Представлено Splunk
Штучний інтелект (ШІ) докорінно змінив економіку кіберсаботажу. Нині зловмисники можуть миттєво генерувати тисячі переконливих фішингових приманок, підроблених ідентичностей та персоналізованих претекстів, тоді як захисникам для впровадження одного лише оновлення політики безпеки потрібен цілий цикл.
Це нова реальність кібербезпеки: дезінформація стала швидшою та дешевшою, а процеси верифікації залишаються повільними. Хоча багато дискусій щодо використання ШІ у сфері захисту зосереджується на моделях виявлення загроз, це не єдине обмеження. Глибшою проблемою є доступність та якість даних: де вони зберігаються, чи доступні вони в потрібний час, наскільки швидко їх можна корелювати, як довго вони зберігаються, і чи можуть аналітики або системи довіряти отриманим результатам.
Захист в епоху ШІ – це насамперед проблема роботи з даними, а вже потім – проблема їх виявлення.
Перевага захисника – правда
Зловмисники можуть дозволити собі брехати в масштабах підприємства. Вони можуть тестувати нескінченні комбінації повідомлень, ідентичностей, доменів та шляхів атак, причому більшість із них можуть провалитися майже без жодних витрат. Захисники не мають такої розкоші. Їхньою перевагою є істина: швидке розуміння того, що сталося, де, коли, з якою ідентичністю це було пов’язано, які активи постраждали, що змінилося та яким бізнес-процесам може загрожувати небезпека.
Ця істина повинна бути задокументована, керована, піддаватися аудиту та бути обґрунтованою. Зловмисники використовують ШІ для масштабування дезінформації, видавання себе за інших, соціальної інженерії та прискорення атак. Захисникам потрібен ШІ для масштабування верифікації.
Мета полягає не лише в тому, щоб діяти швидше за зловмисника. Мета — вживати заходів, яким можуть довіряти як люди, так і машини.
Фрагментовані дані руйнують сучасний захист
Розглянемо підозрілий вхід до системи з облікового запису підрядника. Сам по собі цей випадок є лише ще однією аномалією автентифікації. Щоб зрозуміти, чи має це значення, команді безпеки може знадобитися історія ідентифікації, дані про активність на кінцевих точках, журнали доступу до хмари, записи системи тікетів, інформація про власників активів, зміни конфігурації, мережеву телеметрію та бізнес-контекст.
Якщо ці записи зберігаються в різних інструментах, термін їх дії закінчується в різний час, або для їх отримання потрібна участь кількох команд, захисники насправді не розслідують інцидент. Вони ведуть переговори з власним інформаційним середовищем.
Коли до сигналів можна отримати доступ на місці їхнього зберігання та швидко їх корелювати, питання полягає не лише в тому, чи виглядає вхід незвичним. Це стає питанням, чи має підприємство достатньо доказів, з достатнім контекстом, щоб вжити заходів, які можна захистити.
Ця проблема стає дедалі нагальнішою з появою асистентів та агентів на основі ШІ. ШІ може аналізувати лише те, що він може отримати вчасно, щоб мати значення. Якщо дані є неповними, застарілими, фрагментованими, недоступними або позбавленими контексту, ШІ не створює істину. Він прискорює невизначеність.
Система запису має стати площиною контролю для захисту
Роками підприємства розглядали платформи безпеки, SIEM та озера даних як пасивні репозиторії: місця для зберігання даних для подальшого пошуку та аналізу. Ця модель більше не є достатньою. Нині організаціям потрібна контрольна площина для захисту: шар, який пов’язує те, що сталося, що це означає, і що підприємство може з цим зробити. З точки зору архітектури, він поєднує необроблені машинні дані, бізнес-контекст та політику. Він не просто зберігає докази. Він робить докази придатними для прийняття рішень та дій, які мають бути пояснюваними та надійними.
На практиці це означає добре виконувати чотири завдання: зберігання доказів, доступ до даних незалежно від їхнього розташування, додавання бізнес-контексту та керування діями. Докладніше про кожне з них нижче.
Стара система запису відповідала на одне запитання: Який офіційний запис?
Контрольна площина для захисту відповідає на операційно важливі запитання: Що сталося? Що це означає? Які докази підтверджують цей висновок? І які дії можна вважати надійними?
ШІ не зменшує потреби в авторитетних записах. Він підвищує стандарти того, що ці записи повинні виконувати.
