หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

การอ่าน: ตัวอย่างโลกแห่งความเป็นจริงของข่าวกรองภัยคุกคามที่ใช้ AI ประยุกต์

เลือกแท็บเพื่อเลื่อนดูเนื้อหา

  • การแนะนำ

  • กรณีศึกษา: Google และ Mandiant

  • กรณีศึกษา: ไมโครซอฟต์

  • กรณีศึกษา: ไอบีเอ็ม

  • สรุป

  • ทรัพยากร

การแนะนำ

การนำ AI ไปใช้ในด้านข่าวกรองภัยคุกคามแพร่หลายมากขึ้นในสถานการณ์จริง โดยมีบริษัทที่มีชื่อเสียงหลายแห่งเป็นผู้นำ บทเรียนนี้จะตรวจสอบกรณีศึกษาขององค์กรต่างๆ รวมถึง Google, Microsoft และ IBM เพื่อแสดงให้เห็นว่าพวกเขาใช้ประโยชน์จาก AI เพื่อเพิ่มขีดความสามารถด้านข่าวกรองภัยคุกคามได้อย่างไร

วัตถุประสงค์ของบทเรียน

เมื่อจบบทเรียนนี้ คุณจะสามารถ

  • สำรวจวิธีที่ Google, Microsoft และ IBM ใช้ AI สำหรับข่าวกรองภัยคุกคาม

กรณีศึกษา: Google และ Mandiant

Google ใช้ AI เพื่อวิเคราะห์สัญญาณความปลอดภัยนับพันล้านสัญญาณทุกวันเพื่อระบุภัยคุกคามที่อาจเกิดขึ้น การสร้างโมเดลขั้นสูงช่วยให้ลูกค้าของ Google สามารถสร้างขั้นตอนการทำงานที่ซับซ้อนและกระบวนการตอบสนองที่เชื่อถือได้และทำซ้ำได้ ด้วยการรวมการวิเคราะห์ข้อมูลที่แข็งแกร่งและทรัพยากรการประมวลผลของ Google เข้ากับความรู้ด้านความปลอดภัยที่สั่งสมมานานหลายทศวรรษจากการเข้าซื้อกิจการ Mandiant ในปี 2022 ลูกค้าสามารถตรวจจับตัวบ่งชี้ของการประนีประนอม ตอบสนอง และบรรเทาภัยคุกคามได้อย่างรวดเร็ว

Mandiant ซึ่งมีชื่อเสียงในด้านความเชี่ยวชาญแนวหน้าและข้อมูลภัยคุกคามชั้นนำของอุตสาหกรรม อยู่ในแนวหน้าในการต่อสู้กับการละเมิดความปลอดภัยตลอด 18 ปีที่ผ่านมา ด้วยการซื้อกิจการของ Mandiant ทำให้ Google ได้รับความรู้และความเชี่ยวชาญจากที่ปรึกษาและนักวิเคราะห์กว่า 900 ราย โซลูชันการป้องกันทางไซเบอร์แบบไดนามิกที่ Mandiant มอบการปกป้องจากภัยคุกคามทางไซเบอร์ให้กับ Google และทีมงานที่มีทักษะสูงเพื่อเป็นแนวทางในการจัดการตอบสนองต่อเหตุการณ์เมื่อมีการละเมิดความปลอดภัยและการโจมตีทางไซเบอร์เกิดขึ้น

ความนิยมของการประมวลผลแบบคลาวด์ในช่วงไม่กี่ปีที่ผ่านมาทำให้เกิดข้อกังวลที่แตกต่างกันไปต่อภูมิทัศน์ความปลอดภัยทางไซเบอร์ ธรรมชาติของสภาพแวดล้อมคลาวด์ที่เชื่อมโยงถึงกันจำเป็นต้องมีมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งเพื่อปกป้องความสมบูรณ์ของข้อมูล การรักษาความลับ และความพร้อมใช้งาน

องค์กรอย่างเช่น Google Cloud จะต้องรักษาความลับของข้อมูลที่ละเอียดอ่อน ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต ป้องกันการละเมิดข้อมูล และรักษาการปฏิบัติตามข้อกำหนดด้านกฎระเบียบ นอกจากนี้ พวกเขาจะต้องป้องกันภัยคุกคามที่พัฒนาอย่างต่อเนื่อง เช่น มัลแวร์ แรนซัมแวร์ การโจมตีแบบฟิชชิ่ง และภัยคุกคามภายในที่กำหนดเป้าหมายระบบคลาวด์

