AI SecOps: внедрение и передовой опыт
Операции по обеспечению безопасности, или SecOps, представляют собой совокупность отдельных процессов, предотвращающих уязвимости и проникновение рисков в конфиденциальные корпоративные активы. Это несколько отличается от Центра оперативного управления безопасностью (SEC).SOC) – это организационная единица, состоящая из людей, которая отслеживает и предотвращает инциденты в сфере безопасности.
Это различие важно, поскольку SecOps стремится интегрировать процессы обеспечения безопасности в операционный конвейер, в то время как традиционные подходы SOCСовременные технологии позволяют отделить безопасность от ИТ-инфраструктуры, по сути, изолируя процессы обеспечения безопасности. Именно поэтому современные технологии позволяют избежать подобных проблем. SOCSecOps часто внедряется как способ сбалансировать предотвращение угроз с выделенными возможностями реагирования на инциденты.
Поскольку SecOps должен находиться рядом с повседневными рабочими процессами ИТ и ОТ, а не мешать им, автоматизация SecOps является неотъемлемой частью стратегии. В этой статье рассматривается, как развивается AI SecOps, варианты использования AI в SecOps и передовые методы внедрения AI в SecOps.
Следующее поколение SIEM
Звездная кибер-компания следующего поколения SIEMкак важнейший компонент в рамках Звездной Киберсистемы Open XDR Платформа...
Испытайте безопасность на основе искусственного интеллекта в действии!
Откройте для себя передовой искусственный интеллект Stellar Cyber для мгновенного обнаружения угроз и реагирования на них. Запланируйте демонстрацию сегодня!
Введение в ИИ SecOps
SecOps — это подход, который получил значительную поддержку в организациях, заботящихся о безопасности. SecOps каждой организации должен адаптироваться к уникальной структуре цифровых активов, инфраструктуры и конфиденциальных данных организации — так же, как предприятие растет и адаптируется к изменениям рынка с течением времени. Поскольку SecOps интегрирует меры безопасности на протяжении всего жизненного цикла ИТ-операций, ему также необходимо внедрять безопасность на каждом этапе разработки и эксплуатации.
Для этого SOC Это требует непрерывного и детального мониторинга устройств, сетей и конечных точек практически всех пользователей — это ошеломляющий объем данных. Отчасти поэтому... SOC Традиционно команды были изолированы от своих коллег-разработчиков и ИТ-специалистов и занимались управлением всеми этими данными. На уровне аналитиков... SOC Командам также требовалось большое количество инструментов для извлечения и группировки информации. Управление информацией и событиями безопасности (Security Information and Event Management)SIEMИнструменты, межсетевые экраны и системы обнаружения и реагирования на угрозы на конечных устройствах (EDR) помогли обработать эти данные и преобразовать их в полезную информацию.
ИИ в операциях по обеспечению безопасности теперь может поглощать данные по безопасности с той же скоростью, с которой они производятся. В результате машинное обучение и его новый генеративный ИИ отвечают за превращение SecOps в непрерывный процесс, позволяя операциям по обеспечению безопасности идти в ногу с изменениями в ИТ и развитии. Кроме того, поскольку платформы на основе ИИ предоставляют больше возможностей автоматизации, чем когда-либо прежде, эволюция SecOps движется в сторону оптимизированных технологических стеков, снижения сложности и более высокой окупаемости инвестиций.
Примеры использования ИИ в SecOps
Обнаружение угроз с меньшим количеством ложных срабатываний
Модели ИИ процветают за счет больших наборов данных: с ИИ объемы оповещений, которые когда-то могли перегрузить команду безопасности, теперь могут быть поглощены, перекрестно сопоставлены и использованы для обнаружения других. Это резко контрастирует с традиционным подходом к обнаружению угроз, который просто нагромождал инструменты безопасности друг на друга.
