С учетом того, что кибератакующие становятся быстрее, каждая команда Центра операций безопасности (SOC) должна изучить, как искусственный интеллект (AI) может изменить ситуацию в их пользу. Недавние данные от Джорджа Курца, CEO и соучредителя CrowdStrike, подчеркивают тревожные статистические данные: атакующие могут перемещаться по системе всего за две минуты и семь секунд после получения доступа и могут загрузить инструменты для разведки системы за 31 секунду. Эта информация была представлена на его пленарном заседании на RSAC 2024, озаглавленном "Next-Gen SIEM: Совмещение данных, безопасности, ИТ, автоматизации рабочих процессов и AI".
Срочность применения AI в кибербезопасности
Курц подчеркнул необходимость для команд безопасности быстро анализировать большие объемы данных для обнаружения и реагирования на угрозы. "Скорость современных кибератак ставит под сомнение возможности традиционных SIEM-систем", — отметил он. "Организации ищут современные технологии, которые обеспечивают более быстрое возврат инвестиций и снижают общие затраты на владение. Критически важные данные безопасности в основном находятся на платформе Falcon, что минимизирует время и расходы, связанные с передачей данных в устаревшие SIEM-решения. Наша унифицированная архитектура интегрирует как родные, так и сторонние данные с использованием AI и автоматизации рабочих процессов, что в конечном итоге реализует потенциал AI-ориентированного SOC".
Проблемы с устаревшими SIEM
С ростом совершенствования методов атакующих увеличиваются разрывы между безопасностью конечных точек и идентификацией. Данные конечных точек могут предоставить ключевую информацию для предсказания попыток вторжений, если их эффективно агрегировать. "Сложность управления данными является значительной проблемой в кибербезопасности", — отметил Курц. "Именно поэтому я основал CrowdStrike. Команды SOC сталкиваются с чрезмерными объемами данных и трудностями в идентификации угроз".
Устаревшие SIEM-системы стали обузой для SOC-команд, полагающихся на них. Аналитики часто проводят множество операций в "интеграции с поворотом кресла", переключаясь между конфликтующими системами, что отнимает много времени. Им нужно обрабатывать данные из различных источников через различные инструменты для подтверждения оценок рисков, что приводит к задержкам, особенно во время критических инцидентов. Курц акцентировал внимание на том, что "запросы данных могут занимать дни, в течение которых важные оповещения могут быть упущены. Важно найти способы опередить противников".
Проводя аналогию с эволюцией тарифных планов мобильной связи, Курц утверждал, что SIEM нового поколения должны обеспечивать масштабируемое получение данных без значительного увеличения затрат, позволяя организациям принимать обоснованные решения в области безопасности без финансовых ограничений. Он подчеркнул необходимость разрыва кривой полезности расходов, что позволит клиентам эффективно использовать все доступные источники данных.
Усиление защиты с помощью AI
На RSAC 2024 Курц представил новшества CrowdStrike Falcon Next-Gen SIEM, чтобы продемонстрировать необходимость оснащения защитников правильными инструментами для повышения операционной эффективности. Его выступление подчеркнуло важность устранения ограничений, накладываемых устаревшими SIEM, и укрепления SOC возможностями AI. CrowdStrike предлагает клиентам Falcon Insight 10 гигабайт данных третьих сторон ежедневно без дополнительных затрат, что демонстрирует скорость и эффективность SIEM нового поколения.
AI является неотъемлемой частью архитектуры Falcon Next-Gen SIEM, автоматизируя парсинг и нормализацию данных, обогащая наборы данных для улучшения идентификации угроз и поддерживая механизмы продвинутого обнаружения угроз и автоматизированного реагирования. "AI-ориентированный SOC учится постоянно", — объяснил Курц. "Каждая организация имеет уникальные инсайты о своих сотрудниках и окружении, и организации не должны полагаться только на поставщиков для этой информации. Система должна распознавать, как выглядит злонамеренный инсайдер в своем контексте и адаптироваться со временем".
Ускорение производительности SOC
CrowdStrike Falcon Next-Gen SIEM нацелен на улучшение производительности SOC, предлагая до 150 раз более быстрые возможности поиска и на 80% меньшие общие затраты на владение по сравнению с традиционными SIEM. Это решает значительные болевые точки для SOC: медленная производительность и время реакции.
Ключевые новшества в Falcon Next-Gen SIEM включают:
Генеративный AI и автоматизация рабочих процессов:
- Charlotte AI: Генеративный помощник CrowdStrike может предоставлять данные и документацию Falcon на понятном языке, ускоряя время реакции для аналитиков.
- Эффективность расследований: AI автоматически связывает связанные контексты в единый инцидент, создавая резюме, что ускоряет расследования.
- Пользовательские книги запросов: Аналитики могут определять переиспользуемые рабочие процессы для обнаружения и реагирования, что позволяет быстро решать инциденты.
- Интеграция SOAR: Новый Fusion SOAR UI позволяет аналитикам SOC оптимизировать рабочие процессы через интерфейс "перетаскивания", повышая операционную эффективность.
- Автоматизированные расследования: Автоматизированные рабочие процессы улучшают охоту на угрозы и интегрируют действия между Falcon и сторонними инструментами.
Быстрое получение данных:
- Расширенная экосистема: Новые коннекторы интегрируют различные сторонние ИТ- и данные безопасности в платформу Falcon.
- Облачные коннекторы: Комплексные подключения для AWS, Azure и GCP упрощают доступ к данным и мониторинг.
- Автоматизированная нормализация данных: Упрощенная адаптация данных обеспечивает быстрые и точные результаты обнаружения из всех источников.
- Эффективное управление данными: Улучшенные возможности упрощают мониторинг и управление состоянием получения данных.
Улучшение опыта аналитиков с управлением инцидентами:
- Автоматизированное обогащение: Контекстная информация автоматически добавляется к инцидентам, что ускоряет расследования.
- Инструменты сотрудничества: Улучшенные представления и уведомления способствуют координации ответных действий среди аналитиков.
- ИнтеграцияThreat Intelligence: Аналитики могут бесшовно включать пользовательскую информацию об угрозах в свои запросы.
Новшества CrowdStrike позиционируют Falcon Next-Gen SIEM как жизненно важное решение для повышения эффективности и реактивности SOC в условиях быстро меняющегося ландшафта кибербезопасности.
Рейтинг
