Cyberbezpieczeństwo z szybkością sztucznej inteligencji: agent AI doładowuje zespoły SOC

Centra operacyjne bezpieczeństwa (SOC) są oblężone przez nową falę zautomatyzowanych ataków kontradyktoryjnych. Ataki te zachodzą z niespotykaną dotąd szybkością i okazują się trudne do wykrycia, zrozumienia i obrony.

Z przeciwnikami odnoszącymi sukcesy Czas ucieczki tylko dwie minuty i siedem sekundPytanie nie brzmi, czy SOC zostanie zaatakowany, czy nie, pytanie brzmi, kiedy atak nastąpi. I 77% Wiele przedsiębiorstw padło już ofiarą kontradyktoryjnych ataków AI.

Szybkość ma kluczowe znaczenie dla SOC, aby chronić siebie i infrastrukturę Twojej firmy.

Wejdź do Agentycznej AI

Agent AI pomaga SOC automatyzować podejmowanie decyzji, dostosowywać się do pojawiających się zagrożeń i usprawniać przepływy pracy, w tym selekcję alertów i reakcję na incydenty. Okazało się skuteczne w poprawie wydajności i wzmocnieniu bezpieczeństwa poprzez zmniejszenie ręcznego wysiłku wymaganego do identyfikacji i śledzenia zagrożeń.

Wiodący dostawcy cyberbezpieczeństwa oferujący rozwiązania agentycznej sztucznej inteligencji dla SOC to Arcana.AI, Cato Networks, Cisco Security Cloud, CrowdStrike (platforma Falcon z Charlotte AI), Dropzone AI, Google Cloud Security AI Workbench, Microsoft Security Copilot, Nagomi Security, Palo Alto Networks i . Zscaler.

„Szybkość współczesnych cyberataków wymaga od zespołów ds. bezpieczeństwa analizowania ogromnych ilości danych w celu szybkiego wykrywania, badania i szybkiego reagowania. Z czasem wybicia wynoszącym nieco ponad dwie minuty George Kurtz, prezes, dyrektor generalny i współzałożyciel, ustanawia rekordy, nie pozostawiając miejsca na opóźnienia. Uderzenie tłumupowiedział VentureBeat podczas niedawnego wywiadu.

Planuj zespoły SOC i sztuczną inteligencję agentów, aby się wzajemnie wzmacniać

Aby jakakolwiek agentyczna sztuczna inteligencja lub powszechne wdrożenie SoC AI zakończyło się sukcesem, niezbędne są przepływy pracy skupione na człowieku. Z najnowszego raportu Gartnera „Prognoza 2025: Nigdy nie będzie autonomicznego SOC„Wzmacnia obserwację VentureBeat na temat tego, jak SOC napędzają i wdrażają agentyczną sztuczną inteligencję oraz wszechobecne aplikacje i platformy AI. Gartner radzi: „Kierownicy ds. bezpieczeństwa i starsi pracownicy operacyjni muszą określić, gdzie pozostają funkcje SOC kierowane przez ludzi i jak przenieść analityków SOC na role, które wymagają podejmowania decyzji w większym stopniu przez człowieka”.

W raporcie szacuje się, że do 2026 r. sztuczna inteligencja zwiększy wydajność SOC o 40% w porównaniu z wydajnością w 2024 r., co spowoduje zmianę wiedzy specjalistycznej w zakresie SOC w kierunku rozwoju, konserwacji i bezpieczeństwa sztucznej inteligencji.

Aby skutecznie zintegrować agentyczną sztuczną inteligencję, SOC potrzebują jasnych ram, które równoważą technologię z ludzką wiedzą. Poniższy rozszerzony model SOC firmy Gartner pokazuje, w jaki sposób role, możliwości i cele dopasowują się w celu zwiększenia wydajności i zdolności adaptacyjnych.

Wyzwania SOC są idealnym przypadkiem użycia agentowej sztucznej inteligencji

SOC potrzebują agentowej sztucznej inteligencji, która może dorównać szybkości i wnikliwości atakującym, jeśli mają oni mieć szansę udaremnić próbę włamania lub naruszenia.

