ai course cyber reading real world examples of applied ai based threat intelligence
1.0.0
Выбирайте вкладки для навигации по содержимому.
Введение
Кейс: Google и Mandiant
Практический пример: Microsoft
Практический пример: IBM
Краткое содержание
Ресурсы
Внедрение искусственного интеллекта в анализе угроз становится все более распространенным в реальных сценариях, при этом несколько известных компаний лидируют. В этом уроке рассматриваются тематические исследования таких организаций, как Google, Microsoft и IBM, чтобы продемонстрировать, как они используют ИИ для расширения своих возможностей по анализу угроз.
К концу этого урока вы сможете
Узнайте, как Google, Microsoft и IBM используют ИИ для анализа угроз
Google использует ИИ для ежедневного анализа миллиардов сигналов безопасности для выявления потенциальных угроз. Расширенное моделирование позволяет клиентам Google создавать сложные рабочие процессы и надежные, повторяемые процессы реагирования. Объединив надежный анализ данных и вычислительные ресурсы Google с многолетними знаниями в области безопасности, полученными в результате приобретения Mandiant в 2022 году, клиенты могут быстро обнаруживать признаки компрометации, реагировать и смягчать угрозы.
Компания Mandiant, известная своим передовым опытом и лучшими в отрасли средствами анализа угроз, последние 18 лет находится на переднем крае борьбы с нарушениями безопасности. С приобретением Mandiant Google также приобрела знания и опыт более 900 консультантов и аналитиков. Динамические решения киберзащиты, которые Mandiant предоставляют Google защиту от киберугроз, а также высококвалифицированную команду, которая поможет управлять реагированием на инциденты в случае нарушений безопасности и кибератак.
Популярность облачных вычислений в последние годы привела к возникновению различных проблем в сфере кибербезопасности. Взаимосвязанный характер облачных сред требует надежных мер кибербезопасности для защиты целостности, конфиденциальности и доступности данных.
Такие организации, как Google Cloud, должны обеспечивать конфиденциальность конфиденциальной информации, защищать ее от несанкционированного доступа, предотвращать утечку данных и поддерживать соответствие нормативным требованиям. Кроме того, они должны защищаться от развивающихся угроз, таких как вредоносное ПО, программы-вымогатели, фишинговые атаки и внутренние угрозы, нацеленные на облачные системы.
Последствия недостаточной кибербезопасности в облаке могут быть серьезными. Нарушения могут привести к значительным финансовым потерям, репутационному ущербу, юридическим последствиям и потере доверия клиентов. Более того, поскольку в облачных средах часто размещаются критически важные инфраструктуры и сервисы, сбои в работе или несанкционированный доступ могут иметь далеко идущие последствия для предприятий и их клиентов. Чтобы решить эти проблемы, организации должны расставить приоритеты в мерах кибербезопасности, адаптированных к среде облачных вычислений. Это включает в себя внедрение надежных решений контроля доступа, шифрования, сетевой безопасности и мониторинга угроз. Регулярные оценки безопасности, сканирование уязвимостей и обучение сотрудников повышению осведомленности также имеют решающее значение для эффективного выявления и снижения рисков.
Сотрудничество между Google Cloud и Mandiant позволит предоставлять аналитические данные и экспертные знания в масштабе через платформу Mandiant Advantage Software-as-a-Service (SaaS), дополняющую существующий портфель безопасности Google Cloud. Объединив усилия, две организации стремятся оказать существенное влияние на обеспечение безопасности облака, содействие внедрению облачных вычислений и создание более безопасной цифровой среды.
Security Copilot, который будет решать три ключевые проблемы, с которыми сталкиваются аналитики безопасности:
Сложность атаки
Сложные системы могут нанести вред во время атаки. Объединив данные из различных источников и преобразовав их в простые практические идеи, аналитики могут реагировать на инциденты в течение нескольких минут, а не подвергаться длительным атакам.
Тонкая тактика уклонения
Перед лицом изощренных тактик уклонения, используемых злоумышленниками, Copilot быстро анализирует сигналы с помощью машинного обучения. Он выявляет угрозы на ранней стадии и получает упреждающие рекомендации для эффективного противодействия будущим действиям злоумышленника.
Разрыв в талантах
Нехватка талантов представляет собой проблему, поскольку спрос на квалифицированных экспертов по безопасности намного превышает предложение. Второй пилот может помочь командам максимизировать свою эффективность и улучшить свои способности с помощью подробных пошаговых инструкций по снижению рисков.
Copilot стремится объединить машинное обучение и человеческий интеллект в единую систему, которая помогает организациям любого размера эффективно управлять угрозами с помощью программного сервиса. Microsoft использует ИИ для отслеживания действий субъектов угроз и оценки риска атаки путем мониторинга и анализа данных от систем обнаружения, данных клиентов и данных реагирования. Затем аналитики Microsoft Security Research Center (MSRC) смогут эффективно проверять и оценивать влияние независимых исследовательских материалов на свой портал по обнаружению ошибок с помощью инструментов искусственного интеллекта и машинного обучения, снижая нагрузку на безопасность отдельных организаций.
С помощью Security Copilot Microsoft позволяет командам безопасности своих клиентов, охотникам за угрозами и аналитикам вредоносного ПО сотрудничать в режиме реального времени, исследовать угрозы и сокращать время реагирования, создавая сценарии и процедуры на основе предыдущих инцидентов и ответов.
IBM использует возможности технологии Watson AI в своей флагманской платформе управления инцидентами и событиями безопасности (SIEM) с помощью решения под названием QRadar Advisor.
