ai course cyber reading real world examples of applied ai based threat intelligence
1.0.0
Selecione as guias para navegar pelo conteúdo.
Introdução
Estudo de caso: Google e Mandiant
Estudo de caso: Microsoft
Estudo de caso: IBM
Resumo
Recursos
A implementação da IA na inteligência de ameaças tornou-se cada vez mais predominante em cenários do mundo real, com várias empresas notáveis na liderança. Esta lição examina estudos de caso de organizações, incluindo Google, Microsoft e IBM, para mostrar como elas aproveitam a IA para aprimorar seus recursos de inteligência contra ameaças.
Ao final desta lição, você será capaz de
Explore como Google, Microsoft e IBM usam IA para inteligência de ameaças
O Google usa IA para analisar bilhões de sinais de segurança diariamente para identificar ameaças potenciais. A modelagem avançada permite que os clientes do Google criem fluxos de trabalho complexos e processos de resposta confiáveis e repetíveis. Ao combinar a análise robusta de dados e os recursos de computação do Google com décadas de conhecimento de segurança adquirido através da aquisição da Mandiant em 2022, os clientes podem detectar rapidamente indicadores de comprometimento, responder e mitigar ameaças.
A Mandiant, conhecida por sua experiência na linha de frente e inteligência de ameaças líder do setor, tem estado na vanguarda do combate a violações de segurança nos últimos 18 anos. Com a aquisição da Mandiant, o Google também adquiriu o conhecimento e a experiência de mais de 900 consultores e analistas. As soluções dinâmicas de defesa cibernética que a Mandiant fornece ao Google proteção contra ameaças cibernéticas e uma equipe altamente qualificada para orientar o gerenciamento de resposta a incidentes quando ocorrem violações de segurança e ataques cibernéticos.
A popularidade da computação em nuvem nos últimos anos introduziu diferentes preocupações no cenário da segurança cibernética. A natureza interconectada dos ambientes em nuvem exige medidas robustas de segurança cibernética para proteger a integridade, a confidencialidade e a disponibilidade dos dados.
Organizações como o Google Cloud devem garantir a confidencialidade de informações confidenciais, proteger contra acesso não autorizado, evitar violações de dados e manter a conformidade com os requisitos regulamentares. Além disso, eles devem se defender contra ameaças em evolução, como malware, ransomware, ataques de phishing e ameaças internas que visam sistemas em nuvem.
As consequências da segurança cibernética inadequada na nuvem podem ser graves. As violações podem resultar em perdas financeiras significativas, danos à reputação, implicações legais e perda de confiança do cliente. Além disso, como os ambientes em nuvem hospedam frequentemente infraestruturas e serviços críticos, as interrupções ou o acesso não autorizado podem ter implicações de longo alcance para as empresas e os seus clientes. Para enfrentar estes desafios, as organizações devem priorizar medidas de segurança cibernética adaptadas ao cenário da computação em nuvem. Isso inclui a implementação de fortes controles de acesso, criptografia, segurança de rede e soluções de monitoramento de ameaças. Avaliações regulares de segurança, verificação de vulnerabilidades e treinamento de conscientização dos funcionários também são cruciais para identificar e mitigar riscos de forma eficaz.
A colaboração entre o Google Cloud e a Mandiant permitirá a entrega de inteligência e experiência em escala por meio da plataforma Mandiant Advantage Software-as-a-Service (SaaS), complementando o portfólio de segurança existente do Google Cloud. Ao combinar forças, as duas organizações pretendem causar um impacto significativo na segurança da nuvem, promovendo a adoção da computação em nuvem e promovendo um ambiente digital mais seguro.
Security Copilot, que abordará três questões principais que os analistas de segurança enfrentam:
Complexidade de Ataque
Sistemas complexos podem ser prejudiciais durante um ataque. Ao consolidar dados de diversas fontes e transformá-los em insights práticos e diretos, os analistas podem responder a incidentes em minutos, em vez de suportar longos períodos sob ataque.
Táticas sutis de evasão
Diante das táticas de evasão sutis empregadas pelos invasores, o Copilot analisa rapidamente os sinais em alta velocidade usando aprendizado de máquina. Ele identifica ameaças numa fase inicial e obtém orientação proativa para combater eficazmente as ações futuras de um invasor.
Lacuna de talentos
A escassez de talentos representa um desafio, uma vez que a procura de especialistas em segurança qualificados ultrapassa em muito a oferta. O Copilot pode ajudar as equipes a maximizar sua eficácia e aprimorar suas habilidades por meio de instruções detalhadas e passo a passo para mitigar riscos.
A Copilot se esforça para combinar aprendizado de máquina e inteligência humana em um sistema coeso que ajuda organizações de todos os tamanhos a gerenciar ameaças de maneira eficaz usando um serviço de software. A Microsoft usa IA para rastrear as atividades dos agentes de ameaças e avaliar o risco de um ataque, monitorando e analisando informações de sistemas de detecção, informações de clientes e dados de resposta. Assim, os analistas do Microsoft Security Research Center (MSRC) podem verificar e avaliar com eficiência o impacto dos envios de pesquisas independentes em seu portal de recompensas de bugs usando ferramentas de IA e ML, reduzindo a carga de segurança em organizações individuais.
Com o Security Copilot, a Microsoft permite que as equipes de segurança, caçadores de ameaças e analistas de malware de seus clientes colaborem em tempo real, investiguem ameaças e melhorem os tempos de resposta criando manuais e procedimentos baseados em incidentes e respostas anteriores.
A IBM está aproveitando o poder da tecnologia Watson AI em sua principal plataforma de gerenciamento de eventos e incidentes de segurança (SIEM) com uma solução chamada QRadar Advisor.