ผลที่ตามมาของการรักษาความปลอดภัยทางไซเบอร์ที่ไม่เพียงพอในระบบคลาวด์อาจรุนแรงได้ การละเมิดอาจส่งผลให้เกิดการสูญเสียทางการเงิน ความเสียหายต่อชื่อเสียง ผลกระทบทางกฎหมาย และการสูญเสียความไว้วางใจของลูกค้า นอกจากนี้ เนื่องจากสภาพแวดล้อมคลาวด์มักโฮสต์โครงสร้างพื้นฐานและบริการที่สำคัญ การหยุดชะงักหรือการเข้าถึงที่ไม่ได้รับอนุญาตอาจส่งผลกระทบในวงกว้างต่อธุรกิจและลูกค้าของพวกเขา เพื่อจัดการกับความท้าทายเหล่านี้ องค์กรต่างๆ จะต้องจัดลำดับความสำคัญของมาตรการรักษาความปลอดภัยทางไซเบอร์ที่ปรับให้เหมาะกับภูมิทัศน์การประมวลผลแบบคลาวด์ ซึ่งรวมถึงการใช้การควบคุมการเข้าถึงที่แข็งแกร่ง การเข้ารหัส การรักษาความปลอดภัยเครือข่าย และโซลูชันการตรวจสอบภัยคุกคาม การประเมินความปลอดภัยอย่างสม่ำเสมอ การสแกนช่องโหว่ และการฝึกอบรมการรับรู้ของพนักงานก็มีความสำคัญอย่างยิ่งในการระบุและลดความเสี่ยงอย่างมีประสิทธิภาพ

การทำงานร่วมกันระหว่าง Google Cloud และ Mandiant จะช่วยให้สามารถส่งมอบข้อมูลอัจฉริยะและความเชี่ยวชาญในวงกว้างผ่านแพลตฟอร์ม Mandiant Advantage Software-as-a-Service (SaaS) ซึ่งจะช่วยเสริมพอร์ตโฟลิโอความปลอดภัยที่มีอยู่ของ Google Cloud ทั้งสององค์กรตั้งเป้าที่จะสร้างผลกระทบที่สำคัญในการรักษาความปลอดภัยระบบคลาวด์ ส่งเสริมการนำระบบคอมพิวเตอร์คลาวด์มาใช้ และส่งเสริมสภาพแวดล้อมดิจิทัลที่ปลอดภัยยิ่งขึ้น ด้วยการผนึกกำลังกัน

กรณีศึกษา: ไมโครซอฟต์

Security Copilot ที่จะกล่าวถึงประเด็นสำคัญสามประการที่นักวิเคราะห์ด้านความปลอดภัยเผชิญ:

  1. ความซับซ้อนของการโจมตี
    ระบบที่ซับซ้อนอาจเป็นอันตรายได้ในระหว่างการโจมตี ด้วยการรวบรวมข้อมูลจากแหล่งต่างๆ และแปลงเป็นข้อมูลเชิงลึกที่ตรงไปตรงมาและใช้งานได้จริง นักวิเคราะห์จึงสามารถตอบสนองต่อเหตุการณ์ต่างๆ ได้ภายในไม่กี่นาที แทนที่จะต้องใช้เวลานานภายใต้การโจมตี

  2. กลยุทธ์การหลบหลีกที่ละเอียดอ่อน
    เมื่อเผชิญกับกลยุทธ์การหลบเลี่ยงที่ละเอียดอ่อนของผู้โจมตี Copilot จะวิเคราะห์สัญญาณอย่างรวดเร็วด้วยความเร็วที่รวดเร็วโดยใช้การเรียนรู้ของเครื่อง โดยจะระบุภัยคุกคามตั้งแต่ระยะเริ่มต้นและรับคำแนะนำเชิงรุกเพื่อตอบโต้การกระทำในอนาคตของผู้โจมตีอย่างมีประสิทธิภาพ

  3. ช่องว่างความสามารถ
    การขาดแคลนผู้มีความสามารถทำให้เกิดความท้าทาย เนื่องจากความต้องการผู้เชี่ยวชาญด้านความปลอดภัยที่มีทักษะมีมากกว่าอุปทาน Copilot สามารถช่วยเหลือทีมในการเพิ่มประสิทธิภาพสูงสุดและเพิ่มความสามารถผ่านคำแนะนำโดยละเอียดทีละขั้นตอนเพื่อลดความเสี่ยง

