միջադեպերի արձագանքման համար նախատեսված AI

Արհեստական բանականություն միջադեպերի արձագանքման համար. խորը վերլուծություն

Երբ տեղի է ունենում կիբերանվտանգության խախտում, վայրկյանները կարևոր են։ Եթե չափազանց դանդաղ արձագանքեք, այն, ինչ սկսվում է որպես փոքրիկ ակնթարթ, վերածվում է գլխացավանքի ամբողջ ընկերության համար։ Ահա թե որտեղ է գործի դրվում միջադեպերին արձագանքելու արհեստական բանականությունը՝ ոչ թե արծաթե փամփուշտ (չնայած, անկեղծ ասած, կարող է այդպես թվալ), այլ ավելի շուտ՝ գերհզոր թիմակցի միջամտություն, երբ մարդիկ պարզապես չեն կարողանում բավականաչափ արագ շարժվել։ Հյուսիսային աստղն այստեղ հստակ է. կրճատեք հարձակվողի մնալու ժամանակը և սրեք պաշտպանի որոշումների կայացումը ։ Վերջին դաշտային տվյալները ցույց են տալիս, որ մնալու ժամանակը կտրուկ նվազել է վերջին տասնամյակում՝ ապացույց այն բանի, որ ավելի արագ հայտնաբերումը և ավելի արագ տեսակավորումը իսկապես թեքում են ռիսկի կորը [4]: ([Google Services][1])

Այսպիսով, եկեք բացատրենք, թե իրականում ինչն է արհեստական բանականությունը դարձնում օգտակար այս ոլորտում, նայենք որոշ գործիքների և խոսենք այն մասին, թե ինչու են SOC վերլուծաբանները և՛ ապավինում, և՛ աննկատելիորեն անվստահում այս ավտոմատացված պահակներին։ 🤖⚡

Հոդվածներ, որոնք կարող են ձեզ դուր գալ կարդալ սրանից հետո

🔗 Ինչպես կարող է գեներատիվ արհեստական բանականությունը օգտագործվել կիբերանվտանգության մեջ
Արհեստական բանականության դերի ուսումնասիրություն սպառնալիքների հայտնաբերման և արձագանքման համակարգերում։.

🔗 Արհեստական բանականության ներթափանցման թեստավորման գործիքներ. Արհեստական բանականությամբ աշխատող լավագույն լուծումները
Առաջատար ավտոմատացված գործիքներ, որոնք բարելավում են ներթափանցման թեստավորումը և անվտանգության աուդիտները։.

🔗 Արհեստական բանականությունը կիբեռհանցագործության ռազմավարություններում. Ինչու է կիբերանվտանգությունը կարևոր
Ինչպես են հարձակվողները օգտագործում արհեստական բանականությունը և ինչու պետք է պաշտպանությունը արագ զարգանա։.

Ի՞նչն է իրականում աշխատեցնում միջադեպերին արձագանքելու արհեստական բանականությունը։

Արագություն . արհեստական բանականությունը չի հյուծվում կամ չի սպասում կոֆեինի: Այն վայրկյանների ընթացքում մանրակրկիտ ուսումնասիրում է վերջնակետերի տվյալները, ինքնության գրանցամատյանները, ամպային իրադարձությունները և ցանցային հեռաչափությունը, ապա ի հայտ է բերում ավելի բարձր որակի լիդեր: Ժամանակի այդ սեղմումը՝ հարձակվողի գործողությունից մինչև պաշտպանի արձագանքը, ամեն ինչ է [4]: ([Google ծառայություններ][1])
Հետևողականություն . մարդիկ ուժասպառ են լինում, մեքենաները՝ ոչ։ Արհեստական բանականության մոդելը կիրառում է նույն կանոնները՝ անկախ նրանից, թե ժամը 14:00 է, թե՝ 02:00, և կարող է փաստաթղթավորել իր դատողությունների հետքը (եթե այն ճիշտ կարգավորեք)։
Կաղապարների ճանաչում . դասակարգիչները, անոմալիաների հայտնաբերումը և գրաֆիկների վրա հիմնված վերլուծությունները ընդգծում են մարդկանց կողմից բաց թողնված հղումները, ինչպիսիք են տարօրինակ կողմնային շարժումը, որը կապված է նոր պլանավորված առաջադրանքի և PowerShell-ի կասկածելի օգտագործման հետ։
Մասշտաբայնություն . եթե վերլուծաբանը կարող է ժամում կառավարել քսան ահազանգ, մոդելները կարող են աշխատել հազարավոր ահազանգերի միջով, իջեցնել աղմուկը և հարստացնել տվյալները, որպեսզի մարդիկ սկսեն հետաքննությունները իրական խնդրին ավելի մոտ։

