Расшифровка слабых телеметрических сигналов с помощью анализа поведения на основе ИИ формирует будущее Расширенного Обнаружения и Реагирования (XDR).
По мере эволюции кибербезопасности, главные специалисты по информационной безопасности (CISO) и их команды переходят от Обнаружения и Реагирования на Уровне Конечных Устройств (EDR) к XDR. Этот переход предлагает значительную экономию за счет консолидации и обеспечивает единый обзор всех атакующих поверхностей и потенциальных угроз. В эпоху, когда бюджеты на безопасность находятся под пристальным вниманием, способность интегрировать больше телеметрических данных, особенно основанных на поведении сигналов для выявления аномальных действий, включая внутренние угрозы, подчеркивает критическую роль ИИ в улучшении возможностей XDR.
Платформы XDR используют различные подходы к ИИ и машинному обучению, однако они имеют общие функции: сбор данных, обнаружение угроз, замаскированных в легитимном коде, и автоматизированное расследование. По данным блога CrowdStrike, быстрый рост XDR поддерживается способностью ИИ ограничивать движение данных, что является важнейшим приоритетом для современных руководителей безопасности.
2024 год станет ключевым для консолидации технологий безопасности. Gartner прогнозирует, что к 2027 году до 40% предприятий будут использовать XDR, по сравнению с менее чем 5% сегодня, при этом 96% CISO планируют оптимизировать своих поставщиков безопасности. Из них 63% указывают XDR как предпочитаемое решение.
Ведущие поставщики XDR акцентируют внимание на ИИ, генеративном ИИ и машинном обучении для ускорения консолидации. Интеграция ИИ в запуске XDR от CrowdStrike, наряду с действиями Palo Alto Networks и Zscaler, демонстрирует эффективность этой стратегии, что отражается в растущих отчетах о доходах.
Никеш Арора, генеральный директор Palo Alto Networks, заявил: «Мы собираем наибольшее количество данных с конечных устройств в отрасли — почти 200 мегабайт на устройство, что в 10-20 раз больше, чем у большинства конкурентов». К числу ведущих поставщиков XDR, использующих ИИ, относятся Broadcom, Cisco, CrowdStrike, Fortinet, Microsoft, Palo Alto Networks, SentinelOne, Sophos, TEHTRIS, Trend Micro и VMware.
Наличие разнообразных телеметрических данных в реальном времени — от конечных устройств до веб-приложений — повышает точность прогнозов, в то время как большие языковые модели (LLM) постоянно обучаются с использованием этих данных для улучшения безопасности конечных устройств.
Майкл Сентонас, президент CrowdStrike, подчеркнул основополагающую роль ИИ в их стратегии с самого начала, заявив: «Мы определили ИИ как ключевой элемент в решении проблем безопасности и регулярно интегрируем его в наши модели охоты на угрозы и предотвращения».
Эффективная интеграция ИИ устраняет критические пробелы в безопасности идентификации и конечных устройств. С учетом роста новых идентификаций, присваиваемых конечным устройствам, платформы XDR должны использовать ИИ и машинное обучение для выявления аномальных поведения, сигнализирующих о потенциальных атаках. Учитывая, что злоумышленники используют украденные идентификаторы более чем в 62% случаев, и многие организации контролируют менее 75% своих конечных устройств, необходимость внедрения ИИ для обеспечения безопасности трудно переоценить.
На RSAC 2023 генеральные директора подчеркнули преобразующий потенциал ИИ. Конни Стек, генеральный директор NextDLP, отметила, что «ИИ и машинное обучение значительно улучшают защиту от утечек данных, выявляя аномалии и нарушения до того, как политики будут нарушены».
Десять ключевых областей, где ИИ укрепляет XDR:
1. Обнаружение угроз и реагирование в реальном времени: ожидается увеличение зависимости от ИИ/МЛ по мере увеличения объемов телеметрических данных, что способствует улучшению мониторинга и выявления угроз.
2. Анализ поведения и обнаружение аномалий: ИИ/МЛ эффективно выявляет отклонения в поведении, что критично для определения внутренних угроз.
3. Снижение ложных срабатываний: исторические данные повышают точность, позволяя командам безопасности сосредоточиться на истинных угрозах.
4. Автоматизированное реагирование на угрозы: ведущие платформы XDR внедряют автоматизацию на основе ИИ для реагирования на инциденты, например, изоляции скомпрометированных конечных устройств.
5. Более точная охота на угрозы: модели ИИ выявляют индикаторы компрометации, которые часто упускаются старыми системами, тем самым улучшая обнаружение нарушений.
6. Адаптивное обучение: платформы XDR на базе ИИ/МЛ постоянно обучаются для противодействия новым угрозам.
7. Улучшенная видимость в реальном времени и корреляция: надежная агрегация и корреляция данных необходимы для повышения видимости и реагирования на события.
8. Автоматизация ручных задач в SOC: автоматизация задач отчетности позволяет аналитикам SOC сосредоточиться на сложных проблемах.
9. Более точная предсказательная аналитика: ИИ/МЛ повышает предсказательную точность для тенденций и уязвимостей, что необходимо в стратегиях кибербезопасности.
10. Тенденции консолидации: интеграция ИИ с платформами XDR предлагает финансовое облегчение для CISO на фоне текущих финансовых давления, повышая долгосрочные предсказательные способности.
В заключение, финансовое воздействие ИИ на платформы XDR помогает смягчить краткосрочные бюджетные опасения для CISO, создавая основу для значительно большей долгосрочной эффективности в прогнозировании вторжений и выявлении нарушений. Агрегация телеметрических данных для обучения LLM символизирует преобразующую роль ИИ/МЛ в повышении зрелости технологий XDR.