Copilot พยายามที่จะรวมการเรียนรู้ของเครื่องและความฉลาดของมนุษย์เข้ากับระบบที่เชื่อมโยงกันซึ่งช่วยให้องค์กรทุกขนาดจัดการภัยคุกคามได้อย่างมีประสิทธิภาพโดยใช้บริการซอฟต์แวร์ Microsoft ใช้ AI เพื่อติดตามกิจกรรมของผู้แสดงภัยคุกคามและประเมินความเสี่ยงของการโจมตีโดยการตรวจสอบและวิเคราะห์อินพุตจากระบบการตรวจจับ ข้อมูลของลูกค้า และข้อมูลการตอบสนอง จากนั้น นักวิเคราะห์ของ Microsoft Security Research Center (MSRC) สามารถตรวจสอบและประเมินผลกระทบของการส่งงานวิจัยอิสระในพอร์ทัลรางวัลจุดบกพร่องได้อย่างมีประสิทธิภาพ โดยใช้เครื่องมือ AI และ ML ซึ่งช่วยลดภาระด้านความปลอดภัยในแต่ละองค์กร

ด้วย Security Copilot Microsoft ช่วยให้ทีมรักษาความปลอดภัยของลูกค้า นักล่าภัยคุกคาม และนักวิเคราะห์มัลแวร์ทำงานร่วมกันแบบเรียลไทม์ ตรวจสอบภัยคุกคาม และปรับปรุงเวลาตอบสนองโดยการสร้าง Playbooks และขั้นตอนต่างๆ ตามเหตุการณ์และการตอบกลับก่อนหน้านี้

กรณีศึกษา: ไอบีเอ็ม

IBM กำลังใช้ประโยชน์จากพลังของเทคโนโลยี Watson AI ในแพลตฟอร์มเหตุการณ์ด้านความปลอดภัยและการจัดการเหตุการณ์ (SIEM) ระดับเรือธงด้วยโซลูชันที่เรียกว่า QRadar Advisor

แล้วมันทำงานยังไง? QRadar Advisor เป็นผู้ช่วย AI ที่ช่วยให้ศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) ติดตามข้อมูลจำนวนมากโดยการเชื่อมโยงเหตุการณ์ต่างๆ เข้าด้วยกันโดยอัตโนมัติ ในลักษณะที่ช่วยให้นักวิเคราะห์มองเห็นภาพรวม และไม่ละเลยเหตุการณ์โดยไม่ได้ตั้งใจ

ศูนย์ปฏิบัติการรักษาความปลอดภัย (SOC) หรือที่รู้จักกันในชื่อศูนย์ปฏิบัติการรักษาความปลอดภัยข้อมูล (ISOC) คือทีมผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีที่ทำงานทั้งภายในหรือภายนอกเพื่อตรวจสอบโครงสร้างพื้นฐานด้านไอทีทั้งหมดขององค์กรตลอดเวลา วัตถุประสงค์หลักของพวกเขาคือการระบุเหตุการณ์ความปลอดภัยทางไซเบอร์แบบเรียลไทม์และตอบสนองต่อเหตุการณ์เหล่านั้นอย่างรวดเร็วและมีประสิทธิภาพ

QRadar สามารถทำให้แนวทางปฏิบัติหลักใน SOC ของตนเป็นแบบอัตโนมัติ ช่วยให้องค์กรจัดการกับความท้าทายทั่วไปเหล่านี้ได้:

  1. ภัยคุกคามเพิ่มมากขึ้นและมีเวลาไม่เพียงพอในการตรวจจับ - ข้อมูลอันมีค่ามักจะไม่มีใครสังเกตเห็น เนื่องจากนักวิเคราะห์พยายามดิ้นรนเพื่อเชื่อมโยงจุดต่างๆ สิ่งนี้ทำให้การได้มาซึ่งข้อมูลเชิงลึกที่นำไปปฏิบัติได้เป็นเรื่องท้าทาย โดยนักวิเคราะห์ชั้นนำจะมุ่งเน้นเฉพาะในกรณีที่พวกเขารู้สึกมั่นใจเท่านั้น น่าเสียดายที่แนวทางนี้อาจส่งผลให้พลาดการสอบสวนและทำให้องค์กรมีความเสี่ยง

