Zwycięstwo w wojnie z wrogią sztuczną inteligencją zaczyna się od SOC natywnego dla sztucznej inteligencji

Ten artykuł jest częścią specjalnego wydania VentureBeat „AI at Scale: From Vision to Viability”. Więcej na ten temat przeczytasz tutaj.

W obliczu coraz bardziej wyrafinowanych ataków obejmujących wiele domen wynikających ze zmęczenia alertami, dużej rotacji i starzenia się urządzeń, liderzy bezpieczeństwa traktują centra operacyjne bezpieczeństwa (SOC) oparte na sztucznej inteligencji jako przyszłość obronności.

W tym roku napastnicy ustanawiają nowe rekordy prędkości włamań, wykorzystując słabości starszych systemów zaprojektowanych do ochrony tylko obwodu i, co gorsza, słabości zaufanych połączeń w całej sieci.

Osoby atakujące skróciły średni czas włamań do przestępstw elektronicznych o 17 minut w porównaniu z zeszłym rokiem i skróciły średni czas ucieczki w przypadku włamań do przestępstw elektronicznych. z 79 minut do 62 minut W ciągu zaledwie jednego roku. Najszybszy zaobserwowany czas wybicia wyniósł zaledwie dwie minuty i siedem sekund.

Atakujący przeprowadzają totalny atak na generatywną sztuczną inteligencję, inżynierię społeczną, interaktywne kampanie włamań oraz luki i tożsamości w chmurze. Za pomocą tego podręcznika starają się wykorzystać słabe punkty organizacji posiadających starsze arsenały cyberbezpieczeństwa lub nieposiadających ich wcale.

„Szybkość współczesnych cyberataków wymaga od zespołów ds. bezpieczeństwa szybkiego analizowania ogromnych ilości danych w celu szybkiego wykrywania, badania i reagowania na zagrożenia. To nieudana obietnica SIEM (zarządzanie informacjami o bezpieczeństwie i zdarzeniami). Klienci są głodni lepszej technologii, która zapewnia natychmiastowy zwrot korzyści i zwiększoną funkcjonalność przy niższym całkowitym koszcie posiadania, powiedział George Kurtz, prezes, dyrektor generalny i współzałożyciel firmy zajmującej się cyberbezpieczeństwem. Uderzenie tłumu,

„Liderzy SOC muszą zrównoważyć poprawę swoich możliwości wykrywania i przechwytywania. Powinno to zmniejszyć liczbę incydentów i poprawić możliwości reagowania, ostatecznie skracając czas przebywania atakującego” – napisał Gartner w swoim raporcie. Wskazówki dotyczące wyboru odpowiedniego sprzętu dla centrum operacyjnego bezpieczeństwa,

AI-Native SoC: ostateczne lekarstwo na integrację krzesła obrotowego

Odwiedź dowolne SOC i przekonaj się, że większość analityków zmuszona jest polegać na „integracji z krzesłami obrotowymi”, ponieważ starsze systemy nie zostały zaprojektowane do wzajemnego udostępniania danych w czasie rzeczywistym.

Oznacza to, że analitycy często przenoszą swoje krzesła na kółkach z jednego monitora na drugi, sprawdzając alerty i eliminując fałszywe alarmy. Dokładność i szybkość tracą na wartości w walce z rosnącymi wysiłkami obejmującymi wiele domen, które nie są intuicyjnie jasne i nie pozwalają na rozróżnienie między alertami dotyczącymi przesyłania strumieniowego w czasie rzeczywistym i w czasie rzeczywistym.

Oto niektóre z wielu wyzwań, w rozwiązaniu których liderzy SOC oczekują pomocy SOC z natywną sztuczną inteligencją:

Przewlekły poziom czujnego zmęczenia: Starsze systemy, w tym SIEM, w coraz większym stopniu generują ogromną liczbę alertów, które analitycy SOC mogą śledzić i analizować. Analitycy SOC, którzy wypowiadali się na temat anonimowości, stwierdzili, że cztery na 10 generowanych przez nich alertów to fałszywe alarmy. Analitycy często spędzają więcej czasu na fałszywych alarmach niż na badaniu rzeczywistych zagrożeń, co poważnie wpływa na produktywność i czas reakcji. Stworzenie SOC opartego na sztucznej inteligencji będzie miało natychmiastowy wpływ, z czym każdy analityk i lider SOC musi się mierzyć na co dzień.

Ciągły niedobór i odpływ talentów: Doświadczeni analitycy SOC, którzy wyróżniają się w swojej pracy i których liderzy mogą wpływać na budżety oraz otrzymywać podwyżki i premie, w większości pozostają na swoich obecnych stanowiskach. Gratulujemy tym organizacjom, które zdały sobie sprawę, że inwestowanie w zatrzymanie utalentowanych zespołów SOC jest podstawą ich działalności. Powszechnie cytowana statystyka wskazuje, że wśród globalnej siły roboczej zajmującej się cyberbezpieczeństwem brakuje 3,4 miliona specjalistów. W branży faktycznie występuje poważny niedobór analityków SOC, zatem obowiązkiem organizacji jest zlikwidowanie różnic w wynagrodzeniach i podwojenie liczby szkoleń w celu wewnętrznego rozwoju swoich zespołów. Wypalenie zawodowe jest powszechne w zespołach, w których brakuje personelu, a które w celu wykonania swojej pracy zmuszone są polegać na integracji z krzesłem obrotowym.

