Представлено Splunk
Штучний інтелект (ШІ) докорінно змінив економіку кібершахрайства. Сьогодні зловмисники можуть генерувати тисячі переконливих фішингових повідомлень, фейкових ідентичностей та персоналізованих претекстів за той час, поки захисник ще не встиг завершити один цикл затвердження змін. Це новий виклик безпеці: обман став швидшим та дешевшим, тоді як процеси верифікації залишилися незмінними.
Значна частина дискусій щодо використання ШІ для захисту зосереджена на моделях виявлення. Хоча виявлення є важливим, це не єдина вузька ланка. Глибшим обмеженням є доступ до даних: де вони зберігаються, чи доступні вони в потрібний момент, наскільки швидко їх можна корелювати, як довго вони зберігаються, і чи можуть аналітики або автоматизовані системи довіряти отриманій інформації.
Захист в епоху ШІ – це насамперед проблема даних, а вже потім проблема їх виявлення.
Перевага захисника – це правда
Зловмисники можуть дозволити собі брехати в масштабах підприємства. Вони можуть тестувати нескінченні комбінації повідомлень, ідентичностей, доменів та шляхів атак, при цьому більшість цих спроб можуть зазнати невдачі майже без витрат. Захисники не мають такої розкоші. Їхня перевага – це правда: швидке розуміння того, що сталося, де, коли, яка ідентичність була залучена, які активи постраждали, що змінилося, і яким бізнес-процесам може загрожувати небезпека.
Ця правда має бути документована, керована, доступна для аудиту та обґрунтована. Зловмисники використовують ШІ для масштабування обману, імітації, соціальної інженерії та прискорення атак. Захисники потребують ШІ для масштабування верифікації.
Мета полягає не тільки в тому, щоб діяти швидше за зловмисника. Це – діяти таким чином, щоб це могли довіряти як люди, так і машини.
Фрагментовані дані руйнують сучасний захист
Розглянемо підозрілий вхід до системи з облікового запису підрядника. Саме по собі це лише чергова аномалія автентифікації. Щоб зрозуміти, чи має це значення, команда безпеки може потребувати історії ідентифікації, даних про активність на кінцевих точках, логів доступу до хмари, записів з системи обліку заявок, інформації про власників активів, змін конфігурації, мережевої телеметрії та бізнес-контексту.
Якщо ці записи зберігаються в різних інструментах, мають різний термін зберігання або для їх отримання потрібна співпраця кількох команд, то захисники насправді не розслідують інцидент. Вони ведуть переговори зі своїм власним середовищем даних.
Коли до даних можна отримати доступ “на місці” та швидко їх корелювати, питання вже не просто в тому, чи виглядає вхід незвичним. Воно зводиться до того, чи має підприємство достатньо доказів, у достатньому контексті, щоб вжити заходів, які воно зможе обґрунтувати.
Цей виклик стає ще більш нагальним з появою ШІ-асистентів та агентів. ШІ може аналізувати лише те, що він може отримати вчасно, щоб це мало значення. Якщо дані є неповними, застарілими, фрагментованими, недоступними або позбавленими контексту, ШІ не створює правду. Він прискорює невизначеність.
Система обліку має стати площиною контролю безпеки
Роками підприємства розглядали платформи безпеки, SIEM-системи та озера даних як пасивні сховища: місця для зберігання даних для подальшого пошуку та аналізу. Ця модель вже недостатня.
Наразі організаціям потрібна площина контролю безпеки: шар, який пов’язує те, що сталося, що це означає, і що організація має право з цим робити. З точки зору архітектури, він поєднує необроблені машиннi дані, бізнес-контекст та політику. Він не просто зберігає докази. Він робить докази придатними для прийняття рішень та дій, які мають бути пояснюваними та надійними.
На практиці це означає добре виконувати чотири завдання: збереження доказів, доступ до даних незалежно від місця їх зберігання, додавання бізнес-контексту та управління діями. Більше про кожне з них – нижче.