  2. ข้อมูลล้นเกิน - ปริมาณที่แท้จริง ความหลากหลาย และความเร็วของข้อมูลเชิงลึกในการวิเคราะห์ ทำให้ยากต่อการจัดลำดับความสำคัญของงานและระบุสาเหตุของปัญหา ความท้าทายนี้ส่งผลกระทบต่อบริษัททุกขนาด นักวิเคราะห์พยายามดิ้นรนเพื่อปะติดปะต่อบริบทในท้องถิ่นอย่างรวดเร็ว ทำให้พวกเขาถูกครอบงำด้วยงานที่ซ้ำซาก

  3. เวลาคงอยู่ - เวลาคงอยู่ ซึ่งหมายถึงระยะเวลาระหว่างเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นกับการตรวจจับและการตอบสนอง เป็นตัวชี้วัดที่สำคัญที่ผู้เชี่ยวชาญด้านความปลอดภัยอาศัยในการประเมินประสิทธิภาพในการปกป้องและปกป้องข้อมูล โดยเฉพาะอย่างยิ่ง การวัดหลักสองประการ ได้แก่ MTTD (เวลาเฉลี่ยในการตรวจจับ) และ MTTR (เวลาเฉลี่ยในการตอบสนอง) ถูกนำมาใช้กันอย่างแพร่หลายในการประเมินความสำเร็จนี้ แม้จะมีโซลูชันและข้อมูลที่พร้อมใช้งานมากขึ้น แต่เวลาพักโดยเฉลี่ยในปัจจุบันสามารถอยู่ในช่วงตั้งแต่ 50 ถึง 200 วัน การขาดการตรวจสอบที่สม่ำเสมอและมีคุณภาพสูงพร้อมข้อมูลเชิงบริบท ส่งผลให้กระบวนการที่มีอยู่พังทลายลง ซึ่งเพิ่มความเสี่ยงให้กับองค์กร

  4. การขาดแคลนบุคลากรที่มีความสามารถด้านความปลอดภัยทางไซเบอร์และความเหนื่อยล้าในการทำงาน - นักวิเคราะห์ความปลอดภัยมักพบว่าตนเองทำงานหนักเกินไป มีพนักงานไม่เพียงพอ และล้นหลามเนื่องจากภาพรวมภัยคุกคามที่ขยายตัวและงานปฏิบัติงานประจำวัน เนื่องจากข้อมูลยังคงเติบโตแบบทวีคูณ ช่องว่างทักษะก็กว้างขึ้น และปัญหาก็จะขยายใหญ่ขึ้นเช่นกัน

ข้อได้เปรียบหลักของการทำให้ชิ้นส่วนต่างๆ ของ SOC ของคุณเป็นแบบอัตโนมัติคือการรวบรวมและประสานงานเครื่องมือด้านความปลอดภัย แนวทางปฏิบัติ และการตอบสนองต่อเหตุการณ์ขององค์กร โดยทั่วไปการบูรณาการนี้จะนำไปสู่มาตรการป้องกันที่ได้รับการปรับปรุง นโยบายความปลอดภัยที่ได้รับการปรับปรุง การตรวจจับภัยคุกคามที่รวดเร็วขึ้น และการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยที่รวดเร็วยิ่งขึ้น มีประสิทธิภาพมากขึ้น และประหยัดต้นทุน นอกจากนี้ SOC ยังช่วยเพิ่มความมั่นใจของลูกค้าและลดความซับซ้อนในการปฏิบัติตามกฎระเบียบด้านความเป็นส่วนตัวของอุตสาหกรรม ระดับประเทศ และระดับโลก โซลูชันนี้ขับเคลื่อนการตอบสนองที่สอดคล้องกัน โดยจัดลำดับความสำคัญของการแจ้งเตือนที่รุนแรงที่สุด และเชื่อมโยงการกระทำของผู้โจมตีกับกรอบงาน MITER ATT&CK