Zagrożenia wielodomenowe szybko rosnąPrzeciwnicy, w tym gangi cyberprzestępcze, państwa narodowe i dobrze finansowane organizacje cyberterrorystyczne, wykorzystują luki w zabezpieczeniach i wykrywaniu punktów końcowych. W ciągu ostatniego roku wzrosła liczba ataków wolnych od złośliwego oprogramowania, których różnorodność, wielkość i pomysłowość strategii ataków wzrosła. Zespoły SOC chroniące producentów oprogramowania dla przedsiębiorstw opracowujących platformy, systemy i nowe technologie oparte na sztucznej inteligencji są szczególnie dotknięte. Ataki wolne od złośliwego oprogramowania często pozostają niewykryte, opierają się na zaufaniu do legalnych urządzeń, rzadko generują unikalny podpis i polegają na wykonywaniu bez plików. Kurtz powiedział VentureBeat, że napastnicy, których celem są luki w zabezpieczeniach punktów końcowych i tożsamości, często znajdują się w systemie w czasie krótszym niż dwie minuty. Ich zaawansowane techniki, w tym inżynieria społeczna, oprogramowanie typu ransomware jako usługa (RaaS) i ataki oparte na tożsamości, wymagają szybszych i bardziej adaptacyjnych reakcji SOC.

Coraz bardziej złożone konfiguracje chmur zwiększają ryzyko ataku. chmury wdzierają się wzrosła o 75% rok do rokuPrzeciwnicy wykorzystują natywne luki w zabezpieczeniach chmury, takie jak niezabezpieczone interfejsy API i błędne konfiguracje tożsamości. Firmy SOC często borykają się z ograniczoną widocznością i nieodpowiednimi narzędziami do łagodzenia zagrożeń w złożonych środowiskach wielochmurowych.

Przeciążenie danych i rozprzestrzenianie się narzędzi tworzą luki w zabezpieczeniach, które zespoły SOC mają wypełnić. Starsze systemy oparte na obwodzie, w tym systemy SIEM sprzed kilkudziesięciu lat, mają trudności z przetwarzaniem i analizowaniem ogromnych ilości danych generowanych przez nowoczesną infrastrukturę, punkty końcowe i źródła danych telemetrycznych. Wymaganie od analityków SOC monitorowania wielu źródeł alertów i uzgadniania danych z różnych narzędzi spowalnia ich skuteczność, prowadzi do wypalenia zawodowego i uniemożliwia osiągnięcie wymaganej dokładności, szybkości i wydajności.

Jak sztuczna inteligencja poprawia dokładność, szybkość i wydajność SOC

„Sztuczna inteligencja jest już wykorzystywana przez przestępców do obchodzenia niektórych światowych środków cyberbezpieczeństwa” ostrzegł Johann Gerber, wiceprezes wykonawczy ds. bezpieczeństwa i innowacji cybernetycznych w Mastercard. „Ale sztuczna inteligencja musi być częścią naszej przyszłości, tego, jak atakujemy cyberbezpieczeństwo i jak sobie z nim radzimy”.

„Jeśli sztuczną inteligencję postrzega się jako dodatek, niezwykle trudno jest wyjść i coś zrobić; Trzeba o tym myśleć (jako integralnie)” – powiedział Jitu Patel, wiceprezes i dyrektor generalny ds. bezpieczeństwa i współpracy w Cisco. powiedział VentureBeatPowołując się na ustalenia Indeks gotowości Cisco na cyberbezpieczeństwo 2024„Słowem operacyjnym jest tutaj wykorzystanie sztucznej inteligencji w podstawowej infrastrukturze”.

Biorąc pod uwagę liczne korzyści związane z dokładnością, szybkością i wydajnością wynikające z przejścia na SOC natywne dla sztucznej inteligencji, logiczne jest, dlaczego Gartner popiera ten pomysł. Firma badawcza szacuje, że do 2028 r. wieloagentowa sztuczna inteligencja w wykrywaniu zagrożeń i reagowaniu na incydenty (w tym w ramach SOC) wzrośnie z 5% do 70% wdrożeń sztucznej inteligencji – przede wszystkim zwiększając, a nie zastępując siłę roboczą.

Chatboty robią wrażenie

Wartość, jaką SOC oparte na sztucznej inteligencji wnoszą do zespołów zajmujących się cyberbezpieczeństwem i IT, obejmuje przyspieszone wykrywanie zagrożeń i segregację zagrożeń w oparciu o większą dokładność predykcyjną z wykorzystaniem danych telemetrycznych w czasie rzeczywistym.

