KZ
Ru
Іс-шаралар 0
Іздеу нәтижесі:
Неліктен жасанды интеллект телеметрияны өздігінен басқармауы керек?- сурет 1

Неліктен жасанды интеллект телеметрияны өздігінен басқармауы керек?

Ақпараттық қауіпсіздік бойынша әрбір профильдік конференцияда бірдей тезис айтылады: деректермен жүмыс істеуді жасанды интеллектке тапсырсаңыз, адами факторды жойып, жалпы тиімділікті арттырасыз. Қауіпсіздік командаларының бірі ЖИ агент арқылы журналдарды сүзуге автоматтандырғанда, деректер көлемі бірден 40% азайып, шығындар пропорционалды түрде төмендеді. Алайда алты ай өткен соң нақты инцидентті тексеру кезінде алгоритмнің DNS журналдарының басымдықтарын азайтып, олардың бастапқы көлемінің тек 5% қалдырып, қылмыстық іздеуге қауіпті босаңдықтар туғызғаны анықталды. Бұл тиісінше қорғау бағдарламасының бүкіл жойылу әсер радиусын көрсетеді: телеметрия басқаруын делегирлеу дәлдікті қажет етеді, мұнда ЖИ тек кеңес береді, ал адам қабылдайды.

Неліктен жасанды интеллект телеметрияны өздігінен басқармауы керек? - сурет 1
ФИЛЬТРАЦИЯ

Керекті деректерді жою немесе сақтау

Автоматтандыру құралдары ақпараттық шуды, қайталанатын оқиғаларды және артық жолдарды оңай анықтайды. Сақтау көлемін қысқартуға кандидаттарды анықтау жұмысы модельдерге бірнеше минут ішінде емес, апта бойы қолмен аудит жүргізбестен жұмыс істеуге мүмкіндік береді. Бірақ алгоритм ақпаратты жұмыс конвейерінен шығаруға өздігінен шешім қабылдамауы керек.

«Құнсыз» оқиға дәл сол сәтте маңызды емес болып қала береді, бірақ тергеу үшін бір кілтке айналған кезде маңызды болады. Егер алгоритм телеметрияны жою бойынша біржақты шешімдер қабылдаса, инциденттен кейін ғана анықталатын соқыр аймақтары болады. Cribl компаниясында жасанды интеллект мүмкіндіктерді анықтаушы ретінде жұмыс істеуі керек, деп атап өтілді. Маман бұл ұсыныстарды міндетті түрде тексереді, әр жоспарланған жоюды қауіптерді анықтау логикасына сәйкестілігін тексереді, және өзгертулерді қайтару механизмі қарапайым және болжамды болуы тиіс.

МАПИНГ

Деректер схемаларын өзгертумен мағыналарды өзгерту

Шикі телеметрияны OCSF сияқты стандарттарға сәйкестендіру жүйелі жұмыс, мұнда машина оқыту жүйелері жоғары тиімділік көрсетеді, жаңа дереккөздерді сағаттар ішінде қосуды қамтамасыз етеді. Бірақ басты тәуекел — әзірлеушілердің автоматикада қателік болмайтынына жалған сенімі.

Аутентификация оқиғасы дұрыс жіктелмеуі мүмкін, сондықтан күшпен шабуылдарды анықтау ешқашан белсендірілмейді. Сырттай схема дұрыс көрінуі мүмкін, бірақ жүйелік деңгейде мәнді бұрмалайды — мысалы, прокси-сервердің мәні нақты көздер орнына шығып тұрған кезде. Бұл барлық байланысты жүйелердің жұмыс логикасын бұзады. Сондықтан алгоритмдер тек мапинг нұсқаларын ұсыну керек. Схеманы бекіту — SIEM логикасын тікелей жақсартып отыратын өрістер үшін маңызды бақылау кезеңі болып табылады.

СӘЙКЕСТІК

Ақпаратты маскировкалау және сақтау жөніндегі шешімдер

Модельдер күтілмеген жерлерден сезімтал деректерді таба білу (журналдарын наладау кезінде API кілттері немесе DLP ережелерінің сыртындағы құпия ақпарат) өте пайдалы болып табылады. Бірақ қарапайым табылған ақпарат деректерді басқару саясатына сәйкес емес және реттеуші контекстті ескермейді.