กรอบการทำงานของ MITER ATT&CK ซึ่งพัฒนาโดย MITER Corporation เป็นฐานความรู้ที่ครอบคลุมซึ่งรวบรวมกลยุทธ์ เทคนิค และขั้นตอนในโลกแห่งความเป็นจริงที่ผู้โจมตีใช้ในการบุกรุกทางไซเบอร์ โดยนำเสนอแนวทางที่มีโครงสร้างและเป็นมาตรฐานในการวิเคราะห์ขั้นตอนต่างๆ ของการโจมตี และครอบคลุมเวกเตอร์ภัยคุกคามต่างๆ เช่น เครือข่าย อุปกรณ์ปลายทาง คลาวด์ และแพลตฟอร์มมือถือ ATT&CK ประกอบด้วยเมทริกซ์ที่จัดระเบียบกลยุทธ์และเทคนิคของผู้โจมตี โดยให้ข้อมูลเชิงลึกเกี่ยวกับเป้าหมายและวิธีการ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ใช้กันอย่างแพร่หลาย โดยช่วยเพิ่มความสามารถในการตรวจจับและตอบสนองภัยคุกคาม ช่วยให้องค์กรเข้าใจกลยุทธ์ของฝ่ายตรงข้าม พัฒนาการป้องกันที่มีประสิทธิภาพ และปรับปรุงความยืดหยุ่นทางไซเบอร์โดยรวม

สรุป

การนำ AI ไปใช้ในด้านข่าวกรองภัยคุกคามได้รับความสนใจอย่างมาก ดังที่เห็นได้จากกรณีศึกษาของบริษัทที่มีชื่อเสียง เช่น Google, Microsoft และ IBM ผู้จำหน่ายความปลอดภัยที่มีชื่อเสียงอื่นๆ เช่น Cisco, CrowdStrike และ Palo Alto ก็ใช้ประโยชน์จากเทคโนโลยี AI และ ML เพื่อปรับปรุงการตรวจจับและหยุดการโจมตีลูกค้าของพวกเขา องค์กรเหล่านี้ใช้ประโยชน์จาก AI เพื่อเพิ่มความสามารถด้านข่าวกรองภัยคุกคาม ทำให้พวกเขาสามารถวิเคราะห์สัญญาณความปลอดภัยจำนวนมหาศาล ตรวจจับภัยคุกคามที่อาจเกิดขึ้น และตอบสนองอย่างรวดเร็ว

การทำงานร่วมกันระหว่าง Google และ Mandiant เป็นการนำความสามารถในการวิเคราะห์ข้อมูลของ Google เข้ากับความเชี่ยวชาญของ Mandiant โดยนำเสนอโซลูชันการป้องกันทางไซเบอร์ขั้นสูงและคำแนะนำในการตอบสนองต่อเหตุการณ์ เครื่องมือที่ขับเคลื่อนด้วย AI ของ Microsoft อย่าง Security Copilot จัดการกับความซับซ้อน กลยุทธ์การหลีกเลี่ยง และช่องว่างของผู้มีความสามารถที่นักวิเคราะห์ความปลอดภัยต้องเผชิญ ช่วยอำนวยความสะดวกในการจัดการภัยคุกคามเชิงรุก IBM ใช้เทคโนโลยี Watson AI ในโซลูชัน QRadar Advisor ซึ่งทำให้แนวทางปฏิบัติหลักในศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) เป็นแบบอัตโนมัติ เพื่อจัดการกับความท้าทายต่างๆ เช่น การโอเวอร์โหลดของข้อมูล เวลาหยุดนิ่ง และการขาดแคลนบุคลากรด้านความปลอดภัยทางไซเบอร์ การบูรณาการแนวทางที่ขับเคลื่อนด้วย AI เหล่านี้เข้ากับกรอบงาน MITER ATT&CK ช่วยเพิ่มความสามารถขององค์กรในการตรวจจับ ตอบสนอง และป้องกันภัยคุกคามทางไซเบอร์ และส่งเสริมสภาพแวดล้อมดิจิทัลที่ปลอดภัยยิ่งขึ้นในท้ายที่สุด

เมื่อคุณผ่านแบบฝึกหัดในหลักสูตรนี้ ให้พิจารณากรณีศึกษาเหล่านี้และวิธีที่เครื่องมือ AI อาจช่วยจัดการกับความท้าทายเหล่านี้สำหรับองค์กรของคุณได้อย่างไร

ทรัพยากร

  • ข้อมูลภัยคุกคามอัจฉริยะ AI ของ Google Cloud

  • Microsoft Security Copilot IBM Security

  • Palo Alto Networks- คุณค่าของ AI/ML ในสภาพแวดล้อมด้านความปลอดภัย: ก้าวข้ามกระแส

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด