Испытайте безопасность на основе искусственного интеллекта в действии!
Откройте для себя передовой искусственный интеллект Stellar Cyber для мгновенного обнаружения угроз и реагирования на них. Запланируйте демонстрацию сегодня!
Приведенная выше гистограмма иллюстрирует три простых факта. Взлом систем средних организаций — обычное явление, киберпреступность против средних предприятий остается высокой, а один-единственный взлом может свести на нет многолетние инвестиции в безопасность. Для руководителя службы информационной безопасности, который не может просто нанять пятьдесят аналитиков, более эффективная автоматизация больше не является необязательной.
Для многих команд реальным ограничением является не наличие инструментов, а не недостаток внимания со стороны персонала. Типичный пример SIEM or XDR Платформа будет выдавать тысячи оповещений в день, однако аналитики смогут осмысленно исследовать лишь небольшую их часть. Исследования в области ИИ. SOC Опыт внедрения показывает, что командам часто приходится сокращать рабочую нагрузку по обработке оповещений аналитиками на 70-80 процентов, чтобы восстановить контроль над операциями. Без этого изменения важные сигналы остаются скрытыми. Руководства, такие как руководства ведущих платформ обнаружения угроз, объясняют, как со временем возник этот поток оповещений.
Атаки с использованием украденных учетных данных усугубляют ситуацию. По оценкам Verizon и других компаний, примерно 70 процентов утечек данных теперь начинаются с кражи или неправомерного использования учетных данных. Кампании Salt Typhoon против американских телекоммуникационных провайдеров оставались незамеченными в течение одного-двух лет, в то время как злоумышленники использовали методы «жизни за счет ресурсов сети» и действительные учетные записи для перемещения по сетям. Взлом Snowflake в 2024 году затронул как минимум 165 организаций, использовавших украденные учетные данные без многофакторной защиты. Эти инциденты напрямую соответствуют методам MITRE ATT&CK для первоначального доступа, доступа к учетным данным, горизонтального перемещения и эксфильтрации, и выявляют пробелы, которые традиционные правила оповещения просто упускают из виду.
Внедрение облачных технологий увеличивает этот риск. Инцидент в Change Healthcare показывает, как одна незащищенная точка удаленного доступа в облачной среде может парализовать работу критически важных национальных служб. Исследования в области обнаружения и реагирования на инциденты в облачной среде показывают, что неправильная конфигурация, чрезмерно привилегированные роли и неконтролируемые учетные записи служб являются причиной значительной части современных нарушений безопасности в облачной среде. Более половины компаний сообщают о серьезных инцидентах в области облачной безопасности, связанных с пробелами в видимости и изменением конфигурации. Такие ресурсы, как руководство по обнаружению и реагированию на инциденты в облачной среде, более подробно изучают эти закономерности.
В то же время, регуляторное давление продолжает расти. Компании среднего размера должны демонстрировать наличие средств контроля, соответствующих таким стандартам, как NIST SP 800-207 для архитектуры нулевого доверия, а также сопоставлять обнаруженные уязвимости и охват с MITRE ATT&CK для подтверждения их эффективности. Советы директоров теперь задают прямые вопросы: какие тактики ATT&CK охватываются стандартом, а какие являются пробелами? Как быстро изолируются уязвимые учетные записи после предполагаемого взлома? Анализаторы охвата, соответствующие MITRE ATT&CK, такие как описанные в материалах Stellar Cyber, существуют потому, что аудиторы и страховщики ожидают количественных ответов.
На этом фоне простая автоматизация сценариев действий помогает, но этого недостаточно. Она сводит к минимуму отдельные задачи. Она не проводит сложные расследования, не сопоставляет данные между различными областями и не адаптируется к изменениям в методах работы злоумышленников. Вот тут-то и вступает в игру агентный ИИ. Агентный SOC В руководствах этот сдвиг описывается как переход от сценариев, запускаемых человеком, к автономным, ориентированным на достижение целей цифровым аналитикам.
От скриптов до агентного ИИ в операциях по обеспечению безопасности
Прежде чем рассматривать конкретные сценарии использования агентного ИИ в сфере безопасности, необходимо четко разграничить классическую автоматизацию и действительно агентные рабочие процессы. Многие руководители служб информационной безопасности были разочарованы инструментами, которые обещали автономность, но предлагали лишь ненадежные инструкции. Четкие определения предотвратят следующую волну ажиотажа.