Это ситуация одна американская финансовая фирма оказалось в: SOC Аналитикам приходилось начинать каждую операцию по обеспечению безопасности с тщательного изучения огромных объемов данных, связанных с каждым оповещением. А поскольку в компании использовалось несколько программных средств обеспечения безопасности, им приходилось вручную идентифицировать одно и то же оповещение на каждой консоли и индивидуально отслеживать каждое из них, чтобы определить достоверность оповещения и потенциальный ущерб.
Поскольку ИИ может поглощать все необработанные данные журнала, сети и устройства, которые поступают в триггер оповещения инструмента, он затем может сопоставлять это оповещение с соответствующими действиями в рассматриваемой сети, устройстве или учетной записи. Результатом является гораздо меньше ложных оповещений — и в случае настоящего инцидента безопасности — ИИ может размещать оповещения в контексте более широкой цепочки атак.
Автоматическое реагирование на инциденты
Пособия являются краеугольным камнем возможностей автоматизированного реагирования — они позволяют командам, работающим на низовом уровне, работать эффективно. ИТ-отдел Цюрихского университета быстро внедрять определенные возможности мониторинга и реагирования в ответ на определенные оповещения. Например, в случае инцидента, затрагивающего конечные точки отдела, соответствующий ИТ-менеджер может быть уведомлен.
Автоматизация может позволить командам Lean обеспечить круглосуточное покрытие, даже если у них нет рабочей силы, чтобы постоянно иметь дежурных аналитиков. Автоматизация становится доступной через playbooks, которые точно указывают, какие шаги по исправлению должен предпринять инструмент ИИ в ответ на определенные типы оповещений и инциденты.
Приоритетные оповещения и обнаружение угроз с помощью искусственного интеллекта
Поскольку модели ИИ можно обучать на исторических атаках – и они могут содержать актуальное понимание всего стека активов предприятия – они могут классифицировать оповещения в соответствии с потенциальным радиусом взрыва. Это радикально снижает нагрузку на ручные процессы SecOps, которые в противном случае потребовали бы долгих, тяжелых часов работы для установки.
Категоризация оповещений занимала много времени время одного городского правительства – в этом случае каждый аналитик должен был использовать свой собственный инструмент безопасности. Это оставило значительные пробелы, которые могли потенциально использовать сложные векторы атак. Сортировка с помощью ИИ позволила им радикально сократить ручную работу, требуемую от каждого аналитика, что позволило аналитику докопаться до сути инцидента в течение 10 минут, а не нескольких дней.
Однако первым препятствием на пути внедрения зачастую становится непонимание того, где и как внедрить ИИ в систему безопасности.
Лучшие практики внедрения ИИ в SecOps
Определите измеримые цели для вашего развертывания ИИ
Цели SMART заставляют мир вращаться, а фокус на измеримости является ключом к определению и успешному внедрению нового инструмента ИИ. Чтобы извлечь наилучшую возможную окупаемость инвестиций, лучше всего начать с определения того, какие процессы SecOps занимают большую часть времени ваших аналитиков.
Это может быть конкретный инструмент – например, SIEM – или более широкий показатель, например, среднее время ответа (MTTR). Это может быть этап рабочего процесса, который аналитики или ИТ-специалисты должны выполнить после получения оповещения; важно точно определить, какой компонент вызывает наибольшее замедление. Этот процесс позволит составить представление о том, какую именно роль должен играть инструмент ИИ: если основная проблема связана с обнаружением активов, то интеграция межсетевого экрана с ИИ, возможно, не является первоочередной задачей.
Также лучше всего начать делать это совместным усилием. Привлечение руководителей высшего звена и других лиц, принимающих решения, имеет жизненно важное значение для достижения долгосрочных изменений, и они могут помочь ИТ и безопасности представить необходимые организационные изменения.
