В эпоху, когда искусственный интеллект (ИИ) совершает революцию во всех секторах, включая область кибербезопасности, освоение ИИ перестало быть желательным — оно стало необходимостью. Как гласит поговорка: «ИИ не заменит вас, но тот, кто использует ИИ, заменит». В Stellar Cyber мы придерживаемся этой философии, интегрируя ИИ во все аспекты нашего Центра оперативного управления безопасностью.SOC) решения для максимизации эффективности обнаружения угроз, операционной эффективности и удобства использования.
Максимизация эффективности обнаружения угроз
С момента нашего основания в 2015 году мы находимся в авангарде внедрения ИИ в операции по обеспечению безопасности (SecOps). Наша миссия всегда заключалась в том, чтобы сделать обнаружение и реагирование доступными для всех, обеспечивая при этом возможность использования всех данных, независимо от их источника, в режиме реального времени. Это видение воплотилось в то, что сегодня известно как Open Extended Detection and Response (Расширенная открытая система обнаружения и реагирования).Open XDR). Наш Open XDR Решение собирает данные о безопасности из любых источников, обеспечивая всестороннюю видимость и позволяя эффективно обнаруживать угрозы. Используя машинное обучение без учителя, мы улучшаем наши модели обнаружения, чтобы выявлять сложные поведенческие модели и аномалии, которые могут быть упущены традиционными методами. Мы также используем машинное обучение с учителем для обнаружения угроз с известными шаблонами, такими как алгоритмы, генерируемые доменом (DGA). Эти методы обнаружения на основе машинного обучения имеют решающее значение в современном ландшафте угроз, где сложные многоэтапные атаки становятся все более распространенными.
Повышение эффективности работы с помощью корреляции, GraphML и управления, ориентированного на конкретные случаи
В Stellar Cyber мы максимизируем операционную эффективность, используя машинное обучение на графах (GraphML) для повышения уровня безопасности за счет сложной корреляции оповещений. Такой подход приводит к значительному снижению уровня шума, консолидации дел и позволяет SOC Аналитики получают возможность обрабатывать обогащенную информацию, а не быть заваленными отдельными оповещениями. Это приводит к существенному улучшению того, как аналитики расставляют приоритеты, расследуют и устраняют угрозы.
Использование сходства и корреляции
GraphML отлично распознает сходства и корреляции между различными сущностями в вашей сети. Картографируя отношения между точками данных, GraphML помогает обнаруживать закономерности, которые в противном случае могли бы остаться незамеченными. Например, он может соединять:
- Пользовательские сущности: Например, идентификаторы сеансов, идентификаторы безопасности (SID) и основные имена пользователей (UPN), которые можно связать вместе для обнаружения подозрительного поведения пользователей.
- Сущности устройства: Включая идентификаторы устройств, имена файлов, папки и ключи реестра. Корреляция активности на разных устройствах позволяет обнаруживать сложную вредоносную активность, охватывающую несколько конечных точек.
- Электронная почта субъектов: Например, адреса отправителя и получателя, URL-адреса и вложения. Путем сопоставления почтового трафика, SOC Аналитики могут выявлять попытки фишинга или атаки по электронной почте.
- Общие сущности: Например, IP-адреса, облачные ресурсы и идентификаторы приложений. Сопоставление этих точек данных помогает обнаружить скоординированные атаки, которые пересекают сети и облачные среды.
Этот анализ сходства обеспечивает интеллектуальную и оперативную корреляцию. Вместо того чтобы засыпать вас потоком информации. SOC В случае возникновения отдельных оповещений наша система группирует связанные оповещения в обращения, отображая общую картину и упрощая расстановку приоритетов и принятие мер.
Анализ причинно-следственной связи с помощью графических представлений
GraphML также позволяет проводить причинно-следственный анализ, что необходимо для понимания сложных многоэтапных атак. Анализируя графические представления данных событий, наша система выявляет потенциальные причинно-следственные связи между оповещениями. Например, фишинговое письмо может привести к скомпрометированной конечной точке, за которой последует горизонтальное перемещение по вашей сети.
Этот анализ причинно-следственных связей позволяет SOC Аналитики могут отслеживать развитие атаки и понимать последовательность событий, что позволяет им более эффективно реагировать. Визуализируя взаимосвязи между событиями, аналитики могут управлять всем процессом атаки как единым целым случаем, а не обрабатывать отдельные оповещения изолированно.
Этот анализ причинно-следственных связей позволяет SOC Аналитики могут отслеживать развитие атаки и понимать последовательность событий, что позволяет им более эффективно реагировать. Визуализируя взаимосвязи между событиями, аналитики могут управлять всем процессом атаки как единым целым случаем, а не обрабатывать отдельные оповещения изолированно.
Реальное приложение:
В практическом сценарии, подобном приведенному ниже примеру, наш XDR Система использует GraphML для автоматического связывания оповещений на основе общих атрибутов, таких как активы или свойства. Например, обнаружение фишинговой ссылки на хосте приводит к выявлению подозрительных процессов Windows и выполнения команд из командной строки, что является частью более крупной и сложной схемы атаки.
GraphML в действии:
- Автоматическая корреляция оповещений: Автоматически сопоставляя оповещения, которые имеют общие элементы, например, исходящие с одного и того же хоста (192.168.56.23) или включающие одни и те же сущности (bravos, daenerys.targaryen), GraphML упрощает анализ. Это помогает выстроить связное повествование вокруг атаки без ручного вмешательства.
