ai course cyber reading real world examples of applied ai based threat intelligence
1.0.0
選擇選項卡以瀏覽內容。
介紹
案例研究:Google 和 Mandiant
案例研究:微軟
案例研究:IBM
概括
資源
在現實世界中,人工智慧在威脅情報中的應用已經變得越來越普遍,幾家知名公司處於領先地位。本課程將探討 Google、Microsoft 和 IBM 等組織的案例研究,展示他們如何利用 AI 來增強威脅情報能力。
學完本課後,您將能夠
探索 Google、Microsoft 和 IBM 如何使用 AI 進行威脅情報
谷歌每天使用人工智慧分析數十億個安全訊號,以識別潛在威脅。進階建模使 Google 的客戶能夠創建複雜的工作流程和可靠、可重複的回應流程。 透過將 Google 強大的數據分析和運算資源與透過 2022 年收購 Mandiant 獲得的數十年安全知識相結合,客戶可以快速檢測妥協指標、做出回應並減輕威脅。
Mandiant 以其一線專業知識和行業領先的威脅情報而聞名,在過去 18 年裡一直處於打擊安全漏洞的最前沿。透過收購 Mandiant,Google 也獲得了 900 多名顧問和分析師的領域知識和專業知識。 Mandiant 的動態網路防禦解決方案為 Google 提供了對網路威脅的保護,並提供了一支高技能團隊,以在發生安全漏洞和網路攻擊時指導事件回應管理。
近年來雲端運算的流行為網路安全領域帶來了不同的擔憂。雲端環境的互連性質需要強大的網路安全措施來保護資料的完整性、機密性和可用性。
Google Cloud 等組織必須確保敏感資訊的機密性、防止未經授權的存取、防止資料外洩並遵守監管要求。此外,他們還必須防禦不斷變化的威脅,例如惡意軟體、勒索軟體、網路釣魚攻擊以及針對雲端系統的內部威脅。
雲端網路安全不足的後果可能很嚴重。違規可能會導致重大財務損失、聲譽損害、法律影響以及客戶信任的喪失。此外,由於雲端環境通常託管關鍵基礎設施和服務,中斷或未經授權的存取可能會對企業及其客戶產生深遠的影響。為了應對這些挑戰,組織必須優先考慮針對雲端運算環境量身定制的網路安全措施。這包括實施強大的存取控制、加密、網路安全和威脅監控解決方案。定期安全評估、漏洞掃描和員工意識培訓對於有效識別和降低風險也至關重要。
Google Cloud 和 Mandiant 之間的合作將能夠透過 Mandiant Advantage 軟體即服務 (SaaS) 平台大規模提供情報和專業知識,從而補充 Google Cloud 現有的安全產品組合。透過強強聯手,兩個組織的目標是在保護雲端安全、促進雲端運算的採用以及創造更安全的數位環境方面產生重大影響。
Security Copilot,將解決安全分析師面臨的三個關鍵問題:
攻擊複雜性
複雜的系統在攻擊期間可能是有害的。透過整合來自不同來源的資料並將其轉化為簡單、實用的見解,分析師可以在幾分鐘內對事件做出回應,而不是長時間遭受攻擊。
巧妙的逃避策略
面對攻擊者採用的微妙規避策略,Copilot 使用機器學習快速分析訊號。它在早期階段識別威脅並獲得主動指導,以有效應對攻擊者的未來行動。
人才缺口
由於對熟練安全專家的需求遠遠超過供應,人才稀缺構成了挑戰。 Copilot 可以透過詳細的逐步說明來幫助團隊最大限度地提高效率並增強其能力,以降低風險。
Copilot 致力於將機器學習和人類智慧結合到一個緊密結合的系統中,幫助各種規模的組織使用軟體服務有效管理威脅。 Microsoft 使用 AI 來追蹤威脅參與者的活動,並透過監控和分析來自偵測系統的輸入、客戶輸入和回應資料來評估攻擊風險。然後,微軟安全研究中心 (MSRC) 分析師可以使用 AI 和 ML 工具有效驗證和評估獨立研究提交到其錯誤賞金入口網站的影響,從而減輕各個組織的安全負擔。
透過 Security Copilot,Microsoft 讓客戶的安全團隊、威脅追蹤人員和惡意軟體分析師能夠即時協作、調查威脅並根據先前的事件和回應建立行動手冊和程式來縮短回應時間。
IBM 正在其旗艦安全事件和事件管理 (SIEM) 平台中利用 Watson AI 技術的強大功能,推出名為 QRadar Advisor 的解決方案。
