У світі кібербезпеки, що постійно розвивається, аналітики стикаються зі зростаючим обсягом загроз та попереджень. Це призводить до значного навантаження, зниження пильності та, як наслідок, до ризику пропустити справжню атаку. Чи може штучний інтелект (ШІ) стати вирішенням цієї проблеми, автоматизуючи сортування сповіщень і дозволяючи фахівцям зосередитися на найважливішому?
Проблеми, з якими стикаються аналітики кібербезпеки
Згідно з опитуваннями та спостереженнями, аналітики з безпеки часто виділяють одні й ті ж “больові точки”, що істотно ускладнюють їхню роботу та призводять до так званої “втоми від попереджень”:
- Надмірний обсяг попереджень: “У добі недостатньо годин, щоб впоратися з обсягом попереджень у моєму списку.” Системи безпеки генерують тисячі сповіщень щодня, багато з яких є хибними спрацьовуваннями.
- Складність розрізнення хибних спрацьовувань: “Я не можу ефективно використовувати свій час, тому що не можу відрізнити помилкові спрацьовування від істинних.” Це призводить до марної трати часу на аналіз нешкідливих подій.
- Ризик пропуску реальних загроз: “Я боюся, що пропущу справжню атаку, тому що попередження губиться в хибному шумі мого застарілого рішення.” У величезному потоці сповіщень легко втратити дійсно критичні інциденти.
Чому виникають ці проблеми?
Основні причини цих “больових точок” криються в недосконалості традиційних систем виявлення:
- Спрощене зіставлення умов та аномалій: Багато систем базуються на простих правилах, що призводить до великої кількості хибних спрацьовувань.
- Нездатність використовувати контекст: Відсутність аналізу контексту мережевих подій призводить до неефективності виявлення. Без розуміння, що є “нормальною” поведінкою для конкретного середовища, складно відрізнити доброякісну активність від шкідливої.
- Акцент на виявленні, а не на організації: Більшість рішень зосереджені на генерації сповіщень, але ігнорують питання їх ефективної пріоритезації та сортування для аналітика.
Vectra AI: Революція в управлінні сповіщеннями за допомогою контекстуального ШІ
Vectra AI з моменту свого заснування зосереджувалася на створенні передових засобів виявлення, що мінімізують хибні спрацьовування. Ключовим елементом цього підходу є розширення можливостей алгоритмів ШІ контекстом з мережі.
На відміну від традиційних продуктів мережевої безпеки, які шукають прості шаблони або статистичні аномалії без глибокого розуміння контексту, Vectra AI обробляє виявлення, використовуючи широкий спектр мережевого контексту. Це дозволяє системі ідентифікувати аномалії подібно до того, як це робив би досвідчений аналітик безпеки.
Приклад із практики: Виявлення “Smash and Grab Exfil”
Візьмемо для прикладу виявлення “Smash and Grab Exfil”. Система Vectra AI:
- Визначає нормальний трафік даних: Аналізує, який обсяг переміщення даних є нормальним для кожної підмережі у вашому середовищі.
- Враховує популярні ресурси: Бере до уваги сайти та сервіси, які зазвичай використовуються у вашій мережі.
- Шукає аномальні вихідні потоки: Виявляє нетипові вихідні потоки даних, навіть у зашифрованих каналах, що є критично важливим для виявлення прихованих загроз.
Крім того, Vectra AI інтегрує виявлення між сутностями хосту та облікового запису, вивчаючи їхні “архетипи” та ідентифікуючи кожен об’єкт. Це дозволяє розставляти пріоритети виявлення для аналітиків у дієвій, ранжованій формі, значно спрощуючи роботу порівняно з конкурентами, які просто генерують виявлення та залишають їх на самостійний розбір аналітику.
Виклик “True Positives”: Коли справжнє виявлення не є шкідливим
Навіть після мінімізації хибних спрацьовувань, залишається ще один важливий аспект – робота з “True Positives” (істинними спрацьовуваннями). Річ у тім, що не всі “True Positives” є шкідливими. Іноді поведінка відповідає тому, що показує система, в контексті, в якому відбувається подія, але вона може бути доброякісною, а не зловмисною.
Яскравий приклад: Доброякісний DNS-тунель
Розглянемо випадок, коли деякі антивірусні продукти вбудовують пошук хешів у запити DNS до постачальника антивірусу. Така поведінка може бути дуже схожою на кодування даних каналу управління та контролю (C2) у корисному навантаженні DNS, і це тому, що по суті, це справжній DNS-тунель. Однак, у цьому конкретному випадку він не є зловмисним, а скоріше доброякісним.
Філософія Vectra AI полягає в тому, щоб забезпечити видимість таких високоякісних виявлень поведінки та методів зловмисників. Але при цьому важливо балансувати це, віддаючи пріоритет лише високонадійним, корельованим виявленням на рівні хоста чи облікового запису для користувача.
AI-Triage: Інтелектуальне сортування доброякісних “True Positives”
Це усвідомлення підштовхнуло Vectra AI до розробки рішення AI-Triage. Мета полягала в тому, щоб застосувати передові методи машинного навчання та штучного інтелекту, які використовуються для роботи основних алгоритмів Vectra AI, для розрізнення шкідливих та доброякісних “True Positives”. Головна ціль – значною мірою усунути необхідність для клієнтів аналізувати доброякісні “True Positives”, при цьому віддаючи пріоритет шкідливим для негайного реагування.
Як працює AI-Triage?
AI-Triage є невід’ємною частиною платформи Vectra AI та працює за наступним принципом:
- Автоматичний аналіз виявлень: AI-Triage автоматично аналізує всі активні виявлення в системі.
- Використання контексту: Система використовує контекст окремих виявлень, а також спільні риси між ними.
- Пошук доброякісних випадків: Мета – знайти доброякісні “True Positives”, які можна автоматично сортувати від імені клієнта.
Приклад роботи AI-Triage: Якщо система бачить десятки кінцевих точок, які генерують одне й те саме виявлення прихованого HTTPS-тунелю до одного й того ж місця призначення протягом щонайменше 14 днів без інших ознак компрометації, AI-Triage може з упевненістю визначити це як доброякісний “True Positive”. Потім система автоматично створить правило сортування від імені клієнта, звільняючи аналітика від необхідності витрачати на це цінний час. Якщо аналітик захоче переглянути це виявлення, така можливість, як і раніше, буде доступна на платформі, але не вимагає будь-яких дій і не впливає на оцінку хоста або облікового запису.
Значне скорочення навантаження на аналітиків
Спочатку підтримка AI-Triage була впроваджена для виявлень на основі C2 (Command and Control) та Exfil (витік даних), а згодом розширена на виявлення на основі Lateral (бічне переміщення).
Результати вражаючі: AI-Triage знижує загальну кількість виявлень, які в іншому випадку довелося б розслідувати аналітику, більш ніж на 80%. Це означає, що фахівці можуть присвятити значно більше часу подіям, які дійсно потребують їхньої уваги та експертизи.
Розгортання AI-Triage: Простота та ефективність
Однією з ключових переваг AI-Triage є його простота впровадження. Рішення не вимагає від замовника жодного налаштування чи адміністрування.
Активація в один клік
Ви можете активувати можливості AI-Triage, просто перейшовши в “Налаштування” -> “AI-Triage” і увімкнувши функцію. Після цього AI-Triage почне працювати у фоновому режимі, виявляючи доброякісні “True Positives” з високим ступенем достовірності та автоматично сортуючи їх для вас.
Вже за 30 днів з моменту випуску понад половина клієнтів Vectra AI активували AI-Triage, спостерігаючи суттєве скорочення доброякісних “True Positives”. Це лише початок шляху Vectra AI до підвищення ефективності аналітиків безпеки, і в наступних релізах можливості AI-Triage будуть розширюватися на нові сценарії та інші продукти в портфоліо компанії.
NWU: Ваш партнер у кібербезпеці з Vectra AI в Україні
Завдяки компанії NWU, офіційному дистриб’ютору Vectra AI в Україні, вітчизняний IT-ринок отримав доступ до передового рішення NDR (Network Detection and Response) від світового лідера. NDR є невід’ємною частиною сучасної SOC-тріади (Security Operations Center).
Компанія NWU є офіційним дистриб’ютором високоефективних продуктів і рішень у сфері мережевої інформаційної безпеки та телекомунікацій від провідних світових виробників в Україні, на Південному Кавказі та в Центральній Азії.
Готові оптимізувати роботу вашого SOC?
Купити NDR для SOC або замовити тестування рішення Vectra AI можна, звернувшись до компанії NWU. Дізнайтеся більше про те, як штучний інтелект може революціонізувати вашу кібербезпеку та звільнити ваших аналітиків від рутинної роботи.
