Integracja modeli sztucznej inteligencji bezpośrednio z platformami rozszerzonego wykrywania i reagowania (XDR) zapewnia rewolucyjną poprawę szybkości i dokładności badania SOC.
W ekskluzywnym wywiadzie dla VentureBeat firma eSentire ujawniła, że wdrożenie rozwiązania Claude firmy Anthropic na platformie Atlas XDR skraca kompleksowe badanie zagrożeń z pięciu godzin do siedmiu minut, zapewniając 43-krotną poprawę szybkości, a jednocześnie dopasowując się do procesu decyzyjnego starszego analityka SOC z dokładnością 95%.
Według badań Dropzone AI typowy SOC przedsiębiorstwa przetwarza około 10 000 alertów dziennie. Analitycy SOC mówią VentureBeat, że średnio mogą zbadać tylko 22% do 25% wszystkich alertów. W zależności od konfiguracji SOC i tego, czy zbyt duże jest poleganie na starszych, niezintegrowanych systemach, liczba fałszywych alarmów może sięgać 80%. Skutek: krytyczne zagrożenia pozostają niezbadane, a analitycy spędzają całe zmiany na ręcznym zbieraniu dowodów.
„Nie chcemy eliminować pracy, chcemy uzyskać lepsze wyniki” – powiedział VentureBeat Dustin Hillard, dyrektor ds. produktów i technologii w eSentire. „To naprawdę oznacza lepsze zrozumienie zagrożeń dla naszych klientów. Kiedy mówimy pięć godzin pracy w kilka minut, oznacza to 30 różnych etapów gromadzenia dowodów, które są generowane dynamicznie w kontekście tego konkretnego dochodzenia w sprawie bezpieczeństwa”.
Przełom polega na integracji sztucznej inteligencji na poziomie platformy. Podejście zastosowane w platformie ESentire pozwala firmie Anthropic z firmy Anthropic na koordynację wielonarzędziowych przepływów pracy, które korelują wzorce zagrożeń w tysiącach punktów danych jednocześnie, zasadniczo odtwarzając sposób myślenia starszych analityków, ale z szybkością maszyny.
Integracja platform stanowi kolejną ewolucję XDR w miarę przyspieszania wdrażania sztucznej inteligencji
Drugi pilot bezpieczeństwa początkowo skupiał się na problemach operacyjnych, które uniemożliwiały analitykom SOC osiągnięcie doskonałości w swojej pracy. Okazały się niezwykle przydatne do przyspieszania segregacji, deduplikacji alertów, tłumienia szumów, dostrajania zapór sieciowych i wielu innych zadań. Przewodnik po zabezpieczeniach drugiego pilota VentureBeat, zestawienie porównawcze 16 dostawców, pokazuje, w jaki sposób drugi pilot jest zaprojektowany tak, aby pasował do konkretnych mocnych stron zespołu analityków każdego SOC.
Następna ewolucja wykracza poza samodzielnych pilotów, ponieważ główni dostawcy XDR integrują modele sztucznej inteligencji innych firm bezpośrednio na swoich platformach. Podejście ESentire wraz z Claudem z Anthropic pokazuje, jak głęboko zintegrowana sztuczna inteligencja może przekształcić procesy dochodzeniowe. Zespoły DevOps i inżynierowie firmy odkryły, że sztuczna inteligencja zintegrowana z platformą może zapewnić kompleksowe badania zagrożeń, które odpowiadają procesom decyzyjnym starszych analityków SOC z 95% dokładnością, skracając jednocześnie czas badania z pięciu godzin do mniej niż siedmiu minut, zapewniając 43-krotną poprawę szybkości.
„Idealnym podejściem jest zwykle wykorzystanie sztucznej inteligencji jako środka zwielokrotniającego siłę dla ludzkich analityków, a nie jako jej zamiennika” – powiedział VentureBeat Vineet Arora, dyrektor ds. technicznych w WinWire. „Na przykład sztuczna inteligencja może zarządzać wstępną selekcją alertów i rutynowymi odpowiedziami na pytania dotyczące bezpieczeństwa, umożliwiając analitykom skupienie swojej wiedzy specjalistycznej na wyrafinowanych zagrożeniach i pracy strategicznej”.
Hillard z eSentire zauważył: „Na początku tego roku, w okolicach Claude 3.7, zaczęliśmy dostrzegać, jak wybór narzędzi i uzasadnienia wniosków na wielu etapach gromadzenia dowodów dotarł do punktu, w którym odpowiadał naszym ekspertom. To nas naprawdę podekscytowało. Chcieliśmy czegoś, co pozwoliłoby nam zapewnić lepszą jakość badań dla naszych klientów, a nie tylko efektywność”.
