Большинство команд безопасности (SOC) расположены между камнем и тяжелым местом. Игроки угрозы становятся все более эффективными, организованными и более агрессивными. В то же время средняя ИТ -среда стала вдвое сложнее за последние пять лет. Это может означать только то, что мы можем ожидать, что эти среды станут в два раза выше в течение еще пяти.
Таким образом, команды SOC испытывают трудности с тем, чтобы не отставать от подавляющего наводнения предупреждений и расставлять приоритеты на наиболее важных угрозах. Это подкрепляется только хроническим отсутствием персонала.
Команды безопасности оказываются в защите и вынуждены отреагировать на проблемы, а не активно исправлять риски.
Ввиду скорости и масштаба угроз кибербезопасности, которые подавляют подавляющего персонала SOC, ошеломлены, сверхчеловеческие навыки ИИ могут предложить один из лучших шансов не отставать.
Содержание
Растущее бремя для команд SOC
Команды SOC подвергаются неумолимой рабочей нагрузке, которая подчеркивает дисбаланс между злоумышленниками и защитниками. Это всегда был случай, когда злоумышленники должны были быть успешными только один раз, в то время как защитники должны постоянно победить, чтобы защитить свои операции. Но у злоумышленников есть шансы на укладку с помощью новых инструментов и методов в их пользу и выполнить сильно автоматизированные процессы, которые позволяют им улучшить как количество, так и качество своих атак.
Например, инструменты искусственного интеллекта позволяют киберпреступным бандам создавать слегка целенаправленные фишинговые кампании. Вместо того, чтобы вручную искать информацию и пытаться создать убедительные подделки, угрозы с ИИ могут быстро быть через ключевой персонал с потенциальными целями или размещенным там, и может быть заполнен список полезных элементов.
Через несколько минут злоумышленники могут быть вооружены убедительными писем о фишингах, которые предоставляют генерального директора, в котором он просит своего финансового директора утвердить платеж, который разрешает лишь несколько подробностей в качестве упоминания о предстоящей конференции по продажам для компаний.
Даже без этой коварной новой тактики команды SOC были бы полными руками из -за неконтролируемого расширения гибридной ИТ -сред. Сосредоточение внимания на цифровом росте, которое простирается через локальные системы, инфраструктуру облачных вычислений, а также мобильные и IoT -устройства значительно увеличили поверхность атаки. Но Гартнер оценивает, что только 17% компаний могут четко определить большинство своих программных активов. Это затрудняет рассмотрение слабостей, таких как неправильно понятие или отсутствие защитных мер, таких как многофакторная аутентификация (MFA). Кроме того, это отсутствие надежного запаса и обзор означает, что команды SOC часто перегружены объемом предупреждений и стремления искать бесчисленные уведомления с уже ограниченными сотрудниками и ресурсами.
ИИ как изменение игры в кибербезопасности
Чтобы защитить эти сложные среды и не отставать от угроз, команды безопасности должны соответствовать и превышать скорость и эффективность своих злоумышленников. Gartner предсказал, что компании, которые инвестируют в программы для программ непрерывного воздействия угроз, могут сократить нарушения на две трети, в результате чего такие инструменты, как анализ AI Stinging, играют важную роль.
В то время как преступный элемент ИИ быстро интегрировался в его деятельность, многие поставщики безопасности все еще не хотят делать. Это ситуация, аналогичная ситуации в первые дни облака, в которой было много недоверия к их безопасности и надежности. В целом, команды безопасности и поставщики потратили больше времени на размышления об ИИ как о угрозе, чем как о потенциальном инструменте для улучшения их деятельности.
Облачная запись повторяет организации конечных пользователей, независимо от потенциальных рисков, все чаще использования ИИ. Индустрия безопасности не может игнорировать ИИ, но должна попытаться управлять его использованием ответственно.
ИИ предлагает решение для многих проблем, с которыми сталкиваются команды SOC, столкнувшись с пробелами видимости, улучшив обнаружение угроз и повышение эффективности реакции.
Одной из наиболее важных функций является консолидация различных потоков данных из таких инструментов, как системы обнаружения конечных точек, платформы управления идентификацией и облачные мониторы. Этот единый подход снижает усталость от тревоги и предлагает аналитикам, подлежащим реализации, которые улучшают принятие решений.
Реализация ИИ в рабочих процессах безопасности также автоматизирует некоторые из более утомительных процессов и позволяет командам безопасности сосредоточиться на угрозах с высоким приоритетом. Запуская предупреждающие сообщения с небольшим риском, шум, который часто препятствует эффективному процессу принятия решений, удаляется. ИИ может быстро выполнять слабости, которые расставляют приоритеты тех, кто активно эксплуатируется или представляет наибольший риск организации.
ИИ также помогает осажденным командам SOC поддерживать команды SOC некоторых мощных приложений в повышении упреждающей безопасности. Комбинируя данные из локальных среда через частные, облачные и гибридные среды, компании могут идентифицировать скрытые или неправильно настроенные активы, которые создают уязвимости для их цели.
Мы также видели впечатляющие результаты при использовании ИИ для улучшения обнаружения слабых мест нулевого дня. ИИ ускоряет идентификацию поведенческих аномалий и изолирует угрозы, прежде чем расти в полных инцидентах.
Справляться с рисками и проблемами ИИ
Хотя ИИ обладает большим потенциалом для повышения кибербезопасности, поставщики безопасности и команды SOC должны знать о потенциальных рисках.
Мы часто обнаруживаем, что организации не применяют такую же тщательность к своим моделям ИИ, как и для других ключевых систем, поэтому они подвержены злоупотреблениям или эксплуатации. Все инструменты ИИ должны быть тщательно проверены, чтобы оценить, как они взаимодействуют с другими системами, а возможные риски и векторы атаки должны быть нанесены на карту.
Кроме того, злоупотребление инструментами искусственного интеллекта, например, B. загружая конфиденциальные данные на необеспеченные платформы, подвергая компании на нарушения. Строгие руководящие принципы приложения должны быть введены, чтобы все пользователи знали приемлемое использование для всех решений.
Для поставщиков и SOC, которые действуют как MSSP, также важно учитывать потенциальные реакции клиентов при использовании ИИ. Спросите кого -нибудь, если он хочет, чтобы услуга была предоставлена автоматизированной системой или человеческими руками, и вы, несомненно, выберете людей. Поэтому важно спроектировать ИИ как инструмент, который улучшает квалифицированного человеческого персонала для команды SOC, а не как замена человеческого прикосновения.
Благодаря солидному плану реализации, который учитывает все точки зрения, инструменты ИИ могут быть использованы весь свой потенциал без введения ненужных новых рисков.
Будущее SOC с AI-мощным
ИИ оказывается важным инструментом, чтобы помочь командам SOC справиться с растущей сложностью кибербезопасности. Улучшивая видимость, автоматизация повторяющихся задач и приоритетов критических рисков, команды могут работать более эффективно и эффективно.
Поскольку злоумышленники все чаще используют ИИ для улучшения своих методов, организации должны оставаться в том, чтобы оставаться устойчивыми.
Тем не менее, до сих пор нет замены реального человеческого интеллекта, и в сочетании с человеческим опытом ИИ является наиболее сильным и создает совместный подход, который касается как обычных, так и сложных проблем.
Мы собрали список лучшего программного обеспечения для защиты конечных точекПолем
Эта статья была произведена в рамках канала Expert Insights Techradarpro, в котором мы сегодня предлагаем лучшие и умные руководители в технологической индустрии. Взгляды, выраженные здесь, относятся к авторскому и не обязательно мнениям Techradarpro или Future PLC. Если вы заинтересованы в том, чтобы определить больше здесь:
