随着网络攻击者的速度不断创新记录,每个安全运营中心(SOC)团队都必须探索如何利用人工智能(AI)来扭转局势。CrowdStrike首席执行官兼联合创始人George Kurtz近期在2024年RSAC大会上指出了一些令人担忧的统计数据:攻击者在获得访问权限后,仅用两分零七秒就能在系统内横向移动,且能在31秒内下载工具包以开始对被攻陷系统的侦察。他在主题演讲《下一代SIEM:数据、安全、IT、工作流自动化与AI融合》中强调了这一点。
网络安全中AI的紧迫性
Kurtz强调,安全团队需要快速分析海量数据,以便及时检测和应对威胁。“当今的网络攻击速度超出了传统SIEM系统的能力,”他表示。“组织需要能够快速实现投资回报并降低总体拥有成本的先进技术。关键的安全数据主要存储在Falcon平台上,从而减少将数据转移到过时SIEM解决方案所需的时间和费用。我们的统一架构通过AI和工作流自动化集成本地和第三方数据,终将实现AI原生SOC的潜力。”
遗留SIEM的挑战
随着攻击者不断改进其攻击方式,终端与身份安全之间的漏洞逐渐加深。如果端点数据能够有效聚合,它可以为预测入侵尝试提供关键洞察。“网络安全的一个重大问题是管理数据的复杂性,”Kurtz指出。“这就是我创立CrowdStrike的原因。SOC团队在应对大量数据以识别威胁时遇到困难。”
依赖于遗留SIEM的SOC团队如同在承受负担。分析师往往需要在相互矛盾的系统之间进行“旋转椅整合”,浪费大量时间。他们需要通过多个工具验证风险评分,导致在紧急事件中出现延迟。Kurtz指出:“查询数据可能需要几天,还可能错过重要警报。找到超越对手的方法至关重要。”
Kurtz以手机套餐的演变为类比,认为下一代SIEM应具备可扩展的数据摄取能力,而不大幅增加成本,使组织能够在没有财政负担的情况下做出明智的安全决策。他强调,需要打破成本生产力曲线,帮助客户有效利用所有可用的数据源。
用AI赋能防御者
在2024年RSAC上,Kurtz推出了CrowdStrike Falcon下一代SIEM的创新,强调装备防御者有效工具的重要性,以提升操作效率。他的主题演讲强调了消除遗留SIEM限制的必要性,并通过AI能力强大SOC。值得注意的是,CrowdStrike向Falcon Insight客户每天提供10GB第三方数据摄取,没有额外费用,以展示下一代SIEM的速度和效果。
AI是Falcon下一代SIEM架构的核心,自动解析和规范化数据,丰富数据集以提高威胁识别,并支持先进的威胁检测和自动响应机制。“AI原生SOC不断学习,”Kurtz解释道。“每个组织都拥有对其员工和环境的独特洞察,组织不应仅依赖供应商的情报。系统必须在其上下文中能够识别恶意内部人员,并随时间适应。”
加速SOC表现
CrowdStrike的Falcon下一代SIEM旨在通过提供高达150倍的搜索能力和比传统SIEM低80%的总体拥有成本,提高SOC的表现。这解决了SOC的重大痛点:速度缓慢的响应时间。
Falcon下一代SIEM的关键创新包括:
生成AI与工作流自动化:
- Charlotte AI:CrowdStrike的生成AI助手能够以简单语言提供Falcon数据和文档,从而加快分析师的响应时间。
- 调查效率:AI能够自动关联相关上下文至一个事件,生成摘要,加速调查。
- 自定义提示书:分析师可以定义可重用的检测和响应工作流,促进快速事件解决。
- SOAR集成:新的Fusion SOAR界面使SOC分析师可以通过拖放界面优化工作流,提升操作效率。
- 自动调查:自动化工作流增强了威胁狩猎,并在Falcon和第三方工具之间集成操作。
快速数据摄取:
- 扩展生态系统:新的连接器将各种第三方IT和安全数据整合进Falcon平台。
- 云连接器:AWS、Azure和GCP的全面连接简化了数据访问和监控。
- 自动数据规范化:简化的数据入驻确保了各来源的快速与精确检测。
- 高效数据管理:增强的功能简化了对数据摄取状态和健康的监控与管理。
事件管理优化分析师体验:
- 自自动丰富:案件中自动加入上下文信息,加快调查速度。
- 协作工具:改善的视图和通知有助于分析师之间协调反应。
- 威胁情报集成:分析师可以无缝地将自定义威胁情报纳入搜索。
CrowdStrike的创新使Falcon下一代SIEM成为提升SOC效率和响应能力的关键解决方案,适应快速演变的网络安全环境。
排行榜