Интегрируйте ИИ в существующие инструменты и рабочие процессы
Технологии искусственного интеллекта процветают в средах с большим объемом данных, но им необходимо откуда-то получать эти данные. Создание пользовательских интеграций может быть сложным и трудоемким процессом, поэтому при выборе решений на основе ИИ оцените их способность интегрироваться с вашими существующими инструментами. Крайне редко организации приходится начинать с нуля. Иногда, если ваши SIEMЕсли EDR или межсетевой экран уже исправно работают, а замедления вызваны ограниченными ресурсами самих аналитиков, лучше всего дополнить вашу систему. SIEM с помощью ИИ, а не путем проведения замены.
При этом не забывайте, что ИИ требует много данных о безопасности. Если вы создаете набор данных с нуля, вам нужно будет инвестировать в создание надежной и устойчивой инфраструктуры данных в сочетании со строгими протоколами управления. Сильная инфраструктура требует внедрения безопасных решений для хранения, оптимизации возможностей обработки данных и создания эффективных систем передачи данных для поддержки обнаружения угроз в реальном времени и реагирования на них. С другой стороны, сторонний продукт управляет всеми этими данными для вас, но убедитесь, что вы доверяете поставщику.
Настройте команду SecOps на использование системы на базе искусственного интеллекта
Хотя инструмент ИИ должен быть гибким, он должен вносить некоторые изменения в повседневную работу аналитиков — для этого он и нужен. Затронутые команды должны знать, какие изменения это повлечет за собой и как должны выглядеть их собственные рабочие процессы. Поскольку SecOps уже требует комплексного обучения операциям по безопасности, они уже должны быть знакомы с политиками и процедурными рамками. Точно так же обновление ИИ должно разбить процессы на измеримые действия и четкие указания.
С учетом сказанного, рассмотрите наборы навыков и опыт текущих членов SecOps — если есть несколько новых членов команды, которые все еще зарабатывают свои нашивки, рассмотрите возможность выбора инструментария ИИ, который доступен и проводит их через автоматизированные действия или процессы оповещения, которые он делал. Это позволяет им обрести собственную уверенность при борьбе с угрозами. Прозрачность также создает больше доверия между человеческой командой и аналитическим механизмом ИИ, а также позволяет суждениям ИИ со временем совершенствоваться.
Создание схем
Схемы действий являются основой реализации безопасности на основе ИИ, и хотя инструмент ИИ может поставляться с некоторыми предустановленными схемами, лучше всего создавать или изменять свои собственные схемы в соответствии с конкретным вариантом использования, который вам нужен.
Например, если команда имеет дело со многими внешними электронными сообщениями, важно создать несколько сценариев, специально предназначенных для борьбы с угрозой фишинга по электронной почте. В этом случае центральная платформа ИИ обнаруживает подозрительную грамматику или метаданные фишингового письма, что затем запускает связанный с ней сценарий. В этом случае сценарий автоматически изолирует электронное письмо — или саму конечную точку, если есть доказательства компрометации — и затем запускает сброс пароля. Сообщение отправляется соответствующему администратору безопасности, который получает всю эту информацию, упакованную в одно оповещение. Сценарии, необходимые вашей модели ИИ, зависят от собственных настроек и обязанностей вашей организации.
В совокупности эти передовые практики SecOps на основе ИИ обеспечивают плавный переход к SecOps на основе ИИ, обеспечивая при этом максимальную окупаемость инвестиций.
Как Stellar Cyber улучшает работу ИИ SecOps
Автоматизированное обнаружение инцидентов
Stellar Cyber устраняет зависимость от ручного обнаружения угроз и идентификации угроз на основе правил с помощью несколько уровней ИИ.
Первый из этих ИИ сосредоточен на обнаружении: исследовательская группа по безопасности Stellar Cyber создает и обучает контролируемые модели, используя сочетание общедоступных и внутренних наборов данных. Угрозы нулевого дня и неизвестные угрозы обнаруживаются с помощью параллельных неконтролируемых моделей машинного обучения. Эти модели устанавливают базовый уровень поведения сети и пользователей в течение нескольких недель. После приема сигналов данных ИИ на основе GraphML сопоставляет обнаружения и другие сигналы данных, автоматически связывая связанные точки данных для помощи аналитикам. Он оценивает прочность связи между различными событиями, анализируя свойства, время и поведенческие шаблоны.