- Целостный взгляд на векторы атак: Представленное в нашем приложении графическое отображение XDR На платформе показаны взаимосвязи между различными оповещениями, такими как создание подозрительных процессов и операции командной строки, приводящие к использованию сценариев PowerShell, что является типичным поведением при сложных вредоносных атаках.
- Повышение эффективности сортировки: С помощью GraphML, SOC Аналитики не обременены отдельными оповещениями, а могут видеть взаимосвязанную карту вредоносной активности, что ускоряет процесс сортировки. Это позволяет быстрее изолировать и устранять угрозы, тем самым минимизируя потенциальный ущерб.
Полученные эксплуатационные преимущества:
- Оптимизированные рабочие процессы обнаружения: Предоставляя аналитикам более высокоуровневую конструкцию связанных оповещений, GraphML способствует более быстрому и точному обнаружению угроз, сокращая время, необходимое для ручной корреляции.
- Снижение утомляемости при тревоге: Эта технология значительно сокращает количество оповещений, требующих индивидуального внимания, снижая усталость от оповещений и позволяя аналитикам сосредоточиться на оповещениях, которые действительно важны.
- Проактивный поиск угроз: Возможность проактивно визуализировать и сопоставлять модели атак помогает предвидеть потенциальные будущие атаки на основе наблюдаемого поведения, повышая общую безопасность.
Используя GraphML для корреляции оповещений в сложных сценариях, подобных показанным в примере выше, наша система не только обеспечивает операционную эффективность, но и укрепляет инфраструктуру безопасности против многогранных киберугроз. Такой интегрированный подход гарантирует, что SOC Команды оснащены инструментами, необходимыми для эффективного решения современных киберугроз.
Ускорьте расследование угроз с помощью генеративного ИИ
Мы также сосредоточены на оптимизации пользовательского опыта посредством интеграции Generative AI. Представьте себе чат-бота, который позволяет аналитикам безопасности взаимодействовать с системой и данными с помощью естественного языка. Похожая на ChatGPT, но специализированная для расследований безопасности, эта функция позволяет аналитикам задавать вопросы и описывать свои задачи естественным образом.
Например, аналитик может спросить: «Выявление ненормального поведения системных администраторов в нерабочее время на прошлой неделе.” Система преобразует этот запрос в точный поиск со всеми необходимыми критериями, такими как типы событий, привилегии пользователя и временные рамки. Аналитики могут даже запрашивать визуализации, например “Создайте гистограмму 10 пользователей, которые подверглись наибольшему количеству попыток фишинга,” и система автоматически сгенерирует диаграмму.
Наша цель — обеспечить безупречную интеграцию ИИ в методы человеческого общения. Осваивая человеческий язык, ИИ может понимать нюансы и намерения, позволяя пользователям сосредоточиться на своих расследованиях, не понимая сложный язык машины. Это естественное взаимодействие повышает эффективность и глубину процесса расследования, позволяя аналитикам создавать четкие ментальные карты текущих ситуаций, не беспокоясь о сложности базовых данных.
Например, аналитик может спросить: «Выявление ненормального поведения системных администраторов в нерабочее время на прошлой неделе.” Система преобразует этот запрос в точный поиск со всеми необходимыми критериями, такими как типы событий, привилегии пользователя и временные рамки. Аналитики могут даже запрашивать визуализации, например “Создайте гистограмму 10 пользователей, которые подверглись наибольшему количеству попыток фишинга,” и система автоматически сгенерирует диаграмму.
Наша цель — обеспечить безупречную интеграцию ИИ в методы человеческого общения. Осваивая человеческий язык, ИИ может понимать нюансы и намерения, позволяя пользователям сосредоточиться на своих расследованиях, не понимая сложный язык машины. Это естественное взаимодействие повышает эффективность и глубину процесса расследования, позволяя аналитикам создавать четкие ментальные карты текущих ситуаций, не беспокоясь о сложности базовых данных.
Оставаясь впереди в кибербезопасности
Чтобы оставаться на переднем крае кибербезопасности, мы постоянно внедряем инновации. Наши пользователи уже пользуются преимуществами интегрированного ИИ в наших решениях для ежедневного обнаружения и реагирования на угрозы. Заглядывая вперед, мы планируем внедрить генеративный ИИ для дальнейшей оптимизации пользовательского опыта при поиске и расследованиях. Для тех, кто хочет испытать эти достижения, мы предлагаем ранний доступ к этому решению с этого лета.
Заключение
Интеграция ИИ в SOC Операционная деятельность — это не просто тренд; это важнейшая эволюция. Освоив ИИ, организации могут значительно улучшить обнаружение угроз, операционную эффективность и пользовательский опыт. В Stellar Cyber мы помогаем нашим пользователям в полной мере использовать потенциал ИИ, обеспечивая им лидерство в постоянно меняющемся ландшафте кибербезопасности.
Призыв к действию: Вы готовы исследовать потенциал SOC Автоматизация и ИИ для ваших операций в сфере кибербезопасности? Свяжитесь с нами сегодня по телефону [Наша контактная информация] или посетите наш веб-сайт, чтобы запланировать индивидуальную консультацию. Давайте вместе использовать возможности ИИ для более безопасного будущего.
