Киберқауіпсіздік бұзылған кезде секундтар маңызды. Тым баяу әрекет етіңіз, ал кішкентай сәт компания бойынша бас ауруына айналады. Дәл осы жерде оқиғаға жауап беру үшін жасанды интеллект рөл атқарады - бұл күміс оқ емес (шынымды айтсам, бұл керемет сияқты сезілуі мүмкін), керісінше, адамдар жеткілікті жылдам қозғала алмаған кезде командаластың араласуына ұқсайды. Мұндағы солтүстік жұлдыз анық: шабуылдаушының тоқтау уақытын шешім қабылдауын күшейтіңіз . Соңғы далалық деректер соңғы онжылдықта тоқтау уақытының күрт төмендегенін көрсетеді - бұл жылдам анықтау және жылдам сұрыптау шынымен де тәуекел қисығын бұратынының дәлелі [4]. ([Google қызметтері][1])
Ендеше, осы салада жасанды интеллекттің не үшін пайдалы екенін анықтап, кейбір құралдарға көз жүгіртіп, SOC аналитиктерінің неліктен осы автоматтандырылған күзетшілерге сүйенетіні және неге сенбейтіні туралы әңгімелесейік. 🤖⚡
Осыдан кейін оқуға болатын мақалалар:
🔗 Киберқауіпсіздікте генеративті жасанды интеллектті қалай пайдалануға болады
Қауіпті анықтау және жауап беру жүйелеріндегі жасанды интеллекттің рөлін зерттеу.
🔗 Жасанды интеллект тестілеу құралдары: Жасанды интеллектке негізделген ең жақсы шешімдер
Енуді тексеруді және қауіпсіздік аудитін жақсартатын ең үздік автоматтандырылған құралдар.
🔗 Киберқылмыскерлер стратегияларындағы жасанды интеллект: киберқауіпсіздік неге маңызды
Шабуылдаушылар жасанды интеллектті қалай пайдаланады және неге қорғаныс тез дамуы керек.
Оқиғаларға жауап беру үшін жасанды интеллекттің жұмыс істеуіне не себеп болады?
-
Жылдамдық : Жасанды интеллект жұмыс істемейді немесе кофеинді күтпейді. Ол соңғы нүкте деректерін, сәйкестендіру журналдарын, бұлттық оқиғаларды және желілік телеметрияны бірнеше секунд ішінде өңдейді, содан кейін жоғары сапалы әлеуетті клиенттерді анықтайды. Уақыттың қысылуы - шабуылдаушының әрекетінен қорғаушының реакциясына дейін - бәрі [4]. ([Google қызметтері][1])
-
Тұрақтылық : Адамдар күйіп кетеді; машиналар күйіп кетпейді. Жасанды интеллект моделі сағат 14:00 немесе 2:00 болсын, бірдей ережелерді қолданады және ол өзінің пайымдау жолын құжаттай алады (егер сіз оны дұрыс орнатсаңыз).
-
Үлгіні тану : Классификаторлар, аномалияны анықтау және графикке негізделген аналитика адамдар жіберіп алған байланыстарды көрсетеді - мысалы, жаңа жоспарланған тапсырмаға байланысты таңқаларлық бүйірлік қозғалыс және күдікті PowerShell пайдалануы.
-
Масштабталу : Аналитик сағатына жиырма дабыл басқара алатын болса, модельдер мыңдаған хабарламаларды өңдеп, рейтингті төмендетіп, байытуды арттыра алады, осылайша адамдар нақты мәселеге жақын зерттеу жүргізе бастайды.
Ирониясы сол, жасанды интеллектті соншалықты тиімді ететін нәрсе - оның қатал сөзбе-сөздігі - оны абсурдқа айналдыруы мүмкін. Оны реттемей қалдырсаңыз, пицца жеткізуді командалық және басқарушылық деп жіктеуіңіз мүмкін. 🍕
Жылдам салыстыру: Оқиғаларға жауап беру үшін танымал жасанды интеллект құралдары
| Құрал / Платформа | Ең жақсы сәйкестік | Баға диапазоны | Неліктен адамдар оны пайдаланады (қысқаша ескертпелер) |
|---|---|---|---|
| IBM QRadar кеңесшісі | Кәсіпорынның SOC командалары | $$$$ | Уотсонмен байланысты; терең түсініктер, бірақ таласу үшін күш салу керек. |
| Microsoft Sentinel | Орташа және ірі ұйымдар | $$–$$$ | Бұлтқа негізделген, оңай масштабталады, Microsoft стегімен интеграцияланады. |
| Darktrace ЖАУАП БЕРУ | Автономия іздейтін компаниялар | $$$ | Автономды жасанды интеллект жауаптары - кейде ғылыми фантастика сияқты сезіледі. |
| Пало-Альто Кортекс XSOAR | Оркестрлеуді қажет ететін SecOps | $$$$ | Автоматтандыру + ойын кітаптары; қымбат, бірақ өте тиімді. |
| Splunk SOAR | Деректерге негізделген орталар | $$–$$$ | Интеграциялармен тамаша; пайдаланушы интерфейсі ебедейсіз, бірақ аналитиктерге ұнайды. |
Қосымша ескерту: сатушылар бағаны әдейі анық емес етіп ұстайды. Әрқашан өлшенетін табысқа байланысты қысқа құндылық дәлелі арқылы сынақтан өткізіңіз (мысалы, MTTR-ді 30%-ға қысқарту немесе жалған оң нәтижелерді екі есеге қысқарту).