Другие формы ИИ базируются на этих основных возможностях обнаружения. Они привносят больше возможностей доступности и реагирования в организации, работающие на Stellar Cyber.
Сделайте SecOps доступными
Все данные о безопасности организации в режиме реального времени представлены в двух основных форматах: первый — в цепочке атак, расположенной на панели управления, а второй — через Copilot.
Команда XDR Панель мониторинга Kill Chain служит главной страницей по умолчанию для Stellar Cyber, предлагая централизованное представление общего уровня риска и обнаруженных угроз. Она позволяет быстро проводить оценку, предоставляя подробную информацию об активных инцидентах, активах с высоким риском и тактике атак. Такой упрощенный подход помогает командам безопасности расставлять приоритеты в решении критически важных проблем, независимо от их индивидуальных задач, которые затем можно детально изучить.
Copilot AI, с другой стороны, является исследователем на основе LLM, который ускоряет собственные проекты аналитиков по анализу угроз, предоставляя мгновенные ответы на запросы. Это делает его идеальным для быстрого извлечения и объяснения данных, интегрируя инструмент дальше в проекты SecOps.
Видимость на всех поверхностях
Stellar cyber принимает журналы и данные безопасности через несколько типов датчиков. Сетевые и защитные датчики собирают метаданные с физических и виртуальных коммутаторов, объединяя журналы для всесторонней видимости. Его Deep Packet Inspection (DPI) анализирует полезные нагрузки на ходу. С другой стороны, серверные датчики могут собирать данные с серверов Linux и Windows, захватывая сетевой трафик, команды, процессы, файлы и активность приложений. Ожидайте полной совместимости с Windows 98 и выше, а также с дистрибутивами Linux, такими как Ubuntu, CoreOS и Debian.
Платформа размещается там, где требуется прозрачность: будь то облачная, гибридная или полностью локальная (или на базе арендатора) среда — Stellar Cyber объединяет данные из любой точки мира.
Расширенный ИИ-реагирование
Возможности реагирования Stellar Cyber расширяют интеграцию инструмента с существующими инструментами безопасности: вместо того чтобы просто принимать данные, Stellar может автоматически предпринимать действия с помощью тех же инструментов.
Поскольку Stellar ориентирован на быстрое внедрение, он поставляется с 40 готовыми схемами поиска угроз, которые охватывают всю поверхность атак, например, сбои входа в Windows, анализ DNS и Microsoft 365. Это делает обнаружение угроз и реагирование на них более доступными даже для команд без глубоких знаний в области безопасности.
Stellar Cyber легко интегрируется с брандмауэрами, безопасностью конечных точек, инструментами управления идентификацией и доступом, системами тикетов и приложениями обмена сообщениями для масштабирования операций безопасности. Для более сложных потребностей оркестровки он поддерживает интеграцию с ведущими платформами SOAR для оптимизированного и эффективного реагирования на угрозы. Предприятия, работающие на Stellar Cyber, получают детальный контроль над триггерами, условиями и результатами каждого сценария, что позволяет им внимательно и аккуратно следовать лучшим практикам SecOps. Сценарии могут быть развернуты глобально или по каждому арендатору.
Исследуйте Stellar Cyber AI SecOps
Платформа Stellar Cyber упрощает внедрение ИИ в SecOps, фокусируясь на быстром внедрении. Позволяет предприятиям достигать более эффективных, действенных операций безопасности без длительного или заблокированного поставщиком процесса внедрения. Его возможности автоматизации доступны из коробки — для изучения среды и возможностей Stellar Cyber, запланировать демонстрацию.
