Калі адбываецца парушэнне кібербяспекі, секунды маюць значэнне. Калі рэагаваць занадта павольна, то тое, што пачынаецца як малюсенькі ўсплёск, ператвараецца ў галаўны боль для ўсёй кампаніі. Менавіта тут і ўступае ў гульню штучны інтэлект для рэагавання на інцыдэнты — не чароўная куля (хаця, шчыра кажучы, можа здацца, што яна ёсць), а хутчэй як суперэнергічны таварыш па камандзе, які ўступае ў сілу, калі людзі проста не могуць рухацца дастаткова хутка. Тут палярная зорка відавочная: скараціць час знаходжання і ўдасканаліць прыняцце рашэнняў . Нядаўнія палявыя дадзеныя паказваюць, што час знаходжання рэзка знізіўся за апошняе дзесяцігоддзе — доказ таго, што больш хуткае выяўленне і больш хуткая трыяж сапраўды змяншаюць крывую рызыкі [4]. ([Сэрвісы Google][1])
Такім чынам, давайце разбярэмся, што насамрэч робіць штучны інтэлект карысным у гэтай прасторы, зірнем на некаторыя інструменты і пагаворым пра тое, чаму аналітыкі SOC адначасова спадзяюцца на гэтых аўтаматызаваных вартавых і ціха ім не давяраюць. 🤖⚡
Артыкулы, якія вам могуць спадабацца пасля гэтага:
🔗 Як генератыўны штучны інтэлект можна выкарыстоўваць у кібербяспецы
Вывучэнне ролі штучнага інтэлекту ў сістэмах выяўлення пагроз і рэагавання на іх.
🔗 Інструменты для пентэставання з выкарыстаннем штучнага інтэлекту: найлепшыя рашэнні на базе штучнага інтэлекту
Найлепшыя аўтаматызаваныя інструменты, якія паляпшаюць тэсціраванне на пранікненне і аўдыты бяспекі.
🔗 Штучны інтэлект у стратэгіях кіберзлачыннасці: чаму кібербяспека важная
Як зламыснікі выкарыстоўваюць штучны інтэлект і чаму абарона павінна хутка развівацца.
Што робіць штучны інтэлект для рэагавання на інцыдэнты рэальна працаздольным?
-
Хуткасць : Штучны інтэлект не стамляецца і не чакае кавы. Ён за лічаныя секунды прабіраецца праз дадзеныя канчатковых кропак, журналы ідэнтыфікацыі, падзеі ў воблаку і сеткавую тэлеметрыю, а затым знаходзіць больш якасныя ліды. Гэта сцісканне часу — ад дзеянняў зламысніка да рэакцыі абаронцы — вырашае ўсё [4]. ([Сэрвісы Google][1])
-
Паслядоўнасць : людзі выгараюць; машыны не. Мадэль штучнага інтэлекту прымяняе тыя ж правілы незалежна ад таго, 14:00 ці 2:00, і можа дакументаваць свае разважанні (калі правільна наладзіць).
-
Распазнаванне вобразаў : класіфікатары, выяўленне анамалій і аналітыка на аснове графаў вылучаюць сувязі, якія людзі прапускаюць, напрыклад, дзіўныя бакавыя рухі, звязаныя з новай запланаванай задачай, і падазронае выкарыстанне PowerShell.
-
Маштабаванасць : у той час як аналітык можа апрацоўваць дваццаць папярэджанняў у гадзіну, мадэлі могуць перапрацоўваць тысячы, паніжаць ранг шуму і накладваць узбагачэнне, каб людзі пачыналі расследаванні бліжэй да рэальнай праблемы.
Па іроніі лёсу, тое, што робіць штучны інтэлект такім эфектыўным — яго жорсткая літаральнасць — можа таксама зрабіць яго абсурдным. Калі яго не выкарыстоўваць, ён можа класіфікаваць вашу дастаўку піцы як камандна-кантрольную. 🍕
Кароткае параўнанне: папулярныя інструменты штучнага інтэлекту для рэагавання на інцыдэнты
| Інструмент / Платформа | Найлепшы памер | Дыяпазон цэн | Чаму людзі гэтым карыстаюцца (кароткія нататкі) |
|---|---|---|---|
| Дарадца IBM QRadar | Каманды SOC для прадпрыемстваў | $$$$ | Звязаны з Уотсанам; мае глыбокія праніклівыя веды, але патрабуе намаганняў, каб спрачацца. |
| Microsoft Sentinel | Сярэднія і буйныя арганізацыі | $$–$$$ | Воблачны, лёгка маштабуецца, інтэгруецца са стэкам Microsoft. |
| Darktrace АДКАЗАЦЬ | Кампаніі, якія імкнуцца да аўтаноміі | $$$ | Аўтаномныя рэакцыі штучнага інтэлекту — часам гэта выглядае крыху як навуковая фантастыка. |
| Пала-Альта Cortex XSOAR | SecOps з вялікай колькасцю аркестрацыі | $$$$ | Аўтаматызацыя + гульнявыя кнігі; дарагі, але вельмі магутны. |
| Splunk SOAR | Асяроддзі, арыентаваныя на дадзеныя | $$–$$$ | Выдатна інтэгруецца; нязграбны інтэрфейс, але аналітыкам падабаецца. |
Заўвага: пастаўшчыкі наўмысна ўказваюць расплывістыя цэны. Заўсёды правярайце з кароткім доказам каштоўнасці, прывязаным да вымернага поспеху (напрыклад, скарачэнне MTTR на 30% або скарачэнне колькасці ілжыва спрацоўвальных вынікаў удвая).