Простая автоматизация выполняет фиксированную последовательность шагов при срабатывании известного триггера. SIEM Срабатывает правило, сценарий SOAR собирает некоторую информацию, например, блокирует IP-адрес или отключает учетную запись. Полезно, но статично. Если входные данные не соответствуют ожидаемым шаблонам, автоматизация зависает или незаметно завершается с ошибкой. Аналитики-люди по-прежнему несут ответственность за формирование повествования и принятие большинства решений.
Агентный ИИ работает иначе. Он состоит из агентов ИИ, способных планировать, действовать и адаптироваться в рамках многоэтапных рабочих процессов. Получив цель, например, «расследовать возможное хищение учетных данных», агенты определяют, какие источники данных следует запросить далее, какие методы MITRE ATT&CK могут быть применены, какие дополнительные доказательства необходимы и какие варианты реагирования лучше всего соответствуют политике и допустимому уровню риска. Они могут считывать необработанные события, вызывать API, обновлять заявки и вызывать других агентов в цепочке.
Простая автоматизация по сравнению с агентными рабочими процессами и аналитиками-людьми.
Это сравнение отражает то, что мы видим на практике. Простая автоматизация устраняет некоторые повторяющиеся нажатия клавиш, но все еще ожидает от аналитика составления полной картины. У аналитиков-людей есть возможность принимать решения, но времени на это ограничено. Рабочие процессы агентного ИИ находятся посередине: они действуют как неутомимые младшие аналитики, которые могут самостоятельно проводить целые расследования, а затем передавать хорошо структурированные дела на рассмотрение вышестоящим инстанциям с учетом доказательств, сопоставления ATT&CK и рекомендуемых ответных мер.
Если вы читали последнюю статью AI SOC руководство по архитектуреВы заметите общую закономерность. Агентный ИИ не заменяет собой SIEM or XDRОна находится над ними, координируя данные, сопоставляя оповещения и проводя непрерывные расследования. Это различие важно для планирования бюджета и для объяснения стратегии совету директоров.
Ключевые сценарии использования агентного ИИ в сфере безопасности, имеющие наибольшее значение.
Обнаружение и предотвращение междоменных угроз
В настоящее время большинство серьезных атак затрагивают конечные устройства, сети, облачные сервисы, электронную почту и системы идентификации. Традиционные инструменты видят лишь фрагменты этой картины. Неудачный вход в систему администратора здесь, аномалия DNS там, возможно, необычный вызов API S3. Ни одна отдельная система не обладает достаточным контекстом, чтобы с уверенностью заявить об инциденте.
Взломы National Public Data, Salt Typhoon и Snowflake продемонстрировали эту фрагментацию. Злоумышленники объединили кражу учетных данных, методы выживания за счет ресурсов окружающей среды и доступ к облачным сервисам, чтобы незаметно подготовить и похитить огромные массивы данных. Каждый отдельный шаг выглядел почти нормально. Только анализ поведения в разных доменах выявил закономерность.
В системах безопасности агентный ИИ решает эту проблему, назначая различным агентам задачи, ориентированные на конкретные уровни данных: один отслеживает сетевые потоки, другой — журналы EDR конечных точек, третий — события аудита облака, а четвёртый — телеметрию идентификации и доступа. Затем агенты корреляции устанавливают связи между сущностями, сопоставляют действия с методами ATT&CK и строят временные шкалы цепочки атак, показывающие, как подозрительный процесс на конечной точке связан с необычной точкой входа в систему идентификации в Azure и странными запросами к базе данных в Snowflake.
Это напрямую поддерживает цели концепции «нулевого доверия», изложенные в стандарте NIST SP 800-207. В этом документе подчеркивается важность непрерывной проверки и контекстно-зависимого применения политики, а не неявного доверия, основанного на местоположении в сети. Агенты обнаружения агентов обеспечивают непрерывную оценку поведения, необходимую механизмам управления политикой для принятия более точных решений о разрешении, оспаривании или отказе в режиме реального времени.
Ресурсы, описывающие XDR Подход «цепочки поражения» Опишите, как аналитика, соответствующая цепочке атаки, помогает командам выявлять многоэтапные атаки на более ранних стадиях и в более структурированном виде. Agentic AI, по сути, автоматизирует интерпретацию цепочки атаки по всем вашим телеметрическим данным.
Автоматизированные рабочие процессы расследования инцидентов и реагирования на них.
Время аналитиков часто уходит на расследование, а не на обнаружение. После получения серьезного оповещения необходимо собрать доказательства, проверить аналогичные объекты, обратиться к информации об угрозах и составить план реагирования. В случае сложных инцидентов, таких как Change Healthcare или MGM, эти шаги занимали дни. В течение этого времени системы оставались в нерабочем состоянии, а руководители не имели ясности.
Системы искусственного интеллекта, использующие агентные методы, меняют эту модель, проводя автономные комплексные расследования. Когда первоначальный сигнал превышает определенный порог риска, агент анализа инцидента собирает все связанные оповещения и телеметрию, идентифицирует затронутые объекты и обобщает вероятную первопричину, а также используемые тактики атаки и защиты. Другие агенты проверяют распространение: аналогичную активность на соседних хостах, использование тех же учетных данных другими пользователями, подключения к известной вредоносной инфраструктуре из источников информации об угрозах.
Как только появляется достаточно доказательств, агенты, ориентированные на реагирование, предлагают варианты, соответствующие политике. Например, изолировать хост, отключить токен, перевести пользователя в ограниченную группу или применить поэтапную аутентификацию. В более зрелых системах агенты могут выполнять контролируемые действия реагирования непосредственно для четко определенных шаблонов, перенаправляя неоднозначные ситуации аналитикам. Эта модель «человек в цикле обработки» отражает как передовые методы обеспечения безопасности, так и текущие нормативные требования.
Например, в релизе Stellar Cyber 6.2 показано, как анализ кейсов агентами и автоматическое создание описаний могут сократить время понимания ситуации с нескольких дней до нескольких минут. Аналогичные принципы применимы на всем рынке, особенно там, где... обнаружение угроз, расследование и реагирование Платформы находятся в центре операций.
SOC Сортировка и приоритизация оповещений для бережливых команд
Усталость от постоянного напряжения, пожалуй, остается самой болезненной. SOC Проблема. Многие команды, работающие на рынке среднего бизнеса, до сих пор вручную открывают каждое важное или критическое оповещение, обнаруживая ложные срабатывания или неполный контекст. Аналитики выгорают, и реальные атаки проскальзывают в 2 часа ночи.
Современные отчеты об инцидентах подчеркивают этот пробел. Количество фишинговых атак с использованием ИИ выросло более чем на 700 процентов в период с 2024 по 2025 год, а число инцидентов с программами-вымогателями за тот же период увеличилось более чем на 100 процентов. Ни одна команда людей не может вручную проанализировать каждое подозрительное электронное письмо, строку журнала и аномалию на конечных устройствах, которые генерируют эти кампании.
Агенты обработки оповещений постоянно оценивают новые поступающие оповещения не только по степени серьезности правил, но и по контексту: критичность объекта, радиус поражения, предыдущее поведение, текущие кампании и комбинации методов ATT&CK. Оповещения с низким контекстом, касающиеся малоценных активов, могут быть автоматически закрыты после быстрой проверки. Комбинации высокого риска, такие как вход в систему привилегированной учетной записи из нового региона при создании новых облачных ключей, мгновенно переходят в более высокий уровень и подвергаются полному расследованию.
Реальные примеры внедрения показывают, что такие системы могут сжимать тысячи необработанных оповещений в сотни обращений в день, часто сокращая объем ручной обработки аналитиками на порядок и одновременно повышая качество обнаружения. Это позволяет старшим специалистам сосредоточиться на поиске угроз, работе с группами реагирования на инциденты и укреплении архитектуры. агентный SOC обзор платформы В нем более подробно объясняется несколько из этих схем сортировки пациентов.
Управление безопасностью облачных вычислений и устранение ошибок конфигурации.
Неправильная настройка облачных ресурсов остается одной из основных причин утечек данных. Общедоступные хранилища, избыточно предоставленные роли, забытые тестовые среды и устаревшие учетные записи служб создают уязвимую поверхность для атак. Инциденты с Snowflake и Change Healthcare подчеркивают риск уязвимостей учетных данных и конфигурации в системах, подключенных к облаку.
Традиционные инструменты управления состоянием безопасности облачных вычислений выявляют проблемы, но часто предоставляют командам безопасности большие статические списки. Для их устранения в масштабах требуется координация действий между специалистами DevOps, владельцами приложений и сотрудниками, отвечающими за соответствие требованиям. На практике многие выявленные проблемы сохраняются в течение нескольких месяцев.
Agentic AI обеспечивает непрерывный мониторинг с учетом контекста для управления безопасностью облачных сервисов. Специализированные агенты отслеживают изменения конфигурации, изменения идентификаторов и поведение рабочих нагрузок по сравнению с базовыми показателями. Когда хранилище S3 внезапно становится общедоступным или учетная запись службы получает новые, важные роли, агент может немедленно отметить изменение, оценить критичность для бизнеса и предложить или выполнить безопасное устранение проблемы, например, откат к предыдущей политике или прикрепление заведомо работоспособного шаблона.
Для ключей KMS, политик IAM или кластеров Kubernetes агенты могут моделировать предлагаемые изменения перед их применением, проверяя риски сбоев. В сочетании с определениями политик, основанными на принципах нулевого доверия NIST SP 800-207, это создает обратную связь, в которой состояние облачной среды остается гораздо ближе к проектному замыслу. Команды среднего размера, которые не могут выделить отдельную группу по обеспечению облачной безопасности, получают практические возможности для обеспечения соблюдения требований.
Обзор методов обнаружения облаков и реагирования на них. В статье более подробно рассматривается, как непрерывный анализ данных и управляющих плоскостей облачных вычислений выявляет цепочки атак, которые пропускают статические сканеры. На основе этой информации работают агентные рабочие процессы, позволяющие преобразовывать полученные данные в конкретные действия.
Управление идентификацией и доступом с обнаружением злоупотреблений привилегиями.
Идентификация стала новым периметром безопасности. Атака на MGM, масштабные утечки учетных данных в 2025 году и инциденты со Snowflake — все это произошло из-за того, что злоумышленники использовали действительные учетные данные, а не очевидное вредоносное ПО. Исследования угроз со стороны инсайдеров показывают, что почти 60 процентов утечек данных теперь связаны с инсайдерами или скомпрометированными учетными записями.
Классические процессы управления идентификацией и доступом часто проводятся ежеквартально или ежегодно. Проверка прав доступа, определение ролей и внеплановые проверки привилегий помогают, но малоэффективны против злоумышленника, который использует одну учетную запись в течение девяти дней подряд. Кампания Salt Typhoon 2024 года наглядно продемонстрировала эту проблему, обеспечив долгосрочный доступ к телекоммуникационным сетям с использованием учетных данных, выглядящих вполне легитимно.
Agentic AI поддерживает управление идентификацией и доступом двумя способами. Во-первых, агенты непрерывного анализа поведения отслеживают, как обычно работает каждая учетная запись: какие приложения она использует, типичный объем данных, обычное географическое местоположение и обычное время суток. Если учетная запись внезапно загружает гигабайты данных в 3 часа ночи из нового региона, агенты могут пометить или даже приостановить сессию, независимо от того, использовалась ли многофакторная аутентификация.
Во-вторых, специалисты по управлению данными сканируют графы прав доступа, чтобы выявить опасные комбинации ролей, «осиротевшие» учетные записи и чрезмерные привилегии, предоставляя владельцам приоритетные, контекстно-ориентированные рекомендации по устранению рисков. Такие случаи, как взлом MGM, где социальная инженерия позволила получить административный доступ, иллюстрируют, почему подобные проверки привилегий должны быть непрерывными, а не эпизодическими.
Современные обнаружение и реагирование на угрозы идентичности В материалах описывается, как это сочетает классический IAM с инженерными средствами обнаружения для методов ATT&CK, таких как проверка действительных учетных записей, повышение привилегий и горизонтальное перемещение. Агентные системы автоматизируют большую часть этих инженерных работ и повседневного мониторинга.
Постоянные проверки соблюдения требований и обеспечение выполнения политики.
Соблюдение нормативных требований для организаций среднего размера всегда требовало значительных ресурсов. PCI DSS, HIPAA, GDPR, отраслевые требования, а теперь и указы руководителей, касающиеся безопасности цепочки поставок программного обеспечения, — все это требует постоянного предоставления подтверждающих документов. Тем не менее, многие компании по-прежнему рассматривают соблюдение нормативных требований как ежеквартальный процесс заполнения электронных таблиц и создания скриншотов.
Стандарт NIST SP 800-207 определяет концепцию «нулевого доверия» как непрерывный процесс, который должен адаптироваться к изменениям в активах, угрозах и поведении пользователей. Инструменты анализа покрытия MITRE ATT&CK показывают, где средства контроля соответствуют реальным методам злоумышленников, выявляя «слепые зоны». Обе концепции неявно предполагают автоматизацию и непрерывную проверку. Люди в одиночку не смогут угнаться за этим темпом.
Агентный ИИ хорошо соответствует этому требованию. Агенты политик могут кодировать правила, такие как «все привилегированные учетные записи должны использовать многофакторную аутентификацию, устойчивую к фишингу» или «ни одно подразделение не может напрямую предоставлять доступ к базам данных через Интернет». Затем другие агенты постоянно проверяют соответствующие телеметрические данные, состояния конфигурации и записи об учетных записях на соответствие этим политикам, открывая или обновляя результаты проверки при обнаружении нарушений.
Это переводит соответствие требованиям от подтверждения на определенный момент времени к постоянно обновляемым доказательствам. Для архитектора безопасности, выступающего перед советом директоров, демонстрация ежедневно генерируемой тепловой карты покрытия ATT&CK в сочетании с автоматизированными оценками соответствия политикам имеет гораздо больший вес, чем устаревшая оценка, проводимая раз в год. Материалы анализатора покрытия MITRE ATT&CK показать, как подобные визуализации помогают в переговорах как по вопросам безопасности, так и по вопросам страхования.
Автономный поиск угроз с использованием междоменных данных
Большинство команд, работающих в компаниях среднего размера, стремятся к поиску угроз. Лишь немногие могут поддерживать этот процесс на должном уровне. Аналитики едва справляются с поступающими оповещениями; структурированные поиски отходят на второй план. Однако недавние утечки данных, от Salt Typhoon до Change Healthcare, показывают, что проактивный поиск мог бы выявить аномалии задолго до того, как они нанесли бы полноценный ущерб.
Агенты по поиску угроз на основе искусственного интеллекта переворачивают это уравнение с ног на голову. Вместо того чтобы ждать оповещений, они генерируют и проверяют гипотезы, основанные на методах ATT&CK и данных об угрозах. Например, агент может искать признаки утечки учетных данных или необычного использования инструментов удаленного администрирования на всех конечных точках, а затем перейти к анализу сетевых журналов и журналов аудита облачных сервисов.
Благодаря возможности непрерывной работы и скорости, сравнимой со скоростью машины, агенты исследуют гораздо больше гипотез, чем любая команда людей. Обнаружив подозрительные закономерности, они открывают дела, используя готовый контекст, сопоставляя предполагаемые методы, задействованные сущности и предлагаемые дальнейшие шаги. Со временем обратная связь от аналитиков помогает этим агентам понять, какие поиски принесли пользу, и совершенствовать будущие действия.
Обзор анализа киберугроз В описании говорится о том, как структурированное сопоставление ATT&CK позволяет проводить систематический поиск угроз на протяжении всего жизненного цикла атаки. Агентные системы просто автоматизируют этот структурированный подход и интегрируют его в существующий стек телеметрии.
Архитектурные шаблоны, сочетающие агентный ИИ с XDR и SIEM
Даже лучшие решения в области безопасности на основе ИИ-агентов потерпят неудачу, если их устанавливать небрежно. Для директора по информационной безопасности, руководящего организацией среднего размера, ключевой вопрос заключается не просто в том, «что могут делать агенты», а в том, «как они интегрируются с моей текущей инфраструктурой». SIEM, XDR«И инвестиции в гиперавтоматизацию без превышения рисков или превышения бюджета?»
Большинство успешных разработок обладают несколькими общими чертами. Во-первых, они учитывают... Open XDR или аналогичную инфраструктуру данных в качестве основы. Этот слой нормализует телеметрию по всем конечным точкам, сети, облаку, системам идентификации и приложениям SaaS. Затем агенты Agentic AI используют этот нормализованный поток, вместо того чтобы пытаться интегрироваться отдельно с каждым инструментом. Это снижает риски интеграции и упрощает подключение новых источников данных.
Во-вторых, они интегрируются с SIEM вместо того, чтобы полностью его заменить. Наследие SIEMОни по-прежнему занимаются регистрацией соответствия требованиям, долгосрочным хранением и некоторой корреляцией. Агентный ИИ и современные XDR Рядом с ними располагаются платформы, берущие на себя обнаружение в реальном времени, многодоменную корреляцию и организацию реагирования. Многие организации начинают с зеркалирования журналов в Open XDR платформа, позволяющая агентам работать с этим текстом, прежде чем переосмысливать его. SIEM циклы обновления.