Контрольна площина для захисту повинна виконувати чотири завдання
-
Зберігати докази. Журнали, метрики, трасування, події, записи ідентифікації, зміни конфігурації, тікети та стан активів – усе це допомагає встановити, що сталося. Їхня цінність часто стає очевидною лише після початку інциденту.
-
Забезпечувати доступ до даних незалежно від їхнього розташування. Дані, пов’язані з безпекою, вже розосереджені по об’єктних сховищах, хмарних платформах, операційних інструментах та бізнес-системах. Переміщення кожного байта в одне місце часто є занадто повільним, занадто дорогим і занадто складним для управління. Кращою моделлю є принесення аналітики до даних.
-
Додавати бізнес-контекст. Кореляція машиночитаних даних з бізнес-інформацією перетворює «аномалію на хості X» на «система, що підтримує платіжні сервіси для топ-клієнтів, перебуває під зондуванням». Це дозволяє організаціям правильно визначати пріоритети.
-
Керувати діями. В епоху агентів системи робитимуть більше, ніж просто узагальнювати інциденти. Вони збагачуватимуть сповіщення, відкриватимуть справи, запускатимуть робочі процеси, ізолюватимуть активи, оновлюватимуть політики та ескалуватимуть рішення. Підприємствам потрібно знати, які докази використовував агент, яка політика керувала дією, чи залишалася вона в межах визначеного обсягу, і як це рішення може бути переглянуто згодом.
Реальна проблема SOC – це не брак даних
Сучасні центри операцій безпеки (SOC) не страждають від браку даних. Вони страждають від браку корисної контекстної інформації. Згідно зі звітом Splunk State of Security 2025, аналітики SOC продовжують боротися з надмірною кількістю сповіщень (59%), надмірною кількістю хибних спрацьовувань (55%) та сповіщеннями, яким бракує контексту (46%). Проблема полягає не в обсязі даних. Проблема в складності перетворення фрагментованих сигналів на надійні рішення.
Сьогодні аналітики змушені вручну зшивати контекст, перемикатися між роз’єднаними інструментами та приймати рішення з високими ставками без повної картини в потрібний час. Навіть незважаючи на вдосконалення ШІ, результати все ще залежать від того, чи готові люди схвалювати зміни в розрізнених середовищах.
Це створює щоденну кризу контексту. Команди змушені приймати відповідальні рішення на основі даних, які вони не можуть легко побачити, корелювати або яким не можуть довіряти. Результатом є затримки, неузгодженість, втрачені можливості та невиправданий ризик.
Надійні дії – це стійка перевага
Архітектура “data fabric” (тканина даних) пропонує шлях уперед, створюючи єдиний, інтелектуальний шар, що об’єднує джерела даних з SecOps, ITOps та NetOps. Мета полягає не в централізації заради самої централізації. Мета – зруйнувати силоси та надати контекстно-багаті дані зі швидкістю, яка потрібна операціям на базі ШІ.
Це операційна модель, а не продукт. Захист на базі ШІ залежить від фундаменту, який може зберігати докази, отримувати доступ до даних там, де вони зберігаються, додавати контекст і підтримувати можливість перегляду зв’язку між даними, рішенням та дією. Це архітектурний зсув, що стоїть за Cisco Data Fabric, що працює на базі Splunk Platform, який об’єднує машинні дані, федерацію, бізнес-контекст, управління та походження, щоб допомогти командам перейти від сигналу до надійних дій.
Зловмисники продовжуватимуть робити дезінформацію дешевшою, швидшою та персоналізованішою. Захисники не виграють цю гонку, генеруючи більше шуму. Вони виграють, роблячи істину швидшою та обґрунтовуючи кожну дію доказами, яким можуть довіряти люди та машини.
Дізнайтеся більше про Cisco Data Fabric, що працює на базі Splunk Platform.
Сет Брікман – віце-президент з глобальних продуктів – Splunk Platform, Cisco.
Спонсоровані статті – це контент, створений компанією, яка або платить за публікацію, або має ділові відносини з VentureBeat, і завжди чітко позначений. Для отримання додаткової інформації звертайтеся за адресою [email protected].
Як захиститися (Порада CryptoDom): Регулярно оновлюйте всі ваші програмні системи та використовуйте надійні, унікальні паролі в поєднанні з двофакторною автентифікацією для всіх облікових записів, щоб мінімізувати ризик несанкціонованого доступу.
Оригінал статті: venturebeat.com