ai course cyber reading real world examples of applied ai based threat intelligence
1.0.0
选择选项卡以浏览内容。
介绍
案例研究:Google 和 Mandiant
案例研究:微软
案例研究:IBM
概括
资源
在现实世界中,人工智能在威胁情报中的应用已经变得越来越普遍,几家知名公司处于领先地位。本课程将探讨 Google、Microsoft 和 IBM 等组织的案例研究,展示他们如何利用 AI 来增强威胁情报能力。
学完本课后,您将能够
探索 Google、Microsoft 和 IBM 如何使用 AI 进行威胁情报
谷歌每天使用人工智能分析数十亿个安全信号,以识别潜在威胁。高级建模使 Google 的客户能够创建复杂的工作流程和可靠、可重复的响应流程。 通过将 Google 强大的数据分析和计算资源与通过 2022 年收购 Mandiant 获得的数十年安全知识相结合,客户可以快速检测妥协指标、做出响应并减轻威胁。
Mandiant 以其一线专业知识和行业领先的威胁情报而闻名,在过去 18 年里一直处于打击安全漏洞的最前沿。通过收购 Mandiant,Google 还获得了 900 多名顾问和分析师的领域知识和专业知识。 Mandiant 的动态网络防御解决方案为 Google 提供了针对网络威胁的保护,并提供了一支高技能团队,以在发生安全漏洞和网络攻击时指导事件响应管理。
近年来云计算的流行给网络安全领域带来了不同的担忧。云环境的互连性质需要强大的网络安全措施来保护数据的完整性、机密性和可用性。
Google Cloud 等组织必须确保敏感信息的机密性、防止未经授权的访问、防止数据泄露并遵守监管要求。此外,他们还必须防御不断变化的威胁,例如恶意软件、勒索软件、网络钓鱼攻击以及针对云系统的内部威胁。
云中网络安全不足的后果可能很严重。违规可能会导致重大财务损失、声誉损害、法律影响以及客户信任的丧失。此外,由于云环境通常托管关键基础设施和服务,中断或未经授权的访问可能会对企业及其客户产生深远的影响。为了应对这些挑战,组织必须优先考虑针对云计算环境量身定制的网络安全措施。这包括实施强大的访问控制、加密、网络安全和威胁监控解决方案。定期安全评估、漏洞扫描和员工意识培训对于有效识别和降低风险也至关重要。
Google Cloud 和 Mandiant 之间的合作将能够通过 Mandiant Advantage 软件即服务 (SaaS) 平台大规模提供情报和专业知识,从而补充 Google Cloud 现有的安全产品组合。通过强强联手,两个组织的目标是在保护云安全、促进云计算的采用以及营造更安全的数字环境方面产生重大影响。
Security Copilot,将解决安全分析师面临的三个关键问题:
攻击复杂性
复杂的系统在攻击期间可能是有害的。通过整合来自不同来源的数据并将其转化为简单、实用的见解,分析师可以在几分钟内对事件做出响应,而不是长时间遭受攻击。
巧妙的逃避策略
面对攻击者采用的微妙规避策略,Copilot 使用机器学习快速分析信号。它在早期阶段识别威胁并获得主动指导,以有效应对攻击者的未来行动。
人才缺口
由于对熟练安全专家的需求远远超过供应,人才稀缺构成了挑战。 Copilot 可以通过详细的分步说明来帮助团队最大限度地提高效率并增强其能力,以降低风险。
Copilot 致力于将机器学习和人类智能结合到一个紧密结合的系统中,帮助各种规模的组织使用软件服务有效管理威胁。 Microsoft 使用 AI 来跟踪威胁参与者的活动,并通过监控和分析来自检测系统的输入、客户输入和响应数据来评估攻击风险。然后,微软安全研究中心 (MSRC) 分析师可以使用 AI 和 ML 工具有效验证和评估独立研究提交到其错误赏金门户的影响,从而减轻各个组织的安全负担。
借助 Security Copilot,Microsoft 使客户的安全团队、威胁追踪人员和恶意软件分析师能够实时协作、调查威胁并根据之前的事件和响应创建行动手册和程序来缩短响应时间。
IBM 正在其旗舰安全事件和事件管理 (SIEM) 平台中利用 Watson AI 技术的强大功能,推出名为 QRadar Advisor 的解决方案。
那么它是如何运作的呢? QRadar Advisor 是一款人工智能助手,可自动将不同的事件链接在一起,帮助安全运营中心 (SOC) 跟上大量信息,从而帮助分析师关注全局,不会错误地忽略某个事件。
安全运营中心 (SOC) 也称为信息安全运营中心 (ISOC),是一个由 IT 安全专业人员组成的团队,他们在内部或外部工作,全天候监控组织的整个 IT 基础设施。他们的主要目标是实时识别网络安全事件并快速有效地做出响应。
通过自动化 SOC 中的关键实践,QRadar 可以帮助组织应对以下常见挑战:
更多威胁,但没有足够的时间发现它们——有价值的信息常常被忽视,因为分析师很难将这些点联系起来。这使得获得可行的见解变得具有挑战性,导致分析师只关注他们认为有信心的案例。不幸的是,这种方法可能会导致错过调查并使组织面临风险。
信息过载——需要分析的洞察的数量、种类和速度使得确定工作优先级和确定问题的根本原因变得困难。这一挑战影响着各种规模的公司。分析师们很难迅速拼凑出当地背景,这让他们被重复性的任务压得喘不过气来。
停留时间- 停留时间是指安全事件发生与其检测和响应之间的持续时间,是安全专家用来评估其保护数据有效性的重要指标。具体来说,两个关键的衡量标准,即MTTD(平均检测时间)和MTTR(平均响应时间) ,被广泛用于评估这一成功。尽管有更多解决方案和数据可供使用,但目前的平均停留时间仍可达 50 至 200 天。缺乏对背景信息进行一致、高质量的调查会导致现有流程崩溃,从而增加组织的风险。
网络安全人才短缺和工作疲劳——由于不断扩大的威胁形势和日常运营任务,安全分析师经常发现自己工作过度、人手不足、不堪重负。随着数据继续呈指数级增长,技能差距扩大,问题也会变得更大。
SOC 部分自动化的主要优点是它汇集并协调组织的安全工具、实践和事件响应。这种集成通常会改进预防措施、增强安全策略、更快地检测威胁以及更快、更有效且更具成本效益地响应安全事件。此外,SOC 可以增强客户信心并简化行业、国家和全球隐私法规的合规性。该解决方案可推动一致的响应,优先处理最严重的警报,并将攻击者的操作映射到 MITRE ATT&CK 框架。
MITRE ATT&CK 框架由 MITRE Corporation 开发,是一个综合知识库,对攻击者在网络入侵中使用的现实策略、技术和程序进行了分类。它提供了一种结构化和标准化的方法来分析不同阶段的攻击,并涵盖网络、端点、云和移动平台等各种威胁向量。 ATT&CK 由组织攻击者策略和技术的矩阵组成,提供对目标和方法的见解。它被网络安全专业人士广泛使用,增强了威胁检测和响应能力,帮助组织了解对手的策略、制定有效的防御措施并提高整体网络弹性。
谷歌、微软和 IBM 等知名公司的案例研究表明,人工智能在威胁情报中的实施已获得了巨大的关注。其他著名的安全供应商,如思科、CrowdStrike 和 Palo Alto,也在利用人工智能和机器学习技术来改进检测并阻止针对客户的攻击。这些组织利用人工智能来增强其威胁情报能力,使他们能够分析大量安全信号、检测潜在威胁并快速响应。
Google 和 Mandiant 之间的合作将 Google 的数据分析能力与 Mandiant 的专业知识结合在一起,提供先进的网络防御解决方案和事件响应指导。 Microsoft 的人工智能工具 Security Copilot 可解决安全分析师面临的复杂性、规避策略和人才缺口,促进主动威胁管理。 IBM 在其 QRadar Advisor 解决方案中利用 Watson AI 技术,自动执行安全运营中心 (SOC) 中的关键实践,以解决信息过载、停留时间和网络安全人才短缺等挑战。这些人工智能驱动的方法与 MITRE ATT&CK 框架的集成进一步增强了组织检测、响应和防御网络威胁的能力,最终促进更安全的数字环境。
当您完成本课程中的练习时,请考虑这些案例研究以及 AI 工具如何帮助您的组织解决其中的一些挑战。
谷歌云人工智能威胁情报
Microsoft 安全副驾驶 IBM 安全
Palo Alto Networks - AI/ML 在安全环境中的价值:超越炒作