Жасанды интеллект қауіптерді сіз әрекет етпес бұрын қалай анықтайды
Міне, осы жерде қызықтырақ болады. Көптеген стек бір ғана амалға сүйенбейді - олар аномалияны анықтауды, бақыланатын модельдерді және мінез-құлық аналитикасын біріктіреді:
-
Аномалияны анықтау : «Мүмкін емес саяхат», кенеттен артықшылықтардың күрт өсуі немесе тақ сағаттарда қызметтен қызметке ерекше әңгіме туралы ойлаңыз.
-
UEBA (мінез-құлықты талдау) : Егер қаржы директоры кенеттен гигабайт бастапқы кодты жүктеп алса, жүйе жай ғана иығын қиқаң еткізбейді.
-
Корреляция сиқыры : Бес әлсіз сигнал - тақ трафик, зиянды бағдарламалар артефактілері, жаңа әкімші токендері - бір күшті, жоғары сенімділікке біріктіріледі.
тактикасымен, әдістерімен және процедураларымен (TTP) салыстырылған кезде маңыздырақ болады . Сондықтан MITRE ATT&CK құрылымы өте маңызды; ол ескертулерді кездейсоқтықтан, ал тергеулерді болжау ойынынан аз етеді [1]. ([attack.mitre.org][2])
Неліктен адамдар әлі де жасанды интеллектпен бірге маңызды?
Жасанды интеллект жылдамдық әкеледі, бірақ адамдар контекст әкеледі. Автоматтандырылған жүйенің сіздің бас директорыңыздың Zoom кеңесінің ортасындағы қоңырауын деректерді шығару деп ойлап, үзіп тастағанын елестетіп көріңізші. Дүйсенбіден бастаудың жолы емес. Жұмыс істейтін үлгі:
-
Жасанды интеллект : бөренелерді қытырлатады, тәуекелдерді бағалайды, келесі қадамдарды ұсынады.
-
Адамдар : ниеттерін таразылау, бизнестің салдарын ескеру, шектеулерді мақұлдау, сабақтарды құжаттау.
Бұл жай ғана жақсы емес - бұл ең жақсы тәжірибе ретінде ұсынылады. Қазіргі IR жүйелері әрбір қадамда адамның мақұлдау қақпаларын және анықталған ойын нұсқаулықтарын талап етеді: анықтау, талдау, шектеу, жою, қалпына келтіру. Жасанды интеллект әр кезеңде көмектеседі, бірақ жауапкершілік адами болып қалады [2]. ([NIST компьютерлік қауіпсіздік ресурстық орталығы][3], [NIST басылымдары][4])
Оқиғаларға жауап берудегі жиі кездесетін жасанды интеллект қателіктері
-
Барлық жерде жалған оң нәтижелер : Нашар бастапқы сызықтар мен абайсыз ережелер аналитиктерді шуға батырады. Дәлдік пен еске түсіруді реттеу міндетті.
-
Көрінбейтін аймақтар : Кешегі жаттығу деректері бүгінгі кәсіпті көрсетпейді. Үздіксіз қайта даярлау және ATT&CK карталарына түсірілген модельдеу олқылықтарды азайтады [1]. ([attack.mitre.org][2])
-
Шамадан тыс сенім арту : Жарқыраған технологияларды сатып алу SOC-ты қысқарту дегенді білдірмейді. Аналитиктерді қалдырыңыз, оларды тек жоғары құнды зерттеулерге бағыттаңыз [2]. ([NIST компьютерлік қауіпсіздік ресурстық орталығы][3], [NIST басылымдары][4])
Кәсіби кеңес: әрқашан қолмен басқаруды сақтаңыз - автоматтандыру асып кеткен кезде, сізге тоқтап, бірден кері қайтудың жолы қажет.