Як штучны інтэлект выяўляе пагрозы раней за вас
Вось тут і пачынаецца цікавасць. Большасць стэкаў не абапіраюцца на адзін прыём — яны спалучаюць выяўленне анамалій, кантраляваныя мадэлі і аналітыку паводзін:
-
Выяўленне анамалій : падумайце пра «немагчымыя падарожжы», раптоўныя скокі прывілеяў або незвычайную перапіску паміж службамі ў нязручны час.
-
UEBA (аналітыка паводзін) : Калі фінансавы дырэктар раптам спампоўвае гігабайты зыходнага кода, сістэма не проста паціскае плячыма.
-
Магія карэляцыі : пяць слабых сігналаў — дзіўны трафік, артэфакты шкоднасных праграм, новыя токены адміністратара — аб'ядноўваюцца ў адзін моцны выпадак з высокай верагоднасцю.
Гэтыя выяўленні маюць большае значэнне, калі яны супастаўлены з тактыкай, метадамі і працэдурамі зламысніка (TTP) . Вось чаму MITRE ATT&CK з'яўляецца настолькі важнай; яна робіць папярэджанні менш выпадковымі, а расследаванні менш падобнымі на гульню ў здагадкі [1]. ([attack.mitre.org][2])
Чаму людзі ўсё яшчэ маюць значэнне разам са штучным інтэлектам
Штучны інтэлект прыносіць хуткасць, але людзі прыносяць кантэкст. Уявіце сабе аўтаматызаваную сістэму, якая адключае званок вашага генеральнага дырэктара ў Zoom падчас сустрэчы з кіраўніком праўлення, бо палічыла, што гэта выкраданне дадзеных. Не зусім тое, што трэба рабіць у панядзелак. Вось схема, якая працуе:
-
Штучны інтэлект : аналізуе журналы, ранжыруе рызыкі, прапануе наступныя крокі.
-
Людзі : узважваюць намеры, разглядаюць наступствы для бізнесу, ухваляюць стрымліванне, дакументуюць урокі.
Гэта не проста прыемна мець — гэта рэкамендаваная найлепшая практыка. Сучасныя структуры IR патрабуюць наяўнасці чалавечых шлюзаў адабрэння і вызначаных гульнявых схем на кожным этапе: выяўленне, аналіз, стрымліванне, ліквідацыя, аднаўленне. Штучны інтэлект дапамагае на кожным этапе, але адказнасць застаецца чалавечай [2]. ([Цэнтр рэсурсаў камп'ютэрнай бяспекі NIST][3], [Публікацыі NIST][4])
Тыповыя памылкі штучнага інтэлекту пры рэагаванні на інцыдэнты
-
Ілжывыя спрацоўванні паўсюль : дрэнныя базавыя лініі і нядбайныя правілы патанаюць аналітыкаў у шуме. Абавязковая налада дакладнасці і паўнаты.
-
Сляпыя зоны : Учорашнія дадзеныя навучання не ўлічваюць сённяшнія навыкі. Пастаяннае перападрыхтаванне і мадэляванне з картамі ATT&CK памяншаюць прабелы [1]. ([attack.mitre.org][2])
-
Залішняя залежнасць : купля яркіх тэхналогій не азначае скарачэнне цэнтра камп'ютэрнай бяспекі. Захоўвайце аналітыкаў, проста нацэльвайце іх на больш каштоўныя расследаванні [2]. ([Цэнтр рэсурсаў камп'ютэрнай бяспекі NIST][3], [Публікацыі NIST][4])
Парада прафесіянала: заўсёды захоўвайце магчымасць ручнога кіравання — калі аўтаматызацыя перавышае патрэбную адлегласць, вам патрэбен спосаб імгненна спыніць працэс і адкаціць яго назад.