Հեգնական է, բայց այն, ինչը արհեստական բանականությունն այդքան արդյունավետ է՝ նրա կոշտ բառացիությունը, կարող է նաև այն աբսուրդային դարձնել։ Եթե այն չկարգավորեք, այն կարող է ձեր պիցցայի առաքումը դասակարգել որպես հրամանատարության և վերահսկողության համակարգ։ 🍕

Հակիրճ համեմատություն. միջադեպերին արձագանքելու համար հայտնի արհեստական բանականության գործիքներ

Գործիք / Հարթակ	Լավագույն համապատասխանություն	Գնային միջակայք	Ինչու են մարդիկ օգտագործում այն (կարճ նշումներ)
IBM QRadar խորհրդատու	Ձեռնարկության SOC թիմեր	$$$$	Կապված է Վաթսոնի հետ. խորը ներթափանցումներ ունի, բայց ջանքեր է պահանջում դրանց շուրջ գլուխ հանելու համար։.
Մայքրոսոֆթ Սենթինել	Միջինից մինչև մեծ կազմակերպություններ	$$–$$$	Ամպային, հեշտությամբ մասշտաբավորվող, ինտեգրվում է Microsoft Stack-ի հետ։.
Darktrace-ի պատասխանը	Ինքնավարություն ձգտող ընկերություններ	$$$	Ավտոնոմ արհեստական բանականության արձագանքները երբեմն մի փոքր գիտաֆանտաստիկ են թվում։.
Պալո Ալտո Cortex XSOAR	Գործիքային մոնտաժով ծանրաբեռնված SecOps	$$$$	Ավտոմատացում + խաղային ձեռնարկներ. թանկ, բայց շատ հզոր։.
Սփլանկ ՍՈԱՐ	Տվյալների վրա հիմնված միջավայրեր	$$–$$$	Գերազանց է ինտեգրացիաների հետ կապված, UI-ը անհարմար է, բայց վերլուծաբաններին դուր է գալիս։.

Կողմնակի նշում. մատակարարները միտումնավոր անորոշ են պահում գները: Միշտ փորձարկեք կարճ արժեքի ապացույցով՝ կապված չափելի հաջողության հետ (օրինակ՝ MTTR-ի 30%-ով կրճատում կամ կեղծ դրականների կիսով չափ կրճատում):

Ինչպես է արհեստական բանականությունը նկատում սպառնալիքները ձեզանից առաջ

Ահա թե որտեղ է ամեն ինչ հետաքրքիր դառնում։ Շատ սթեքեր չեն հիմնվում մեկ հնարքի վրա՝ դրանք համատեղում են անոմալիաների հայտնաբերումը, վերահսկվող մոդելները և վարքագծի վերլուծությունը։

Անոմալիաների հայտնաբերում . պատկերացրեք «անհնարին ճանապարհորդություն», արտոնությունների հանկարծակի աճ կամ անսովոր ծառայություններից ծառայություն զրուցարաններ տարօրինակ ժամերին։
UEBA (վարքային վերլուծություն) . Եթե ֆինանսական տնօրենը հանկարծակի ներբեռնում է գիգաբայթերով սկզբնական կոդ, համակարգը պարզապես չի թոթափվում։
Հարաբերակցության մոգություն . Հինգ թույլ ազդանշաններ՝ տարօրինակ երթևեկություն, վնասակար ծրագրերի արտեֆակտներ, նոր ադմինիստրատորի տոկեններ՝ միավորվում են մեկ ուժեղ, բարձր վստահության դեպքի մեջ։

Այս հայտնաբերումներն ավելի կարևոր են, երբ դրանք կապված են հարձակվողի մարտավարության, տեխնիկայի և ընթացակարգերի (TTP) ։ Ահա թե ինչու MITRE ATT&CK շրջանակն այդքան կենտրոնական. այն ահազանգերը դարձնում է պակաս պատահական, իսկ հետաքննությունները՝ ոչ այնքան գուշակության խաղ [1]: ([attack.mitre.org][2])