Firma porównała autonomiczne dochodzenia Claude’a z najbardziej doświadczonymi analitykami SOC poziomu 3 w 1000 różnych scenariuszach obejmujących oprogramowanie ransomware, ruch boczny, naruszenie danych uwierzytelniających i zaawansowane, trwałe zagrożenia, stwierdzając, że osiągnęła 95% zgodności z recenzjami recenzentów i 99,3% tłumienia zagrożeń przy pierwszym kontakcie.
Orkiestracja za pomocą wielu narzędzi odtwarza myślenie starszego analityka z szybkością maszyny
miZespoły DevOps i R&D firmy Sentire zintegrowały sztuczną inteligencję z rdzeniem platformy Atlas XDR, aby zapewnić większą dokładność, szybkość i skalę operacji SOC. Claude w Anthropic zarządza orkiestracją wielonarzędziowych przepływów pracy, które łączą wzorce zagrożeń z tysięcy punktów danych. System jednocześnie syntetyzuje dowody z telemetrii punktów końcowych, ruchu sieciowego, danych z dzienników, środowisk chmurowych, systemów tożsamości i źródeł luk w zabezpieczeniach, co wcześniej zmusiło analityków do szeregu seryjnych kroków dochodzeniowych, które zajmowały całe zmiany.
Hillard wyjaśniła, że wdrożenie odbywa się na platformie Amazon Bedrock, a LangGraph zapewnia strukturę orkiestracji agentów, która umożliwia firmie Anthropic Claude dynamiczny wybór narzędzi i rozumowanie w drodze wieloetapowych badań. Każdy przepływ pracy dziedziczy tokeny dostępu specyficzne dla klienta, które są przesyłane kaskadowo przez platformę Atlas Actions. Hillard twierdzi, że przyjmując takie podejście, każde wywołanie narzędzia, zapytanie o dane i integracja z dostawcą pozostają bezpieczne w izolacji od najemców.
„Korzystanie z Bedrock było dla nas całkiem łatwe, ponieważ korzystamy z AWS praktycznie od początku istnienia platformy” – wyjaśnił Hillard. „Sposób, w jaki modele Anthropic są wdrażane w Bedrock, sprawia, że wszystko jest zamknięte w sposób, z którego jesteśmy zadowoleni zarówno my, jak i nasi klienci. Wielu naszych klientów to firmy zajmujące się infrastrukturą krytyczną, dysponujące niezwykle wrażliwymi danymi”.
Po aktywowaniu zdarzenia typowy system wykrywania i reagowania ma 15 minut na jego powstrzymanie, zanim ruch boczny zagrozi szerszej infrastrukturze. To okno czasowe wymagało wcześniej szybkiej segregacji, co uniemożliwiało głębsze badania. Hillard wyjaśnia, że Claude z firmy Anthropic pomaga zamienić tę presję czasu w korzyść, przeprowadzając kompleksowe gromadzenie dowodów ze wszystkich źródeł telemetrycznych — przeszukując drzewa procesów, przeszukując dzienniki przechowywanych danych telemetrycznych, korelując powiązane zdarzenia z historycznymi danymi dotyczącymi zgłoszeń i powołując się na informacje dotyczące aktywnych zagrożeń.
Proces badania platformy Atlas XDR dynamicznie generuje około 30 etapów gromadzenia dowodów dostosowanych do każdego konkretnego scenariusza zagrożeń w trzech wymiarach: głębsza analiza telemetrii bezpieczeństwa, kontekst powiązanych incydentów użytkowników z przeszłości oraz analiza krajobrazu zagrożeń dotycząca tego, co robią aktywne podmioty zagrażające w całej bazie użytkowników eSentire.
Efekty sieciowe zwiększają analizę zagrożeń we wszystkich wdrożeniach klientów
Jednostka reagowania na zagrożenia firmy ESentire korzysta z rozwiązania Claude firmy Anthropic do wyszukiwania danych w dziennikach, punktach końcowych, sieci, chmurze i tożsamości. Kiedy zespół identyfikuje pojawiające się zachowania podmiotów zagrażających – poprzez analizę open source lub ochronę klientów z infrastruktury krytycznej, którzy jako pierwsi są świadkami ataków – odzwierciedla te wzorce w odniesieniu do ponad 2000 swoich klientów, aby zidentyfikować powtarzające się techniki, zanim nastąpi szkoda.
Atak na jednego klienta wzmacnia ochronę wszystkich klientów, ponieważ Claude umożliwia platformie Atlas XDR ciągłe uczenie się na podstawie nowych zagrożeń. Hillard powiedziała VentureBeat, że platforma wykrywa zagrożenia w 35% przypadków wyprzedza treści komercyjne, a w 12% przypadków identyfikuje zagrożenia, których nigdy nie widziano w treściach komercyjnych.
