AI modeļu integrēšana tieši paplašinātās noteikšanas un reaģēšanas (XDR) platformās nodrošina ievērojamus uzlabojumus SOC izmeklēšanas ātrumā un precizitātē.
Ekskluzīvā intervijā ar VentureBeat eSentire atklāja, ka izvietošana Antropiskais Klods pāri viņu Atlas XDR platforma saspiež visaptverošu draudu izmeklēšanu no piecām stundām līdz septiņām minūtēm, nodrošinot 43x ātruma uzlabojumu, vienlaikus saskaņojot vecāko SOC analītiķu lēmumu pieņemšanu ar 95% precizitāti.
Tipisks uzņēmums SOC rīkojas aptuveni Saskaņā ar Dropzone AI pētījumu katru dienu tiek saņemti 10 000 brīdinājumu. SOC analītiķi stāsta VentureBeat, ka vidēji viņi var izmeklēt tikai 22% līdz 25% no visiem brīdinājumiem. Atkarībā no tā, kā SOC tika konfigurēts un vai ir pārāk daudz paļaušanās uz mantotām, neintegrētām sistēmām, kļūdaini pozitīvi rezultāti var sasniegt 80%. Rezultāts: kritiskie draudi netiek izmeklēti, kamēr analītiķi pavada visas maiņas, veicot manuālas pierādījumu vākšanas darbplūsmas.
"Mēs nevēlamies noņemt darbu, wager gan nodrošināt labākus rezultātus," Dastins Hilards, galvenais produktu un tehnoloģiju speciālists eSentirestāstīja VentureBeat. "Tas patiešām nozīmē labāku izpratni par draudiem mūsu klientiem. Ja mēs sakām piecas darba stundas dažās minūtēs, tie ir 30 dažādi pierādījumu vākšanas soļi, kas tiek dinamiski ģenerēti šīs konkrētās drošības izmeklēšanas kontekstā."
Izrāvienu nodrošina AI integrēšana platformas līmenī. ESentire pieeja ļauj Antropiskais Klods lai organizētu vairāku rīku darbplūsmas, kas vienlaikus korelē draudu modeļus tūkstošiem datu punktu, būtībā atkārtojot vecāko analītiķu domāšanu, wager mašīnas ātrumā.
Platformas integrācija atspoguļo XDR nākamo evolūciju, jo AI ieviešana paātrina
Drošības kopiloti sākotnēji centās novērst darbības grūtības, neļaujot SOC analītiķiem gūt panākumus savā darbā. Tie izrādās ļoti noderīgi, lai paātrinātu šķirošanu, brīdinājumu dublēšanu, trokšņu slāpēšanu, ugunsmūra regulēšanu un daudziem citiem uzdevumiem. VentureBeat’s Drošības otrā pilota rokasgrāmata16 pārdevēju salīdzinošā matrica atklāj, kā koppiloti ir izstrādāti tā, lai tie būtu pielāgoti konkrētas SOC analītiķu komandas stiprajām pusēm.
Nākamā evolūcija pārsniedz atsevišķus koppilotus, jo lielākie XDR pārdevēji integrē trešo pušu AI modeļus tieši savās platformās. ESentire pieeja ar Antropiskais Klods parāda, kā dziļi integrēts AI var pārveidot izmeklēšanas darbplūsmas. Uzņēmuma DevOps un inženieru komandas atklāja, ka platformā integrētais AI var nodrošināt visaptverošu draudu izmeklēšanu, kas atbilst vecāko SOC analītiķu lēmumu pieņemšanai ar 95% precizitāti, vienlaikus samazinot izmeklēšanas laiku no piecām stundām līdz mazāk nekā septiņām minūtēm, nodrošinot 43 reizes ātruma uzlabojumu.
"Ideāla pieeja parasti ir izmantot AI kā spēka pavairotāju cilvēku analītiķiem, nevis aizstājēju," Vīneta Arora, CTO par WinWirestāstīja VentureBeat. "Piemēram, mākslīgais intelekts var apstrādāt sākotnējo brīdinājumu šķirošanu un ikdienas atbildes uz drošības problēmām, ļaujot analītiķiem koncentrēt savas zināšanas uz sarežģītiem draudiem un stratēģisku darbu."
eSentire’s Hillard atzīmēja: "Šī gada sākumā, ap Claude 3.7, mēs sākām redzēt, ka rīku atlase un secinājumu pamatojums vairākos pierādījumu vākšanas posmos sasniedza punktu, kurā tas atbilst mūsu ekspertiem. Tieši tas mūs patiesi sajūsmināja. Mēs meklējām kaut ko tādu, kas ļautu mums nodrošināt labāku izmeklēšanas kvalitāti mūsu klientiem, ne tikai efektivitāti."
Uzņēmums salīdzināja Kloda autonomās izmeklēšanas ar saviem pieredzējušākajiem 3. līmeņa SOC analītiķiem 1000 dažādos scenārijos, kas aptver izspiedējvīrusu, sānu kustību, akreditācijas datu kompromisu un progresīvus pastāvīgus draudus, atklājot, ka pirmajā kontaktā tas sasniedza 95% atbilstību ekspertu spriedumam un 99,3% draudu nomākšanu.
Vairāku rīku orķestrēšana mašīnas ātrumā atkārto vecākā analītiķa argumentāciju
eSentire DevOps un R&D komandas integrēja mākslīgo intelektu savā sākotnējā līmenī Atlas XDR platforma lai nodrošinātu lielāku precizitāti, ātrumu un mērogu SOC darbībās. Antropiskais Klods apstrādā vairāku rīku darbplūsmu organizēšanu, kas korelē draudu modeļus tūkstošiem datu punktu. Sistēma vienlaikus sintezē pierādījumus no galapunkta telemetrijas, tīkla trafika, žurnāla datiem, mākoņa vidēm, identitātes sistēmām un ievainojamības plūsmas, un tas viss iepriekš piespieda analītiķus veikt virkni sērijveida izmeklēšanas darbību, kas patērēja visas maiņas.
Hillard paskaidroja, ka izvietošana turpinās Amazones pamatiežiar LangGraph nodrošinot aģentu orķestrēšanas sistēmu, kas ļauj Anthropic’s Claude dinamiski atlasīt rīkus un iemeslus, izmantojot daudzpakāpju izmeklēšanu. Katra darbplūsma pārmanto klientam specifiskus piekļuves marķierus, kas tiek kaskadēti caur platformu Atlas Actions. Izmantojot šo pieeju, Hilarda saka, ka katrs rīka izsaukums, datu vaicājums un pārdevēja integrācija ir droša nomnieka izolācijā.
"Bedrock izmantošana mums bija diezgan vienkārša, jo mēs esam AWS pamatā kopš platformas sākuma." Hilards paskaidroja. "Veids, kādā Bedrock tiek izvietoti Antropiskie modeļi, viss ir cieši noslēgts tā, lai mēs un mūsu klienti būtu ērti. Daudzi mūsu klienti ir kritiskās infrastruktūras uzņēmumi, kuru dati ir ļoti jutīgi."
Kad notiek incidents, tipiskai atklāšanas un reaģēšanas sistēmai ir 15 minūtes, lai to ierobežotu, pirms sānu kustība apdraud plašāku infrastruktūru. Šis laika logs iepriekš piespieda ātrās uguns izšķiršanu, kas izslēdza dziļu izmeklēšanu. Hilards skaidro, ka Anthropic’s Claude palīdz pārvērst šo laika spiedienu par priekšrocību, veicot visaptverošu pierādījumu vākšanu visos telemetrijas avotos — veicot vaicājumu procesu kokus, veicot žurnālu meklēšanu saglabātajā telemetrijā, korelējot saistītos incidentus no vēsturiskajiem biļešu pārdošanas datiem un veicot savstarpējas atsauces uz aktīvo draudu izlūkošanu.
The Atlas XDR platforma izmeklēšanas course of dinamiski ģenerē aptuveni 30 pierādījumu vākšanas soļus, kas pielāgoti katram konkrētajam apdraudējuma scenārijam trīs dimensijās: padziļināta drošības telemetrijas analīze, konteksts no saistītiem pagātnes incidentiem ar klientu un draudu ainavas izlūkošana par to, ko aktīvi apdraudējuma dalībnieki dara visā eSentire klientu bāzē.
Tīkla efekti paplašina draudu izlūkošanu klientu izvietošanā
ESentire draudu reaģēšanas vienība izmanto Anthropic’s Claude, lai meklētu žurnāla, galapunkta, tīkla, mākoņa un identitātes datos. Kad komanda identificē jaunu apdraudējuma dalībnieku uzvedību — izmantojot atvērtā koda izlūkošanas datus vai aizsargājot kritiskās infrastruktūras klientus, kuri vispirms redz uzbrukumus, — viņi atspoguļo šos modeļus pret saviem vairāk nekā 2000 klientiem, lai identificētu atkārtotas metodes, pirms rodas bojājumi.
Uzbrukums vienam klientam stiprina aizsardzību visiem klientiem, jo Claude ļauj Atlas XDR platformai nepārtraukti mācīties no jauniem draudiem. Hillard pastāstīja VentureBeat, ka platforma meklē draudus 35% gadījumu apsteidz komerciālās plūsmas un 12% gadījumu identificē draudus, kas komerciālās plūsmās nekad nav redzēti.
"Tas, ko mūsu speciālistiem agrāk veica nedēļā, tagad viņi var paveikt stundā," Hillard saka. "Kad viņiem ir radoša ideja pārbaudīt jaunu datu analīzes modeli, darbu, kura izveidei inženieru komandai varētu būt vajadzīgs mēnesis, viņi tagad var to darīt tieši dabiskā valodā."
Ātruma maiņa ļauj analītiķiem pārbaudīt hipotēzes stundās, nevis nedēļās, pastiprinot cilvēku zināšanas, nevis to aizstājot. Hillard saka, ka pieeja darbojas plašā mērogā visā klientu kritiskās infrastruktūras izvietošanā.
Racionalizētas darbplūsmas novērš analītiķu izdegšanu, pirms tā notiek
Veiktspējas uzlabojumi risina pieaugošo darbaspēka problēmu, pirms tā kļūst par krīzi. SOC analītiķi stāsta VentureBeat, ka nozare ir gadu desmitiem attālumā no pilnīgi autonomas SOC, un daudzi analītiķi paļaujas uz grozāmo krēslu integrāciju (pāriet no vienas sistēmas uz otru, lai atrisinātu brīdinājumus). Šī sadrumstalotā pieeja tērē laiku, rada kļūdas un veicina analītiķu izdegšanu.
Vairāk nekā 70% SOC analītiķu apgalvo, ka ir izdegušiar 66% ziņo, ka puse viņu darba ir pietiekami atkārtota, lai to automatizētu. Anonīmās sarunās, ko VentureBeat regulāri veic, izmantojot Sign, SOC analītiķi atzīst, ka ir kļuvis ierasts termiņš no sešiem mēnešiem līdz vienam gadam. Viens analītiķis ziņoja par 96% kļūdaini pozitīvu rezultātu savā vidē — apstākļi, kas padara efektīvu draudu noteikšanu gandrīz neiespējamu.
ASV Darba statistikas birojs prognozē informācijas drošības analītiķu vietu pieaugumu 33% no 2023. līdz 2033. gadamievērojami pārsniedzot vidējo rādītāju 4% visās profesijās. Uz AI balstītu platformu izmantošana SOC darbplūsmu racionalizēšanai ir ļoti svarīga stratēģija uzņēmumiem, lai novērstu izdegšanu, pirms tas liek labākajiem drošības talantiem doties strādāt mazāk prasīgus pienākumus.
Stratēģiskā pāreja uz platformā integrētu AI
Tā kā uzņēmumiem līdz 2033. gadam ir paredzēts palielināt drošības analītiķu amatus par 33%, platformā integrētais mākslīgais intelekts piedāvā iespēju palielināt SOC darbības, proporcionāli nesamazinot darbinieku skaitu. Pāreja no piecu stundu izmeklēšanas uz septiņu minūšu automatizētām darbplūsmām neatceļ nepieciešamību pēc vecāko analītiķu; tas paplašina viņu zināšanas, ļaujot koncentrēties uz sarežģītu draudu meklēšanu un stratēģisku darbu, nevis uz atkārtotiem pierādījumu vākšanas uzdevumiem.
PLatformā integrētais AI ir būtiskas izmaiņas SOC ekonomikā. eSentire sasniegtais 43x ātruma uzlabojums parāda, ka mākslīgais intelekts var atkārtot elites analītiķu lēmumu pieņemšanu ar 95% precizitāti, ja tas ir atbilstoši integrēts platformas līmenī — nevis aizstājot cilvēku zināšanas, wager gan automatizējot darbplūsmas, kas iepriekš patērēja visas maiņas un atstāja neizmeklētus kritiskos draudus.
Uzņēmumu drošības vadītāju jautājums ir par to, cik ātri organizācijas var integrēt AI platformas līmenī, lai uzlabotu SOC veiktspēju, pirms brīdinājuma pārslodzes un manuālo darbplūsmu kombinācija liek analītiķiem aiziet. Kritiskās infrastruktūras aizsardzībai spēja izmeklēt draudus 43 reizes ātrāk, vienlaikus saglabājot 95% precizitāti, vienlaikus saskaņojot ar vecākajiem analītiķiem, atspoguļo atšķirību starp pretinieku apsteigšanu un atpalikšanu.