那麼它是如何運作的呢? QRadar Advisor 是一款人工智慧助手,可自動將不同的事件連結在一起,幫助安全營運中心 (SOC) 跟上大量訊息,從而幫助分析師關注全局,不會錯誤地忽略某個事件。
安全營運中心 (SOC) 也稱為資訊安全營運中心 (ISOC),是一個由 IT 安全專業人員組成的團隊,他們在內部或外部工作,全天候監控組織的整個 IT 基礎架構。他們的主要目標是即時識別網路安全事件並快速有效地做出回應。
透過自動化 SOC 中的關鍵實踐,QRadar 可以幫助組織應對以下常見挑戰:
更多威脅,但沒有足夠的時間發現它們——有價值的資訊常常被忽視,因為分析師很難將這些點聯繫起來。這使得獲得可行的見解變得具有挑戰性,導致分析師只專注於他們認為有信心的案例。不幸的是,這種方法可能會導致錯過調查並使組織面臨風險。
資訊過載-需要分析的洞察的數量、種類和速度使得確定工作優先順序和確定問題的根本原因變得困難。這項挑戰影響著各種規模的公司。分析師很難迅速拼湊出當地背景,這讓他們被重複性的任務壓得喘不過氣來。
停留時間- 停留時間是指安全事件發生與其偵測和回應之間的持續時間,是安全專家用來評估其保護資料有效性的重要指標。具體來說,兩個關鍵的衡量標準,即MTTD(平均檢測時間)和MTTR(平均反應時間) ,被廣泛用於評估這一成功。儘管有更多解決方案和數據可供使用,但目前的平均停留時間仍可達 50 至 200 天。缺乏對背景資訊進行一致、高品質的調查會導致現有流程崩潰,從而增加組織的風險。
網路安全人才短缺和工作疲勞——由於不斷擴大的威脅情勢和日常營運任務,安全分析師經常發現自己工作過度、人手不足、不堪重負。隨著數據繼續呈指數級增長,技能差距擴大,問題也會變得更大。
SOC 部分自動化的主要優點是它匯集並協調組織的安全工具、實踐和事件回應。這種整合通常會改善預防措施、增強安全策略、更快地偵測威脅以及更快、更有效且更具成本效益地回應安全事件。此外,SOC 可以增強客戶信心並簡化產業、國家和全球隱私法規的合規性。此解決方案可推動一致的回應,優先處理最嚴重的警報,並將攻擊者的操作對應到 MITRE ATT&CK 框架。
MITRE ATT&CK 框架由 MITRE Corporation 開發,是一個綜合知識庫,對攻擊者在網路入侵中使用的現實策略、技術和程序進行了分類。它提供了一種結構化和標準化的方法來分析不同階段的攻擊,並涵蓋網路、端點、雲端和行動平台等各種威脅向量。 ATT&CK 由組織攻擊者策略和技術的矩陣組成,提供對目標和方法的見解。它被網路安全專業人士廣泛使用,增強了威脅偵測和回應能力,幫助組織了解對手的策略、制定有效的防禦措施並提高整體網路彈性。
Google、微軟和 IBM 等知名公司的案例研究表明,人工智慧在威脅情報中的實施已獲得了巨大的關注。其他著名的安全供應商,如思科、CrowdStrike 和 Palo Alto,也正在利用人工智慧和機器學習技術來改進檢測並阻止針對客戶的攻擊。這些組織利用人工智慧來增強其威脅情報能力,使他們能夠分析大量安全訊號、偵測潛在威脅並快速回應。
Google 和 Mandiant 之間的合作將 Google 的資料分析能力與 Mandiant 的專業知識結合在一起,提供先進的網路防禦解決方案和事件回應指導。 Microsoft 的人工智慧工具 Security Copilot 可解決安全分析師面臨的複雜性、規避策略和人才缺口,促進主動威脅管理。 IBM 在 QRadar Advisor 解決方案中利用 Watson AI 技術,自動執行安全營運中心 (SOC) 中的關鍵實踐,以解決資訊過載、停留時間和網路安全人才短缺等挑戰。這些人工智慧驅動的方法與 MITRE ATT&CK 框架的整合進一步增強了組織檢測、回應和防禦網路威脅的能力,最終促進更安全的數位環境。
當您完成本課程中的練習時,請考慮這些案例研究以及 AI 工具如何幫助您的組織解決其中的一些挑戰。
谷歌雲端人工智慧威脅情報
Microsoft 安全副駕駛 IBM 安全
Palo Alto Networks - AI/ML 在安全環境中的價值:超越炒作
