Рекламная вставка Ландшафт киберугроз стремительно меняется: хорошо организованные злоумышленники проводят все более разрушительные и изощренные атаки на зачастую плохо подготовленные цели.
В этой тревожной ситуации время, необходимое для обнаружения атаки и реагирования на неё, стало критически важным. Поставщики услуг управляемого обнаружения и реагирования (MDR), чья работа заключается в защите клиентов от вредоносных атак, теперь могут использовать новое мощное оружие — агентский ИИ — в своих платформах.
В то время какгенеративный ИИ использует подсказки для выполнения простых задач, агентный ИИ разбивает сложные задачи на более простые, которые затем может выполнять автономно. Похоже, это изменит правила игры: по прогнозам Gartner, к 2028 годутреть случаев использования ИИ будет связана с агентным ИИ.
Агентный ИИ уже меняет весь рынок MDR, выводя его за рамки генеративных моделей ИИ и приближая к чему-то гораздо более автономному. Поставщики MDR могутиспользоватьразличные формы агентного ИИдля ускорения выполнения задач, которые традиционно решают аналитики центров управления безопасностью (SOC).
Такой вид автоматизации способен не только ускорить обнаружение угроз и реагирование на них, но и исключить человеческий фактор. Это поможет решить проблему нехватки квалифицированных специалистов по безопасности на рынке.
Согласно теории, основанной на агентном искусственном интеллекте, платформы MDR должны постоянно адаптироваться и обучаться на основе угроз, возникающих в режиме реального времени. Они будут обеспечивать более эффективное реагирование и своевременное восстановление для сдерживания кибератак до того, как они смогут нарушить работу критически важных систем.
Выбирайте с умом
Но есть одна загвоздка, о которой должны знать старшие специалисты по безопасности, прежде чем назначать поставщика услуг MDR. Не все используют агентский ИИ одинаково (а некоторые не используют его вообще). Поэтому клиентам следует внимательно подходить к выбору партнера на переполненном рынке.
Организациям необходимо понимать, как потенциальный партнер по обеспечению безопасности использует агентский ИИ, как он оценивает результаты применения этой технологии и насколько прозрачно и совместно с другими организациями он делится этими данными. Используют ли они базовый ИИ, который лишь отфильтровывает возможные угрозы из массива данных? Или более сложные модели ИИ, которые включают в себя анализ и поэтапное решение задач? И как они используют человеческий опыт наряду с внедрением ИИ?
Чтобы лучше понять, как ориентироваться на рынке, The Register побеседовал с Дастином Хилларом, техническим директором компании, специализирующейся на обнаружении угроз и реагировании на них eSentire. Хиллард — опытный специалист по анализу данных. Последние 15 лет он занимается автоматизацией систем безопасности и анализом поведения сетей с помощью машинного обучения.
Какой уровень автоматизации — это слишком?
Он указывает, что некоторые поставщики MDR позиционируют агентский искусственный интеллект, который выполняет все обязанности обычного SOC-аналитика, полностью исключая людей из процесса. Опасность здесь, по его словам, заключается в том, что такие агенты могут не должным образомклассифицировать киберактивность, что приводит к ложным срабатываниям и негативным результатам, которые увеличивают нагрузку на службу безопасности, а не уменьшают ее......................... Это может привести к печальным последствиям, которых опытный специалист по безопасности мог бы избежать. Не все поставщики услуг MDR одинаково прозрачны в вопросах обмена информацией.
«Многие поставщики услуг MDR говорят о том, что они могут заменить человека, — предупреждает он. — Но в eSentire мы пытаемся использовать опыт людей и искусственный интеллект, чтобы усилить его. Люди по-прежнему участвуют в процессе и принимают важные решения , и мы считаем, что так должно быть всегда».
Потенциальная ценность искусственного интеллекта неоспорима, особенно в сочетании с человеческим опытом. "В течение нескольких минут после того, как наш SOC получает сигнал безопасности, наша агентская система искусственного интеллекта Atlas AI начинает предварительное расследование. В то время как расследование заняло бы у людей-аналитиков SOC не менее пяти часов самостоятельно, искусственный интеллект Atlas занимает семь минут,", - отмечает он. «Он может оценить ситуацию и собрать все необходимые данные, прежде чем передать их аналитику для принятия окончательного решения о том, следует ли продолжить расследование или закрыть его."
Агентский ИИ сделан правильно
Подход eSentire к использованию ИИ в операциях SOC основан на агентном рабочем процессе, имитирующем процесс расследования аналитика SOC. Его ИИ-движок Atlas задает вопросы о безопасности, проводит исследования и формирует отчет на основе полученных данных. Это может помочь определить, был ликомпьютер сотрудникавзломан или нет, и используетспоказатель достоверности от 1 до 10. Затем он передает этот отчет и все соответствующие данные аналитикам.
«Аналитики SOC компании eSentire всегда принимают окончательное решение о том, действительно ли угроза представляет собой угрозу, и определяют дальнейшие действия независимо от оценки, представленной в отчете», — объясняет Хиллард.
«Благодаря Atlas AI наши аналитики быстрее приступают к расследованию, поэтому они могут с уверенностью подтверждать наличие угроз и действовать в рекордно короткие сроки», — добавляет он. «Мы отслеживаем процент изоляции первого хоста как показатель эффективности нашей службы в плане защиты клиентов. Процент изоляции первого хоста на уровне 99,3 % предотвращает горизонтальное распространение угрозы с минимальной задержкой».
Подход eSentire к использованию ИИ для обнаружения угроз и реагирования на них основан на многолетнем опыте. В 2018 году компания приобрела ведущего разработчика ИИ-решений Versive вместе с Хилларом, который был техническим директором компании. Компания интегрировала инновационную интеллектуальную собственность Versive в свою платформу Atlas XDR и центры обработки данных. eSentire продолжила развивать свои возможности в области ИИ и в 2023 году выпустила Atlas AI Investigator — инструмент на базе ИИ, который обеспечивает доступ к средствам расследования, реагирования и восстановления с помощью простого взаимодействия на естественном языке.
«Наш подход отличается от других, — говорит Хиллард. — Первый уровень нашего агентного ИИ — это сетка данных, которая собирает информацию из всех сред наших клиентови объединяет все эти обширные данныев одном месте. Это позволяет нашим агентам-людям учиться на основе этих данных с возможностью масштабирования.»
Следующий уровень отвечает за оркестровку с помощью инструментов телеметрии. Клиенты могут настроить автоматизацию так, чтобы в процесс было вовлечено как можно больше аналитиков. Агент объединяет данные телеметрии и анализа угроз.
Затем необходимо тщательно изучить среду, в которой работает клиент, его предпочтения и методы ведения бизнеса. Агентная система использует большую языковую модель для оценки ситуации с безопасностью и выдвижения гипотез. Если Atlas AI решит, что расследование необходимо продолжить, он предложитмеры по исправлению ситуации и сдерживанию в контексте всей собранной информации. Люди-агенты могут решить, продолжать ли расследование или закрыть его.
Благодаря быстрым и точным результатам, которые обеспечивает агентский ИИ, организация может продемонстрировать полное соответствие требованиям к обработке данных в сразу после инцидента. Журналы решений, мобильный контроль и соответствие таким стандартам, как SOC 2 и GDPR, помогают обеспечить готовность SOC к аудиту. На основе данных, полученных на самых ранних этапах атаки, можно составить подробный отчёт для контролирующих органов.
«В целом, eSentire занимается проведением расследований на экспертном уровне и реагированием на них, в то время как другие поставщики услуг MDR сосредоточены на том, чтобы отсеивать ненужное и выполнять менее важные задачи по исправлению ситуации, — заключает Хиллард. — Мы уделяем больше внимания проведению глубоких расследований там, где это наиболее важно, и для этого мы не отказываемся от человеческого опыта».
Контрольный список для вашего агента MDR
Поставщики услуг MDR стремятся интегрировать агентский ИИ в свои предложения. Некоторые из них уже достигли высокого уровня развития, в то время как другие всё ещё находятся на стадии разработки. Вот десять вопросов, которые помогут вам понять, действительно ли поставщик услуг MDR сможет надёжно и эффективно ускорить ваши операции по обеспечению безопасности.
- Насколько это реально? Ваше агентное ИИ-решение полностью готово к работе или всё ещё находится на стадии бета-тестирования, и есть ли у вас активные внедрения?
- Насколько можно настроить уровень автоматизации? Какие действия автономная система искусственного интеллекта выполняет самостоятельно, а какие требуют подтверждения со стороны человека? Необходимо точно определить, где заканчивается управление с помощью ИИ и начинается принятие решений человеком.
- Насколько транспорентабельна и проверяема система? Регулирующие органы будут ожидать получения отчётов с подробным описанием того, какие угрозы были выявлены, какие меры по их устранению были приняты и где ИИ повысил эффективность за счёт сокращения ручного труда.
- Какую программу состязательного тестирования вы используете? Агентный ИИ должен постоянно проверяться на устойчивость к постоянно меняющимся угрозам. Какие оценки на основе сценариев проводятся?
- Какие модели ИИ и источники данных вы используете? Запросите информацию о сторонних источниках данных и вышестоящих службах. Узнайте, какую роль эти компоненты играют в процессах обнаружения и реагирования. Как система справляется с ухудшением качества обслуживания или его прекращением?
- Как вы оцениваете эффективность своего агентного ИИ?Легко делать необоснованные заявления. Попросите поставщика услуг MDR предоставить точные данные о таких показателях, как среднее время ответа (MTTR), сокращение количества оповещений, подавление ложных срабатываний и вовлеченность аналитиков.
- Какие гарантии вы можете предоставить, что данные не попадут в многопользовательские обучающие среды? Агентный ИИ основан на непрерывном обучении с использованием большого массива данных. Но телеметрия должна быть сегментирована, чтобы предотвратить перекрестное загрязнение данными других пользователей.
- Как вы организуете взаимодействие между нашей службой внутренней безопасности и вашими аналитиками? Эффективное реагирование на инциденты требует слаженной координации, особенно в напряженной ситуации, когда происходит крупная кибератака.
- Соответствует ли ваш ИИ стандартам безопасности и соответствия требованиям моей организации?При правильном внедрении ИИ должны генерироваться данные, готовые к аудиту.
- Хотите ещё полезных статей? Подпишитесь на нашу рассылку — раз в неделю лучшие материалы .
- Чтобы первыми получать аналитику, кейсы и практические инструкции.
- Получайте еженедельный дайджест с проверенными решениями для вашей работы.
- Подписка бесплатна и её легко отменить. Присоединяйтесь!