Во-третьих, действия по реагированию осуществляются через существующие стеки гипер-автоматизации и платформы SOAR. Вместо того чтобы обходить установленные методы управления изменениями, агенты искусственного интеллекта запускают утвержденные сценарии и рабочие процессы, но с более интеллектуальными триггерами и более богатым контекстом. Это соответствует принципам управления, изложенным в NIST SP 800-207, которые подчеркивают контроль доступа к сети и ресурсам на основе политик.
Наконец, человеческий контроль по-прежнему остается центральным элементом. Пресс-релизы о человек дополненная автономия SOCs Подчеркивается, что агенты проводят сортировку, сопоставляют и предлагают решения, в то время как люди подтверждают эффективность действий, оказывающих существенное влияние, и корректируют стратегию. Эта модель отвечает как ожиданиям в отношении культуры безопасности, так и новым требованиям к управлению ИИ.
Для руководителей, планирующих этот переход, высокоуровневый ИИ — это важный инструмент. SOC ссылки, такие как AI SOC руководство по архитектуре и лучший ИИ SOC обзор платформ Предоставьте практические критерии оценки. Обратите особое внимание на то, как каждая платформа сопоставляет обнаруженные уязвимости с MITRE ATT&CK, предоставляет контекст, относящийся к концепции «нулевого доверия», и измеряет снижение рабочей нагрузки аналитиков в реальных цифрах.
Практический путь внедрения для руководителей служб информационной безопасности компаний среднего размера.
Даже если ценность очевидна, внедрение агентного ИИ может показаться рискованным. Опасения варьируются от ложных срабатываний, нарушающих бизнес-процессы, до систем ИИ, действующих вне рамок установленных правил. Эти опасения обоснованы, особенно в регулируемых отраслях или средах с уязвимыми устаревшими приложениями. Решение заключается в поэтапном развертывании с четкими ограничениями.
Прагматичный подход начинается с развертывания систем только для чтения, ориентированных на обеспечение прозрачности и сортировки запросов. Предоставьте агентам возможность оценивать оповещения, создавать обращения и предлагать варианты реагирования, но требуйте одобрения человека для любых действий, изменяющих систему. Измеряйте изменения среднего времени обнаружения, среднего времени реагирования и времени, затраченного аналитиком на каждое обращение. Если вы не увидите существенных улучшений в течение нескольких месяцев, скорректируйте конфигурацию или пересмотрите поставщика.
Далее определите узкую, высоконагруженную, но низкорисковую область для частичной автономности, например, устранение последствий фишинговых писем или изоляция некритичных конечных точек лаборатории. Многие организации уже доверяют сценариям SOAR в этих областях; агентный ИИ просто решает, когда их запускать. Отслеживайте частоту ошибок, частоту отката и жалобы пользователей.
Только после того, как эти пилотные проекты докажут свою безопасность, команды должны рассматривать возможность предоставления более широких автономных полномочий, особенно в отношении контроля идентификации и отката облачной конфигурации. Даже в этом случае необходимо согласовать каждый тип автономного действия с четко определенной политикой, одобрением владельца бизнеса и структурами ведения журналов, которые позволят проводить последующий анализ.
На протяжении всего процесса постоянно отслеживайте прогресс в соответствии с MITRE ATT&CK и NIST SP 800-207. Используйте анализаторы покрытия и оценки Zero Trust, чтобы показать, какие методы атак и средства контроля политик теперь получают постоянное внимание со стороны агентов. Связывайте каждое достижение с реальным примером нарушения безопасности, которое было бы обнаружено раньше или локализовано быстрее. Руководители реагируют на конкретные сценарии: «Эта схема, вероятно, выявила бы злоупотребление учетными данными в стиле Change Healthcare в течение нескольких часов, а не дней».
Для более глубокого изучения конкретных структурных элементов можно использовать такие ресурсы, как... руководство по анализу поведения пользователей и сущностей и Обзор обнаружения угроз, связанных с идентификацией Обеспечивает целенаправленный контекст в области поведенческой аналитики и управления, ориентированного на идентификацию. В сочетании с Open XDR и агентный SOC На основе этой ткани они определяют реалистичный путь от сегодняшних напряженных операций к более автономной и устойчивой модели, соответствующей ограничениям среднего рынка.