W wielu SOC brakuje personelu. Wiele osób ma trudności ze zrozumieniem danych pochodzących ze starszych systemów zarządzania informacjami i zdarzeniami związanymi z bezpieczeństwem (SIEM), którym brakuje technik wizualizacji lub możliwości wykorzystania grafowych baz danych do mapowania zagrożeń.

Konieczność wyjścia poza myślenie listami i skupienia się na wykresach, tak jak robią to napastnicy planujący naruszenie, jest jednym z wielu czynników powodujących silny wyścig zbrojeń w zakresie grafowych baz danych w całej branży.

Starając się nadążać za alertami, fałszywymi alarmami i bieżącymi pracami konserwacyjnymi, zespoły SOC codziennie stają przed następującymi wyzwaniami:

Starsze systemy narażają SOC na rosnące zagrożenia związane ze sztuczną inteligencją. Firmy SOC są obciążone przestarzałymi systemami SIEM, starszymi systemami wykrywania i reagowania na punkty końcowe (EDR), zaporami ogniowymi i systemami wykrywania włamań (IDS/IPS), które nie są wyposażone, aby stawić czoła szybkości i złożoności zagrożeń opartych na sztucznej inteligencji. Szlomo Kramer, dyrektor generalny sieć ugryzień„Największym zagrożeniem dla organizacji jest złożoność ich infrastruktury bezpieczeństwa” – powiedział VentureBeat podczas niedawnego wywiadu. Produkty punktowe tworzą luki w swoim stanie bezpieczeństwa, co czyni je głównymi celami cyberprzestępców. Kramer powiedział: „Widzę, że w ciągu najbliższych pięciu lat zagrożenia cybernetyczne będą ewoluować w trzech wymiarach: taktycznie, w ramach bitew AI kontra AI; Operacyjnie, poprzez złożoność infrastruktury; i strategicznie, kształtowany przez konflikty geopolityczne. Organizacje korzystające ze starszych, fragmentarycznych urządzeń będą miały trudności z ochroną przed rosnącymi zagrożeniami.

Ciągłe zmęczenie czujnością prowadzi do nieudanych prób włamań i zwiększonej liczby pracowników. Analitycy SOC mają trudności z nadążaniem za tysiącami alertów, fałszywych alarmów i niespójnych raportów z wielu starszych systemów SIEM i SOAR znajdujących się w ich centrach. CISO zgłaszają aż 10 000 incydentów dziennie w całej bazie systemowej swoich centrów operacyjnych. Zastanawiają się, czy znalezienie trzech lub czterech stanowiących realne zagrożenie jest najlepszym sposobem wykorzystania czasu ich analityków, skoro sztuczna inteligencja już udowodniła, że ​​potrafi wykrywać niezwykłe zdarzenia.

Organizacje borykają się z niedoborami kadrowymi na kluczowych stanowiskach w SOC. Dla wielu przedsiębiorców rozwój zespołów SOC przy pomocy samych wewnętrznych talentów jest prawie niemożliwy. Chociaż zatrudnianie osób z zewnątrz jest zawsze możliwe, zespoły SOC muszą inwestować w ciągłe szkolenia i rozwój kariery swojego zespołu, aby utrzymać wiedzę biznesową, a jednocześnie wzmacniać wiedzę cybernetyczną.

Rosnąca fala zagrożeń bezpieczeństwa danych grozi przytłoczeniem zespołów SOC. Kurtz w niedawnym wywiadzie powtórzył wagę wyzwania: „Jednym z głównych problemów bezpieczeństwa jest problem z danymi i to jest jeden z powodów, dla których założyłem CrowdStrike. Właśnie dlatego zaprojektowałem naszą architekturę, a zespołom SOC niezwykle trudno jest sortować tak ogromną ilość danych i woluminów w celu wykrycia zagrożeń.