Рэальны сцэнар: ранняя лаяльнасць да праграм-вымагальнікаў
Гэта не футурыстычная рэклама. Шмат якія ўварванні пачынаюцца з хітрасцяў, звязаных з «жыццём за кошт зямлі» — класічных PowerShell . З дапамогай базавых узроўняў і выяўленняў на аснове машыннага навучання можна хутка выявіць незвычайныя шаблоны выканання, звязаныя з доступам да ўліковых дадзеных і латэральным распаўсюджваннем. Гэта ваш шанец змясціць канчатковыя кропкі ў каранцін, перш чым пачнецца шыфраванне. У рэкамендацыях ЗША нават падкрэсліваецца неабходнасць рэгістрацыі PowerShell і разгортвання EDR менавіта для гэтага выпадку выкарыстання — штучны інтэлект проста маштабуе гэтыя рэкамендацыі ў розных асяроддзях [5]. ([CISA][5])
Што далей у галіне штучнага інтэлекту для рэагавання на інцыдэнты
-
Самааднаўляльныя сеткі : не толькі абвесткі — аўтаматычны каранцін, перанакіраванне трафіку і ратацыя сакрэтаў, усё з адкатам.
-
Вытлумачальны штучны інтэлект (XAI) : аналітыкі хочуць ведаць «чаму» гэтак жа, як і «што». Давер расце, калі сістэмы раскрываюць этапы разважанняў [3]. ([NIST Publications][6])
-
Больш глыбокая інтэграцыя : чакайце больш цеснай інтэграцыі EDR, SIEM, IAM, NDR і сістэмы выстаўлення заявак — менш «круцячыхся крэслаў», больш бесперабойныя працоўныя працэсы.
Дарожная карта рэалізацыі (практычная, не пухнатая)
-
Пачніце з адной сур'ёзнай справы (напрыклад, папярэднікаў праграм-вымагальнікаў).
-
Фіксаваныя паказчыкі : MTTD, MTTR, ілжываспрацоўваючыя вынікі, эканомія часу аналітыкаў.
-
Супастаўляць выяўленыя даныя з ATT&CK для агульнага кантэксту расследавання [1]. ([attack.mitre.org][2])
-
Дадаць шлюзы падпісання чалавекам для рызыкоўных дзеянняў (ізаляцыя канцавых кропак, ануляванне ўліковых дадзеных) [2]. ([Цэнтр рэсурсаў камп'ютэрнай бяспекі NIST][3])
-
Падтрымлівайце цыкл «настройка-вымярэнне-перападрыхтоўка» . Прынамсі, раз на квартал.
Ці можна давяраць штучнаму інтэлекту ў рэагаванні на інцыдэнты?
Кароткі адказ: так, але з агаворкамі. Кібератакі адбываюцца занадта хутка, аб'ёмы дадзеных занадта вялізныя, а людзі — ну, людзі. Ігнараваць штучны інтэлект — не варыянт. Але давер не азначае сляпой капітуляцыі. Найлепшыя схемы — гэта штучны інтэлект плюс чалавечы вопыт, плюс зразумелыя схемы дзеянняў, плюс празрыстасць. Ставіцеся да штучнага інтэлекту як да памочніка: часам занадта актыўны, часам нязграбны, але гатовы ўмяшацца, калі вам найбольш патрэбна падтрымка.
Метаапісанне: Даведайцеся, як рэагаванне на інцыдэнты з дапамогай штучнага інтэлекту павышае хуткасць, дакладнасць і ўстойлівасць кібербяспекі, адначасова ўлічваючы меркаванні чалавека.
Хэштэгі:
#ШІ #Кібербяспека #РэагаваннеНаІнцыдэнты #SOAR #ВыяўленнеПагроз #Аўтаматызацыя #ІнфармацыйнаяБяспека #АперацыіБяспекі #ТэхналагічныяТрэнды
Спасылкі
-
MITRE ATT&CK® — Афіцыйная база ведаў. https://attack.mitre.org/
-
Спецыяльная публікацыя NIST 800-61, перагляд 3 (2025 г.): Рэкамендацыі па рэагаванні на інцыдэнты і меркаванні па кіраванні рызыкамі кібербяспекі . https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r3.pdf
-
Структура кіравання рызыкамі NIST у галіне штучнага інтэлекту (AI RMF 1.0): празрыстасць, тлумачальнасць, інтэрпрэтацыя. https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf
-
Mandiant M-Trends 2025 : Глабальныя тэндэнцыі медыяннага часу знаходжання. https://services.google.com/fh/files/misc/m-trends-2025-en.pdf
-
Сумесныя рэкамендацыі CISA па TTP вымагальнікаў: рэгістрацыя PowerShell і EDR для ранняга выяўлення (AA23-325A, AA23-165A).