Так как же это работает? QRadar Advisor — это помощник на базе искусственного интеллекта, который помогает центрам управления безопасностью (SOC) справляться с потоком информации, автоматически объединяя различные инциденты в цепочки таким образом, чтобы аналитики могли видеть общую картину и не игнорировать событие по ошибке.
Центр операций безопасности (SOC), также известный как центр операций информационной безопасности (ISOC), представляет собой команду специалистов по ИТ-безопасности, которые работают внутри или снаружи, чтобы круглосуточно контролировать всю ИТ-инфраструктуру организации. Их основная цель — выявлять инциденты кибербезопасности в режиме реального времени и быстро и эффективно реагировать на них.
Автоматизируя ключевые практики в своих SOC, QRadar может помочь организациям решить следующие общие проблемы:
Больше угроз и недостаточно времени для их обнаружения . Ценная информация часто остается незамеченной, поскольку аналитики изо всех сил пытаются соединить точки. Это затрудняет получение действенной информации, заставляя аналитиков концентрироваться только на тех случаях, в которых они уверены. К сожалению, такой подход может привести к пропускам расследований и подвергнутию организации рискам.
Информационная перегрузка . Огромный объем, разнообразие и скорость анализа затрудняют расстановку приоритетов в работе и выявление основной причины проблем. Эта проблема затрагивает компании любого размера. Аналитикам сложно быстро собрать воедино местный контекст, из-за чего они перегружены повторяющимися задачами.
Время ожидания . Время ожидания, которое относится к продолжительности между возникновением инцидента безопасности и его обнаружением и реагированием, является важным показателем, на который полагаются эксперты по безопасности для оценки своей эффективности в защите и защите данных. В частности, для оценки этого успеха широко используются два ключевых показателя, а именно MTTD (среднее время обнаружения) и MTTR (среднее время реагирования) . Несмотря на наличие большего количества решений и данных, среднее время ожидания сегодня может варьироваться от 50 до 200 дней. Отсутствие последовательных, качественных расследований с контекстной информацией способствует сбою существующих процессов, повышая риск для организаций.
Нехватка талантов в области кибербезопасности и усталость от работы . Аналитики безопасности часто оказываются перегруженными работой, нехваткой персонала и перегруженностью из-за расширяющегося ландшафта угроз и ежедневных оперативных задач. Поскольку данные продолжают расти в геометрической прогрессии, разрыв в навыках увеличивается, и проблема также становится больше.
Основное преимущество автоматизации частей вашего SOC заключается в том, что она объединяет и координирует инструменты, методы обеспечения безопасности организации и реагирование на инциденты. Такая интеграция обычно приводит к улучшению профилактических мер, усилению политик безопасности, более быстрому обнаружению угроз и более быстрому, эффективному и экономичному реагированию на инциденты безопасности. Более того, SOC может повысить доверие клиентов и упростить соблюдение отраслевых, национальных и глобальных правил конфиденциальности. Решение обеспечивает согласованное реагирование, определяя приоритет наиболее серьезных предупреждений и сопоставляя действия злоумышленника с платформой MITRE ATT&CK.
Платформа MITRE ATT&CK, разработанная корпорацией MITRE, представляет собой комплексную базу знаний, в которой каталогизированы реальные тактики, методы и процедуры, используемые злоумышленниками при кибервторжениях. Он предлагает структурированный и стандартизированный подход к анализу различных этапов атак и охватывает различные векторы угроз, такие как сеть, конечные точки, облака и мобильные платформы. ATT&CK состоит из матрицы, организующей тактики и методы злоумышленников, предоставляющей представление о целях и методах. Широко используемый профессионалами в области кибербезопасности, он расширяет возможности обнаружения угроз и реагирования на них, помогая организациям понять тактику злоумышленников, разработать эффективную защиту и повысить общую киберустойчивость.
Внедрение искусственного интеллекта в анализе угроз приобрело значительный успех, о чем свидетельствуют тематические исследования таких известных компаний, как Google, Microsoft и IBM. Другие известные поставщики средств безопасности, такие как Cisco, CrowdStrike и Palo Alto, также используют технологии искусственного интеллекта и машинного обучения для улучшения обнаружения и предотвращения атак на своих клиентов. Эти организации используют ИИ для расширения своих возможностей по анализу угроз, что позволяет им анализировать огромное количество сигналов безопасности, обнаруживать потенциальные угрозы и быстро реагировать.
Сотрудничество между Google и Mandiant объединяет возможности анализа данных Google с опытом Mandiant, предлагая передовые решения киберзащиты и рекомендации по реагированию на инциденты. Инструмент Microsoft на базе искусственного интеллекта Security Copilot устраняет сложности, тактику уклонения и дефицит кадров, с которыми сталкиваются аналитики безопасности, способствуя превентивному управлению угрозами. IBM использует технологию Watson AI в своем решении QRadar Advisor, автоматизируя ключевые практики в центрах управления безопасностью (SOC) для решения таких проблем, как информационная перегрузка, время простоя и нехватка специалистов в области кибербезопасности. Интеграция этих подходов на основе искусственного интеллекта с структурой MITRE ATT&CK еще больше расширяет возможности организаций обнаруживать, реагировать и защищаться от киберугроз, что в конечном итоге способствует созданию более безопасной цифровой среды.
По мере выполнения упражнений этого курса рассмотрите эти тематические исследования и то, как инструменты ИИ могут помочь решить некоторые из этих проблем в вашей организации.
Аналитика угроз Google Cloud AI
Microsoft Security Copilot IBM Security
Palo Alto Networks – Ценность искусственного интеллекта и машинного обучения в средах безопасности: выход за пределы шумихи