Шынайы әлемдегі сценарий: Ертедегі ransomware ұсталуы
Бұл футуристік жарнама емес. Көптеген шабуылдар «жерден өмір сүру» амалдарынан басталады - классикалық PowerShell сценарийлері. Негізгі сызықтармен және ML негізіндегі анықтаулармен, тіркелгі деректеріне қол жеткізумен және бүйірлік таралумен байланысты ерекше орындау үлгілерін тез белгілеуге болады. Бұл шифрлау басталғанға дейін PowerShell журналын жүргізуді және EDR орналастыруды - жасанды интеллект бұл кеңесті орталар бойынша масштабтайды [5]. ([CISA][5])
Оқиғаларға жауап беру үшін жасанды интеллектте келесі қадамдар
-
Өзін-өзі емдеу желілері : Тек ескерту ғана емес - автоматты түрде карантинге қою, трафикті қайта бағыттау және құпияларды бұру, мұның бәрі кері қайтарумен.
-
Түсіндірмелі жасанды интеллект (XAI) : Аналитиктер «не» дегенді «не» дегеннен гөрі «неге» дегенді қалайды. Жүйелер ойлау қадамдарын көрсеткен кезде сенім артады [3]. ([NIST Publications][6])
-
Терең интеграция : EDR, SIEM, IAM, NDR және билет сатуды тығызырақ тоқуды күтіңіз - айналмалы орындықтар аз, жұмыс процестері біркелкі болады.
Іске асыру жол картасы (практикалық, толық емес)
-
Бір жоғары әсер ететін жағдайдан бастаңыз (мысалы, ransomware прекурсорлары).
-
Құлыптау көрсеткіштері : MTTD, MTTR, жалған оң нәтижелер, талдаушының үнемделген уақыты.
-
анықтауларды ATT&CK-ға салыстырыңыз [1]. ([attack.mitre.org][2])
-
адам қол қою қақпаларын қосыңыз (соңғы нүктені оқшаулау, тіркелгі деректерін қайтарып алу) [2]. ([NIST компьютерлік қауіпсіздік ресурстық орталығы][3])
-
«әуендеу-өлшеу-қайта оқыту» циклын жалғастырыңыз .
Оқиғаға жауап ретінде жасанды интеллектке сенуге бола ма?
Қысқа жауап: иә, бірақ ескертулермен. Кибершабуылдар тым жылдам жүреді, деректер көлемі тым үлкен, ал адамдар... иә, адам. Жасанды интеллектті елемеу мүмкін емес. Бірақ сенім соқыр берілуді білдірмейді. Ең жақсы нұсқалар - жасанды интеллект, адами тәжірибе, түсінікті ойын кітаптары және ашықтық. Жасанды интеллектке көмекші ретінде қараңыз: кейде шамадан тыс құлшыныс танытады, кейде ебедейсіз, бірақ сізге ең қажет болған кезде араласуға дайын болады.
Мета сипаттамасы: Жасанды интеллект басқаратын оқиғаларға жауап беру киберқауіпсіздік жылдамдығын, дәлдігін және төзімділігін қалай арттыратынын біліңіз - сонымен бірге адамның пікірін бақылап отырыңыз.
Хэштегтер:
#Жасанды интеллект #Киберқауіпсіздік #Оқиғаларғажауап #SOAR #Қауіпті анықтау #Автоматтандыру #Ақпараттыққауіпсіздік #ҚауіпсіздікОпциялары #Технологиялықтрендтер
Сілтемелер
-
MITER ATT&CK® — Ресми білім қоры. https://attack.mitre.org/
-
NIST арнайы басылымы 800-61 редакциясы 3 (2025): Киберқауіпсіздік тәуекелдерін басқару бойынша оқиғаларға жауап беру бойынша ұсыныстар мен ескеретін мәселелер . https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r3.pdf
-
NIST AI тәуекелдерін басқару құрылымы (AI RMF 1.0): ашықтық, түсіндірмелілік, түсіндірмелілік. https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf
-
Mandiant M-Trends 2025 : Әлемдік орташа тұру уақытының үрдістері. https://services.google.com/fh/files/misc/m-trends-2025-en.pdf
-
CISA-ның бопсалаушы бағдарламалық жасақтама TTP-лері бойынша бірлескен кеңестері: PowerShell журналын жүргізу және ерте анықтауға арналған EDR (AA23-325A, AA23-165A).