Ինչու են մարդիկ դեռևս կարևոր արհեստական բանականության հետ մեկտեղ

Արհեստական բանականությունը բերում է արագություն, բայց մարդիկ՝ համատեքստ։ Պատկերացրեք, որ ավտոմատացված համակարգը կտրում է ձեր գործադիր տնօրենի Zoom զանգը, քանի որ կարծում է, թե դա տվյալների արտահոսք է։ Երկուշաբթի օրը սկսելու ճիշտ ձևը չէ։ Աշխատող սխեման հետևյալն է

Արհեստական բանականություն . մշակում է գրանցամատյանները, դասակարգում ռիսկերը, առաջարկում հաջորդ քայլերը։
Մարդիկ . կշռադատել մտադրությունները, հաշվի առնել բիզնեսի հետևանքները, հաստատել զսպումը, գրանցել դասերը։

Սա պարզապես հաճելի բան չէ, այլ խորհուրդ է տրվում լավագույն գործելակերպ։ Ներկայիս IR շրջանակները պահանջում են մարդկային հաստատման դարպասներ և սահմանված խաղային ձեռնարկներ յուրաքանչյուր քայլում՝ հայտնաբերել, վերլուծել, զսպել, վերացնել, վերականգնել։ Արհեստական բանականությունը օգնում է յուրաքանչյուր փուլում, բայց պատասխանատվությունը մնում է մարդկային [2]: ([NIST համակարգչային անվտանգության ռեսուրսների կենտրոն][3], [NIST հրատարակություններ][4])

Արհեստական բանականության տարածված թերությունները միջադեպերին արձագանքելիս

Կեղծ դրական արդյունքներ ամենուրեք . վատ բազային գծերը և անփույթ կանոնները վերլուծաբաններին խեղդում են աղմուկի մեջ: Ճշգրտությունը և հետկանչի կարգավորումը պարտադիր են:
Կույր կետեր . երեկվա մարզումների տվյալները բաց են թողնում այսօրվա արհեստավարժությունը։ Շարունակական վերապատրաստումը և ATT&CK-ի քարտեզագրված սիմուլյացիաները նվազեցնում են բացթողումները [1]: ([attack.mitre.org][2])
Չափազանց մեծ կախվածություն . աչքի ընկնող տեխնոլոգիաներ գնելը չի նշանակում SOC-ի կրճատում: Պահպանեք վերլուծաբաններին, պարզապես ուղղորդեք նրանց ավելի բարձր արժեք ունեցող հետաքննություններին [2]: ([NIST համակարգչային անվտանգության ռեսուրսների կենտրոն][3], [NIST հրատարակություններ][4])

Մասնագիտական խորհուրդ. միշտ պահպանեք ձեռքով կարգավորման ռեժիմը. երբ ավտոմատացումը գերազանցում է սահմանները, ձեզ անհրաժեշտ է միջոց՝ անմիջապես կանգ առնելու և հետ գնալու համար։

Իրական աշխարհի տիպի սցենար. վաղ փրկագին պահանջող ծրագրի բռնում

Սա ֆուտուրիստական խաբեություն չէ: Շատ ներխուժումներ սկսվում են «հողից ապրելու» հնարքներից՝ դասական PowerShell սկրիպտներով: Հիմնական գծերի և ML-ի վրա հիմնված հայտնաբերումների շնորհիվ, հավատարմագրերի մուտքի և կողային տարածման հետ կապված անսովոր կատարման օրինաչափությունները կարող են արագ նշվել: Սա ձեր հնարավորությունն է կարանտինացնելու վերջնակետերը, նախքան կոդավորումը սկսելը: ԱՄՆ ուղեցույցը նույնիսկ շեշտը դնում է PowerShell-ի գրանցման և EDR տեղակայման վրա հենց այս օգտագործման դեպքում. արհեստական բանականությունը պարզապես մասշտաբավորում է այդ խորհուրդը տարբեր միջավայրերում [5]: ([CISA][5])

Ի՞նչ է հաջորդը Արհեստական Ինտելեկտի մեջ՝ միջադեպերին արձագանքելու համար

Ինքնաբուժվող ցանցեր . Ոչ միայն ահազանգում. ավտոմատ կարանտինացում, երթևեկության վերաուղղորդում և գաղտնիքների շրջանառություն՝ այս ամենը հետադարձման հնարավորությամբ։
Բացատրելի արհեստական բանականություն (XAI) . Վերլուծաբանները նույնքան են ուզում «ինչու»-ն, որքան «ինչը»։ Վստահությունն աճում է, երբ համակարգերը բացահայտում են դատողության քայլերը [3]: ([NIST հրատարակություններ][6])
Ավելի խորը ինտեգրում . Ակնկալեք, որ EDR-ը, SIEM-ը, IAM-ը, NDR-ը և տոմսերի վաճառքը ավելի սերտորեն կհամադրվեն՝ ավելի քիչ պտտվող աթոռներ, ավելի սահուն աշխատանքային հոսքեր։

Իրականացման ճանապարհային քարտեզ (գործնական, ոչ թե անփույթ)

Սկսեք մեկ բարձր ազդեցություն ունեցող դեպքից (օրինակ՝ ransomware-ի նախորդներից):
Ֆիքսել չափանիշները ՝ MTTD, MTTR, կեղծ դրական արդյունքներ, վերլուծաբանի խնայված ժամանակ։
Քարտեզի հայտնաբերումներ ATT&CK-ին՝ համատեղ հետաքննության համատեքստի համար [1]: ([attack.mitre.org][2])
Ավելացրեք մարդկային ստորագրման դարպասներ ռիսկային գործողությունների համար (վերջնակետի մեկուսացում, հավատարմագրերի չեղարկում) [2]: ([NIST համակարգչային անվտանգության ռեսուրսների կենտրոն][3])
Շարունակեք լարել-չափել-վերապատրաստել ցիկլը ։ Առնվազն եռամսյակը մեկ։

Կարո՞ղ եք վստահել արհեստական բանականությանը միջադեպերին արձագանքելու հարցում։

Կարճ պատասխանը՝ այո, բայց որոշակի նախազգուշացումներով։ Կիբերհարձակումները շատ արագ են ընթանում, տվյալների ծավալները չափազանց մեծ են, և մարդիկ՝ այո, մարդիկ են։ Արհեստական բանականությանը անտեսելը տարբերակ չէ։ Բայց վստահությունը չի նշանակում կույր հանձնվել։ Լավագույն կառուցվածքներն են՝ արհեստական բանականությունը գումարած մարդկային փորձը, գումարած հստակ խաղային ձեռնարկները և թափանցիկությունը։ Արհեստական բանականությանը վերաբերվեք որպես օգնականի. երբեմն չափազանց եռանդուն, երբեմն անփույթ, բայց պատրաստ միջամտելու, երբ ձեզ ամենաշատն է պետք ուժ։.

Մետա նկարագրություն. Իմացեք, թե ինչպես է արհեստական բանականության միջոցով միջադեպերին արձագանքը բարելավում կիբերանվտանգության արագությունը, ճշգրտությունը և դիմադրողականությունը՝ միաժամանակ հաշվի առնելով մարդկային դատողությունը։

Հեշթեգեր՝
#AI #Cybersecurity #IncidentResponse #SOAR #ThreatDetection #Automation #InfoSec #SecurityOps #TechTrends

Հղումներ

MITER ATT&CK® - Պաշտոնական գիտելիքների բազա: https://attack.mitre.org/
NIST հատուկ հրատարակություն 800-61, վերանայված 3 (2025): Կիբերանվտանգության ռիսկերի կառավարման համար միջադեպերին արձագանքման առաջարկություններ և նկատառումներ : https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r3.pdf
NIST արհեստական բանականության ռիսկերի կառավարման շրջանակ (AI RMF 1.0). Թափանցիկություն, բացատրելիություն, մեկնաբանելիություն։ https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf
Mandiant M-Trends 2025. Գլոբալ միջին մնալու ժամանակի միտումներ։ https://services.google.com/fh/files/misc/m-trends-2025-en.pdf
CISA համատեղ խորհրդատվություն փրկագին պահանջող ծրագրերի TTP-ների վերաբերյալ. PowerShell գրանցում և EDR վաղ հայտնաբերման համար (AA23-325A, AA23-165A):.
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a

Գտեք արհեստական բանականության վերջին նորույթները պաշտոնական արհեստական բանականության օգնականների խանութում

Մեր մասին

Վերադառնալ բլոգ

Երկիր/տարածաշրջան

Ի՞նչն է իրականում աշխատեցնում միջադեպերին արձագանքելու արհեստական ​​բանականությունը։

Հակիրճ համեմատություն. միջադեպերին արձագանքելու համար հայտնի արհեստական ​​բանականության գործիքներ

Ինչպես է արհեստական ​​բանականությունը նկատում սպառնալիքները ձեզանից առաջ

Ինչու են մարդիկ դեռևս կարևոր արհեստական ​​բանականության հետ մեկտեղ

Արհեստական ​​բանականության տարածված թերությունները միջադեպերին արձագանքելիս