События 0
Ru
События 0
Результат поиска:
Почему ИИ не должен самостоятельно управлять телеметрией- image 1

Почему ИИ не должен самостоятельно управлять телеметрией

На каждой профильной конференции по информационной безопасности звучит один и тот же тезис: поручите искусственному интеллекту рутинную работу с данными, устраните человеческий фактор и повысьте общую эффективность. Когда одна из команд безопасности автоматизировала фильтрацию журналов с помощью ИИ-агента, объем данных мгновенно сократился на 40%, а затраты пропорционально снизились. Однако через полгода в ходе расследования реального инцидента выяснилось, что алгоритм самостоятельно снизил приоритет журналов DNS для части конечных точек, оставив только 5% от начального объема и создав критические пробелы в криминалистической цепочке. Это наглядно демонстрирует разрушительный радиус поражения всей программы защиты: делегирование управления телеметрией требует прецизионности, где ИИ лишь рекомендует, а человек — утверждает.

Почему ИИ не должен самостоятельно управлять телеметрией - изображение 1
ФИЛЬТРАЦИЯ

Удаление или сохранение релевантных данных

Инструменты автоматизации отлично распознают информационный шум, повторяющиеся события и избыточные поля. Работа по выявлению кандидатов на сокращение объемов хранения занимает у модели считанные минуты вместо недель ручного аудита. Однако алгоритм не должен самостоятельно принимать решения об удалении информации из рабочего конвейера.

«Малозначительное» событие остается неважным ровно до момента, пока не становится единственным ключом к расследованию. Если алгоритм принимает единоличные решения об отбрасывании телеметрии, он создает слепые зоны, которые проявятся только после инцидента. В компании Cribl подчеркивают, что искусственный интеллект должен выступать только как идентификатор возможностей. Специалист обязательно проверяет эти предложения, тестируя каждое запланированное удаление на соответствие логике выявления угроз, а механизм отката изменений должен оставаться простым и предсказуемым.

МАССИРОВАНИЕ

Изменение значения через новые схемы данных

Сопоставление сырой телеметрии со стандартами вроде OCSF является рутинной задачей, где системы машинного обучения демонстрируют высокую эффективность, позволяя подключать новые источники за часы. Однако главным риском здесь является ложная уверенность разработчиков в безошибочности автоматики.

Неправильно классифицированное событие аутентификации может никогда не активировать обнаружение атак методом перебора (brute-force). Внешне схема может выглядеть корректной, но на системном уровне суть искажается — например, когда атрибут исходного IP-адреса получает значение прокси-сервера вместо реального источника. В результате логика работы всех связанных систем деградирует. Поэтому алгоритмы должны только предлагать варианты массирования. Утверждение схемы является критическим контрольным этапом, особенно для тех полей, которые непосредственно питают логику SIEM.

КОМПЛАЕНС

Решение о маскировании и сохранении информации

Способность моделей находить чувствительные данные там, где на них не ожидали (ключи API в журналах отладки или конфиденциальную информацию вне внимания правил DLP), является чрезвычайно полезной. Но простое обнаружение не тождественно политике управления данными и не учитывает регуляторного контекста.

Чрезмерное скрытие лишает аналитиков нужного контекста для расследований, а недостаточное — нарушает комплаенс и создает юридические угрозы. Технологии не осознают деталей соглашений об обработке данных и не знают о бизнес-исключениях, согласованных Юридическим департаментом компании. Это не задачи на поиск паттернов, а решения с правовыми последствиями. Формирование политик всегда остается прерогативой специалистов, а любые изменения в правилах маскирования или сроках хранения проходят такую же строгую проверку, как и модификация критических элементов инфраструктуры.

МАРШРУТИЗАЦИЯ

Изменения в конвейерах и рабочих средах

Некоторые производители продвигают идею полной автоматизации настроек конвейера данных с помощью текстовых запросов. Однако в инженерной практике не принято выполнять развертывание непроверенного кода или изменять конфигурацию брандмауэра без рецензирования. Конвейеры телеметрии несут аналогичный уровень корпоративного риска.

Машинные алгоритмы идеально подходят для создания черновиков конфигураций, написания регулярных выражений и локализации ошибок. Однако аргумент «скорости» не оправдывает автоматическое развертывание в рабочей среде. Небольшое изменение маршрутизации, которое незаметно остановит пересылку журналов учетных записей на платформу безопасности, сделает инфраструктуру уязвимой на практике. Именно поэтому любые сгенерированные конфигурации тестируются инженерами, а организация обязана фиксировать хронологию архитектурных обновлений.

РАССЛЕДОВАНИЕ

Оценка критичности инцидентов и выводы

Технологии машинного обучения способны сжимать часы первичного сбора информации до нескольких минут, генерировать запросы и коррелировать доказательства. И эти возможности действительно стоит использовать агрессивно. Но этап оценки рисков требует понимания институциональной памяти компании.

Алгоритм не понимает, что массив «низкоприоритетных» уведомлений поступил из систем недавно приобретенной компании, о которой еще не объявлено официально. Он не способен точно отличить, является ли выполнение команд PowerShell частью прошлогодних учений Red Team, или принадлежало ли атакованному серверу уволенному сотруднику. Этот бизнес-контекст сохраняется вне конвейера данных. Финальное определение уровня критичности инцидента всегда является задачей аналитиков: результаты работы автоматизированных агентов являются лишь входными данными для принятия решений.

Дискуссия о целесообразности использования новейших технологий в операциях с данными кибербезопасности уже не актуальна — они стали неотъемлемой частью современных отраслевых процессов. Главный вопрос сводится к тому, кто понесет ответственность за возможные последствия. Команды, которые используют интеллектуальных помощников для парсинга и ускорения триажа, выигрывают в скорости. Те же, кто позволяет алгоритмам автоматически управлять фильтрацией и устанавливать истину в расследованиях, неизбежно столкнутся с потерей контроля.

Компания iIT Distribution как дистрибьютор и экспертный партнер по кибербезопасности помогает бизнесу выстроить надежную архитектуру управления данными. Специалисты iITD обеспечивают полный сопровождение проектов от оценки потребностей до внедрения решений мировых вендоров (в частности Cribl). Техническая команда дистрибьютора предоставляет всесторонние консультации, анализирует инфраструктуру и становится частью команды партнера, индивидуально прорабатывая каждый случай для построения устойчивой, управляемой и безопасной ИТ-среды.

НОВОСТИ

Текущие новости по вашей теме

Все новости
Все новости