Тым көп маскировкалау талдаушыларды зерттеулер үшін қажетті контексттен айырса, жеткіліксіз — сәйкестікті бұзып, заңдық қауіптіліктер тудырады. Технологиялар деректерді өңдеу туралы келісімдер бөлшектерін білмейді және компанияның заң бөлімшесімен екіжақты келісілген бизнесті ерекшеліктерді ескере алмайды. Бұл үлгілерді іздеу емес, заңдық салдарлары бар шешімдер. Саясатты құру әрдайым мамандардың прерогативасы болып қалады, және кез келген маскировка немесе сақтау мерзіміндегі өзгерістер инфрақұрылымның маңызды элементтерін өзгертетіндей қатаң аудиттен өтеді.

МАРШРУТИЗАЦИЯ

Конвейерлер мен жұмыс орталарын өзгерту

Кейбір өндірушілер мәтіндік сұраулар арқылы деректер конвейерлерінің толық автоматтандыру идеясын насихаттайды. Бірақ инженерлік практикада тексерілмеген кодты орналастыру немесе брандмауэр конфигурациясын рецензияламай өзгерту әдет емес. Телеметрия конвейерлері аналогиялық деңгейдегі корпорациялық тәуекелді иеленеді.

Машиналық алгоритмдер конфигурация жобаларын құруға, қалыпты өрнектер жазуға және қателерді локализациялау үшін идеалды. Бірақ «жылдамдық» аргументі жұмыс ортасында автоматты орналастыруды негіздейді. Маршрутизациядағы кішігірім өзгеріс есептік жазба жинақтамаларын қауіпсіздік платформасына жіберуді тоқтатып, инфрақұрылымды практикада осал етеді. Сондықтан әрбір жасалған конфигурация инженерлермен сынақтан өтеді және ұйым архитектоникалық жаңартулардың хронологиясын тіркеуге жауапты болуы керек.

ТЕРГЕУ

Инциденттердің қиындығын бағалау және қорытындылар

Машина оқыту технологиялары бастапқы деректер жинауды бірнеше сағаттан бірнеше минутқа дейін қысқарта алады, сұраулар жасап, дәлелдерді байланыстыруға мүмкіндік береді. Және осы мүмкіндіктерді агрессивті түрде пайдалану керек. Бірақ қауіптерді бағалау кезеңі мекеменің жадын түсінуді талап етеді.

Алгоритм жақында ғана сатып алынған, бірақ ресми түрде жарияланбаған компанияның «төмен басымдықты» ескертулерінің жиынтығы екенін түсінбейді. Ол PowerShell пәрмендерінің орындаулары өткен жылы Red Team жаттығуларының бір бөлігі ме, жоқ әлде шабуылға ұшыраған сервер босатылған қызметкерге тиесілі ме соны анықтай алмайды. Бұл бизнес-контекст деректер конвейерінен тыс сақталады. Инциденттің қиындығы деңгейін соңғы анықтау әрқашан аналитиктердің міндеті болып қала береді: автоматтандырылған агенттердің жұмыстарының нәтижелері шешім қабылдау үшін бастапқы деректер ғана болып табылады.

Киберқауіпсіздік деректер операцияларында жаңа технологияларды қолданудың орындылығы туралы талқылау енді өзекті емес — олар қазіргі салалық процестердің ажырамас бөлігіне айналды. Ең басты мәселе — ықтималды салдары үшін кім жауапты болады. Парсинг пен үшелеуге интеллектуалды көмекшілерді қолданып жылдамдық ұтатын командалар үлкен жетістікке жетеді. Бірақ алгоритмдерге көлеңкелі түрде фильтрацияны басқаруға және тергеулерде шындық орнатуға мүмкіндік бергендер бақылауды азайтуға тап болады.

iIT Distribution компаниясы киберқауіпсіздік бойынша дистрибьютор және сарапшы серіктес ретінде бизнеске сенімді деректерді басқару архитектурасын құруға көмектеседі. iITD мамандары қажеттіліктерді бағалаудан бастап әлемдік өндірушілердің шешімдерін енгізуге дейінгі жобаларды толық қолдауды қамтамасыз етеді. Таратушының техникалық командасы бүкіл инфрақұрылымды талдап, тәуелсіз команда серіктесінің бір бөлігі ретінде әрбір жағдайды жеке-жеке әзірлеп, тұрақты, басқарылатын және қауіпсіз ИТ-ортаны құруға атсалысады.

Жаңалықтар

Тақырыбыңыз бойынша ағымдағы жаңалықтар

Барлық жаңалықтар
Барлық жаңалықтар