„To, co kiedyś zajmowało naszym ekspertom tydzień, teraz mogą zrobić w ciągu godziny” – mówi Hillard. „Kiedy wpadną na kreatywny pomysł przetestowania nowej formy analizy danych, a stworzenie tej pracy zespołowi inżynierów mogło zająć miesiąc, teraz mogą to zrobić bezpośrednio w języku naturalnym”.
Zmiana szybkości pozwala analitykom testować hipotezy w ciągu godzin, a nie tygodni, wzmacniając zamiast zastępować ludzką wiedzę. Hillard twierdzi, że to podejście sprawdza się w przypadku dużej liczby użytkowników infrastruktury krytycznej.
Usprawniony przepływ pracy zapobiega wypaleniu analityków, zanim to nastąpi
Poprawa wydajności stanowi odpowiedź na rosnące wyzwanie związane z siłą roboczą, zanim stanie się ono kryzysem. Analitycy SOC mówią VentureBeat, że branża dzieli dziesięciolecia od w pełni autonomicznego SOC, a wielu analityków polega na integracji krzeseł obrotowych (przechodzeniu z jednego systemu do drugiego w celu reagowania na alerty). To fragmentaryczne podejście marnuje czas, wprowadza błędy i przyczynia się do wypalenia analityków.
Ponad 70% analityków SOC twierdzi, że są wyczerpani, a 66% twierdzi, że połowa ich pracy jest na tyle powtarzalna, że można ją zautomatyzować. W anonimowych rozmowach prowadzonych regularnie przez VentureBeat za pośrednictwem Signal analitycy SOC zwierzają się, że staże od sześciu miesięcy do roku stały się powszechną praktyką. Jeden z analityków zgłosił, że w ich środowisku odsetek fałszywych alarmów wynosi 96% – co sprawia, że skuteczne wykrywanie zagrożeń jest prawie niemożliwe.
Amerykańskie Biuro Statystyki Pracy przewiduje, że liczba stanowisk analityków ds. bezpieczeństwa informacji wzrośnie o 33% w latach 2023–2033, znacznie przekraczając średnią wynoszącą 4% dla wszystkich zawodów. Korzystanie z platform opartych na sztucznej inteligencji w celu usprawnienia przepływów pracy SOC to kluczowa strategia dla przedsiębiorstw, pozwalająca zapobiegać utracie zasobów, zanim zmusi to ich najlepszych specjalistów ds. bezpieczeństwa do odejścia na mniej wymagające stanowiska.
Strategiczne przejście na sztuczną inteligencję zintegrowaną z platformą
Ponieważ przedsiębiorstwa stoją w obliczu przewidywanego 33% wzrostu liczby stanowisk analityków bezpieczeństwa do 2033 r., sztuczna inteligencja zintegrowana z platformą umożliwia skalowanie operacji SOC bez proporcjonalnego zwiększania liczby pracowników. Przejście z pięciogodzinnych dochodzeń na siedmiominutowe zautomatyzowane przepływy pracy nie eliminuje potrzeby zatrudniania starszych analityków; zwiększa ich wiedzę specjalistyczną, umożliwiając im skupienie się na wyrafinowanym polowaniu na zagrożenia i pracy strategicznej zamiast powtarzalnych zadań związanych z gromadzeniem dowodów.
PSztuczna inteligencja zintegrowana z platformą stanowi fundamentalną zmianę w ekonomii SOC. 43-krotna poprawa szybkości osiągnięta przez eSentire pokazuje, że sztuczna inteligencja może replikować proces decyzyjny elitarnych analityków z 95% dokładnością, jeśli jest odpowiednio zintegrowana na poziomie platformy – nie poprzez zastąpienie ludzkiej wiedzy, ale poprzez automatyzację procesów pracy, które wcześniej zajmowały całe zmiany i pozostawiały niezbadane krytyczne zagrożenia.
Pytanie do liderów bezpieczeństwa przedsiębiorstw brzmi: jak szybko organizacje mogą zintegrować sztuczną inteligencję na poziomie platformy, aby poprawić wydajność SOC, zanim połączenie przeciążenia alertami i ręcznych przepływów pracy zmusi analityków do opuszczenia firmy. W przypadku ochrony infrastruktury krytycznej możliwość badania zagrożeń 43 razy szybciej przy zachowaniu 95% dokładności i współpracy ze starszymi analitykami decyduje o tym, czy wyprzedzisz przeciwników, czy pozostaniesz w tyle.