Tam, gdzie agentyczna sztuczna inteligencja ma wpływ

Najbardziej znaczące korzyści z agentycznej sztucznej inteligencji będą wynikać z automatyzacji rutynowych zadań analityków i zespołów SOC, a także zapewnienia im najnowocześniejszych narzędzi wywiadowczych, z których mogą się uczyć.

VentureBeat widzi, że agentyczna sztuczna inteligencja ma wpływ na następujące obszary:

Osiąganie ogromnego wzrostu wydajności w przypadku najbardziej rutynowych, powtarzalnych zadań. Piloty agentów AI i systemy produkcyjne zapewniają większą wydajność poprzez automatyzację rutynowych zadań na dużą skalę. Vasu Jakkal, wiceprezes korporacyjny Microsoftu, w niedawnym wywiadzie podzielił się z VentureBeat wynikami badań przeprowadzonych przez jego firmę na temat korzyści związanych z produktywnością Security CoPilot. „Badanie wykazało, że początkujący profesjonaliści, którzy korzystali z Security CoPilot, byli o 26% szybsi i o 35% dokładniejsi. Doświadczeni profesjonaliści, którzy korzystali z tego narzędzia, byli o 22% szybsi i o 7% dokładniejsi, a 90% wyraziło chęć ponownego użycia tego narzędzia” – powiedział Sakkal.

Wykrywanie, analiza i analiza zagrożeń w czasie rzeczywistym, a także wykrywanie anomalii w dużych zbiorach danych. Aplikacje agentów AI i obsługujące je platformy skutecznie identyfikują potencjalne zagrożenia i anomalie, które ludzie mogą przeoczyć. Projektowanie oparte na działaniu człowieka w pętli pomaga agentom AI w ciągłym uczeniu się i doskonaleniu zdolności do identyfikowania zagrożeń.

Pomaganie SOC w przyspieszeniu reakcji na incydenty. Podstawą projektu każdej aplikacji, systemu i platformy agentowej AI jest możliwość identyfikowania i izolowania kluczowych działań w odpowiedzi na incydenty w czasie rzeczywistym, aby szybko reagować na zagrożenia. Niedawno rozmawiałem z VentureBeat moment obrotowy CTO Eldad Livni opowiedział o wieloagentowym systemie swojej firmy, który opisał jako „przekształcający operacje SOC poprzez rozbicie złożonych przepływów pracy na wyspecjalizowane, wzajemnie powiązane zadania kontrolowane przez dedykowanych agentów”. „Takie podejście gwarantuje, że każdy alert zostanie dokładnie przetestowany, zbadany i rozwiązany, co ogranicza liczbę błędów ludzkich i umożliwia zespołom SOC wydajną pracę”.

Ciągłe uczenie się. Sztuczna inteligencja agentów wspomaga inżynierię wykrywania w SOC, gdzie systemy analizują ogromne zbiory danych dotyczących zagrożeń. LLM są szkoleni, aby pomagać zespołom ds. bezpieczeństwa odróżniać rzeczywiste zagrożenia od fałszywych alarmów, zapewniając w czasie rzeczywistym istotne informacje, które oszczędzają cenny czas analityków SOC. Firma VentureBeat odkryła, że ​​te możliwości zapewniają wymierne ulepszenia w zakresie reagowania na zagrożenia.

Sukces sztucznej inteligencji Agentika zależy całkowicie od współpracy ludzi

„Nie chodzi o zmianę ludzi; Chodzi o wychowanie ludzi” – Elia ZajcewDyrektor techniczny CrowdStrike powiedział wcześniej VentureBeat w wywiadzie. „To ludzie wspierani przez sztuczną inteligencję, co moim zdaniem jest ważną koncepcją… Myślę, że w branży technologicznej pracuje wiele osób – i powiem to jako dyrektor ds. technicznych. Zdecydowanie muszę pomyśleć o technologii. Czasami chcę zastąpić ludzi myślę, że to bardzo niewłaściwe, zwłaszcza w cyberprzestrzeni”.