Então, como isso funciona? QRadar Advisor é um assistente de IA que ajuda os centros de operações de segurança (SOCs) a acompanhar uma enxurrada de informações encadeando automaticamente diferentes incidentes de uma forma que ajuda os analistas a ter uma visão geral e não descartar um evento por engano.
Um centro de operações de segurança (SOC), também conhecido como centro de operações de segurança da informação (ISOC), é uma equipe de profissionais de segurança de TI que trabalham interna ou externamente para monitorar toda a infraestrutura de TI de uma organização 24 horas por dia. O seu principal objetivo é identificar incidentes de segurança cibernética em tempo real e responder-lhes de forma rápida e eficiente.
Ao automatizar as principais práticas em seu SOC, o QRadar pode ajudar as organizações a enfrentar estes desafios comuns:
Mais ameaças e pouco tempo para identificá-las - Informações valiosas muitas vezes passam despercebidas porque os analistas lutam para ligar os pontos. Isso torna difícil obter insights acionáveis, levando os analistas a se concentrarem apenas nos casos nos quais se sentem confiantes. Infelizmente, esta abordagem pode resultar em investigações perdidas e expor a organização a riscos.
Sobrecarga de informações – O grande volume, variedade e velocidade dos insights a serem analisados dificultam a priorização do trabalho e a identificação da causa raiz dos problemas. Este desafio afeta empresas de todos os portes. Os analistas lutam para reunir rapidamente o contexto local, deixando-os sobrecarregados com tarefas repetitivas.
Tempos de permanência - O tempo de permanência, que se refere à duração entre a ocorrência de um incidente de segurança e sua detecção e resposta, é uma métrica significativa na qual os especialistas em segurança confiam para avaliar sua eficácia na proteção e defesa de dados. Especificamente, duas medidas principais, nomeadamente MTTD (tempo médio de detecção) e MTTR (tempo médio de resposta) , são amplamente utilizadas para avaliar este sucesso. Apesar da disponibilidade de mais soluções e dados, o tempo médio de permanência hoje pode variar de 50 a 200 dias. A falta de investigações consistentes e de alta qualidade com informações contextuais contribui para uma ruptura nos processos existentes, aumentando o risco para as organizações.
Escassez de talentos em segurança cibernética e fadiga no trabalho – Os analistas de segurança muitas vezes ficam sobrecarregados, com falta de pessoal e sobrecarregados devido ao crescente cenário de ameaças e às tarefas operacionais diárias. À medida que os dados continuam a crescer exponencialmente, a lacuna de competências aumenta e o problema também se agravará.
A principal vantagem de automatizar partes do seu SOC é que ele reúne e coordena as ferramentas, práticas e resposta a incidentes de segurança de uma organização. Essa integração normalmente leva a melhores medidas preventivas, políticas de segurança aprimoradas, detecção mais rápida de ameaças e respostas mais rápidas, mais eficazes e econômicas a incidentes de segurança. Além disso, um SOC pode aumentar a confiança do cliente e simplificar a conformidade com as regulamentações de privacidade do setor, nacionais e globais. A solução gera respostas consistentes, priorizando os alertas mais graves e mapeando as ações de um invasor para a estrutura MITRE ATT&CK.
A estrutura MITRE ATT&CK, desenvolvida pela MITRE Corporation, é uma base de conhecimento abrangente que cataloga táticas, técnicas e procedimentos do mundo real usados por invasores em invasões cibernéticas. Ele oferece uma abordagem estruturada e padronizada para analisar diferentes estágios de ataques e abrange vários vetores de ameaças, como rede, endpoint, nuvem e plataformas móveis. ATT&CK consiste em uma matriz que organiza táticas e técnicas de invasores, fornecendo insights sobre objetivos e métodos. Amplamente utilizado por profissionais de segurança cibernética, aprimora as capacidades de detecção e resposta a ameaças, ajudando as organizações a compreender as táticas dos adversários, a desenvolver defesas eficazes e a melhorar a resiliência cibernética geral.
A implementação da IA na inteligência de ameaças ganhou força significativa, conforme demonstrado por estudos de caso de empresas proeminentes como Google, Microsoft e IBM. Outros fornecedores de segurança notáveis, como Cisco, CrowdStrike e Palo Alto, também estão aproveitando as tecnologias de IA e ML para melhorar a detecção e impedir ataques contra seus clientes. Essas organizações aproveitam a IA para aprimorar seus recursos de inteligência contra ameaças, permitindo-lhes analisar grandes quantidades de sinais de segurança, detectar ameaças potenciais e responder rapidamente.
A colaboração entre o Google e a Mandiant reúne os recursos de análise de dados do Google com a experiência da Mandiant, oferecendo soluções avançadas de defesa cibernética e orientação de resposta a incidentes. A ferramenta baseada em IA da Microsoft, Security Copilot, aborda complexidades, táticas de evasão e a lacuna de talentos enfrentada pelos analistas de segurança, facilitando o gerenciamento proativo de ameaças. A IBM utiliza a tecnologia Watson AI em sua solução QRadar Advisor, automatizando práticas importantes em centros de operações de segurança (SOCs) para enfrentar desafios como sobrecarga de informações, tempos de permanência e escassez de talentos em segurança cibernética. A integração destas abordagens orientadas pela IA com a estrutura MITRE ATT&CK aumenta ainda mais a capacidade das organizações de detectar, responder e defender-se contra ameaças cibernéticas, promovendo, em última análise, um ambiente digital mais seguro.
À medida que você avança nos exercícios deste curso, considere estes estudos de caso e como as ferramentas de IA podem ajudar a enfrentar alguns desses desafios para sua organização.
Inteligência de ameaças de IA do Google Cloud
Copiloto de segurança da Microsoft Segurança da IBM
Palo Alto Networks – O valor da IA/ML em ambientes de segurança: indo além do hype