Zespoły SOC zgłaszają, że narzędzia oparte na sztucznej inteligencji, w tym chatboty, zapewniają szybszą realizację szerokiego spektrum zapytań, od prostych analiz po bardziej złożoną analizę anomalii. Najnowsza generacja chatbotów zaprojektowanych w celu usprawnienia przepływów pracy SOC i wspomagania analityków bezpieczeństwa obejmuje Charlotte AI firmy CrowdStrike, Google Threat Intelligence Copilot, Microsoft Security Copilot, serię AI Copilot firmy Palo Alto Networks i SentinelOne Purple AI.

Grafowe bazy danych są kluczem do przyszłości SOC

Technologie grafowych baz danych pomagają obrońcom w takim samym stopniu, w jakim atakujący dostrzegają ich słabe punkty. Atakujący myślą w kategoriach przeglądania wykresu systemu biznesowego, podczas gdy obrońcy SOC tradycyjnie polegają na listach, których używają, aby móc podejmować działania zapobiegawcze. Wyścig zbrojeń w zakresie grafowych baz danych ma na celu zrównanie analityków SOC z atakującymi, jeśli chodzi o śledzenie zagrożeń, włamań i naruszeń na wykresach ich tożsamości, systemów i sieci.

Sztuczna inteligencja już okazuje się skuteczna w ograniczaniu fałszywych alarmów, automatyzacji reakcji na incydenty, ulepszaniu analizy zagrożeń i ciągłym znajdowaniu nowych sposobów usprawniania operacji SOC.

Połączenie sztucznej inteligencji z grafowymi bazami danych pomaga również SOC śledzić ataki wielodomenowe i zapobiegać im. Grafowe bazy danych mają kluczowe znaczenie dla przyszłości SOC, ponieważ wyróżniają się wizualizacją i analizą wzajemnie połączonych danych w czasie rzeczywistym, umożliwiając szybsze i dokładniejsze wykrywanie zagrożeń, analizę ścieżki ataku i ustalanie priorytetów ryzyka.

John Lambert, wiceprezes Microsoft Security Research, podkreślił kluczowe znaczenie myślenia opartego na grafach dla cyberbezpieczeństwa, wyjaśniając VentureBeat: „Obrońcy myślą listami, cyberprzestępcy myślą wykresami. Dopóki to prawda, atakujący wygrywają.

SOC wykorzystujące sztuczną inteligencję potrzebują ludzi pośrodku, aby osiągnąć swój potencjał

SOC, które celowo projektują przepływy pracy typu „man-in-the-middle” jako kluczową część swoich strategii SOC natywnych dla sztucznej inteligencji, mają największe szanse na sukces. Nadrzędnym celem jest wzmocnienie wiedzy analityków SOC i zapewnienie im danych, spostrzeżeń i informacji wywiadowczych, których potrzebują, aby wyróżniać się i rozwijać na swoich stanowiskach. Retencja jest również nieodłącznym elementem projektowania przepływu pracy typu „człowiek pośrodku”.

Organizacje, które stworzyły kulturę ciągłego uczenia się i postrzegają sztuczną inteligencję jako narzędzie przyspieszające szkolenia i wyniki w pracy, już wyprzedzają konkurencję. VentureBeat w dalszym ciągu dostrzega, że ​​SOC przywiązują wysoki priorytet do umożliwienia analitykom skupienia się na złożonych, strategicznych zadaniach, podczas gdy sztuczna inteligencja zarządza rutynowymi operacjami, utrzymując zespoły w nienaruszonym stanie. Istnieje wiele historii o małych zwycięstwach, takich jak zapobieganie włamaniom lub włamaniom. Sztucznej inteligencji nie należy postrzegać jako zamiennika analityków SOC ani doświadczonych łowców zagrożeń ludzkich. Zamiast tego aplikacje i platformy AI to narzędzia, których ofiary zagrożeń potrzebują, aby lepiej chronić przedsiębiorstwa.

Oparte na sztucznej inteligencji centra SOC mogą znacząco skrócić czas reakcji na incydenty, a niektóre organizacje zgłaszają skrócenie czasu nawet o 50%. To przyspieszenie umożliwia zespołom ds. bezpieczeństwa szybsze reagowanie na zagrożenia, ograniczając potencjalne szkody.

Oczekuje się, że rola sztucznej inteligencji w SOC będzie się rozszerzać i obejmować proaktywną symulację kontradyktoryjności, ciągłe monitorowanie stanu ekosystemu SOC oraz zaawansowane bezpieczeństwo punktów końcowych i tożsamości dzięki integracji opartej na zerowym zaufaniu. Postępy te jeszcze bardziej wzmocnią mechanizmy obronne organizacji przed pojawiającymi się zagrożeniami cybernetycznymi.