Стара система обліку відповідала на одне запитання: Який офіційний запис?
Площина контролю безпеки відповідає на запитання, важливі з операційної точки зору: Що сталося? Що це означає? Які докази підтверджують цей висновок? І які дії ми можемо довіряти?
ШІ не зменшує потребу в авторитетних записах. Він підвищує стандарти того, що ці записи повинні виконувати.
Площина контролю безпеки повинна виконувати чотири завдання
-
Зберігати докази. Логи, метрики, трасування, події, записи про ідентифікацію, зміни конфігурації, заявки та стан активів – все це допомагає встановити, що сталося. Їхня цінність часто стає зрозумілою лише після початку інциденту.
-
Забезпечувати доступ до даних незалежно від їх місцезнаходження. Дані, що стосуються безпеки, вже розкидані по об’єктних сховищах, хмарних платформах, операційних інструментах та бізнес-системах. Переміщення кожного байта в одне місце часто є занадто повільним, занадто дорогим і занадто складним для управління. Кращою моделлю є прискорення аналітики до даних.
-
Додавати бізнес-контекст. Кореляція машинних даних з бізнес-інформацією перетворює “аномалію на хості X” на “система, що підтримує платіжні послуги для топ-клієнтів, зазнає спроб сканування”. Саме це дозволяє організаціям правильно визначати пріоритети.
-
Керувати діями. В епоху агентів системи робитимуть більше, ніж просто узагальнювати інциденти. Вони збагачуватимуть сповіщення, відкриватимуть справи, запускатимуть робочі процеси, ізолюватимуть активи, оновлюватимуть політики та ескалуватимуть рішення. Підприємствам потрібно знати, які докази використовував агент, яка політика керувала дією, чи дотримувалася вона встановлених меж, і як рішення може бути переглянуте згодом.
Реальна проблема SOC – це не брак даних
Сучасні Центри операцій з безпеки (SOC) не страждають від браку даних. Вони страждають від браку доступного контексту. Згідно зі звітом Splunk State of Security 2025, аналітики SOC продовжують стикатися з надмірною кількістю сповіщень (59%), занадто великою кількістю хибних спрацьовувань (55%) та сповіщеннями, яким бракує контексту (46%). Проблема полягає не в обсязі даних. А в складності перетворення фрагментованих сигналів на надійні рішення.
Сьогодні аналітики змушені вручну зшивати контекст, перемикатися між непов’язаними інструментами та приймати рішення з високими ставками без повної картини вчасно. Навіть із покращенням ШІ, результати все ще залежать від того, чи готові люди схвалювати зміни в розрізнених середовищах. Це створює щоденну кризу контексту. Команди змушені приймати відповідальні рішення на основі даних, які вони не можуть легко побачити, корелювати чи довіряти. Результатом є затримки, непослідовність, втрачені можливості та непотрібний ризик.
Надійна дія – це стійка перевага
Архітектура Data Fabric (мережі даних) пропонує шлях вперед, створюючи уніфікований, інтелектуальний шар, що об’єднує джерела даних, охоплюючи SecOps, ITOps та NetOps. Мета – не централізація заради самої централізації. Це – руйнування ізоляції та надання глибокого контекстного аналізу зі швидкістю, яку вимагають операції, керовані ШІ.
Це скоріше операційна модель, ніж продукт. Захист, керований ШІ, залежить від фундаменту, який може зберігати докази, отримувати доступ до даних у місці їх зберігання, додавати контекст та підтримувати можливість перегляду зв’язку між даними, рішенням та дією. Це архітектурний зсув, що лежить в основі Cisco Data Fabric, що працює на базі Splunk Platform, яка об’єднує машиннi дані, федерацію, бізнес-контекст, управління та походження, щоб допомогти командам перейти від сигналу до надійних дій.
Зловмисники продовжуватимуть робити обман дешевшим, швидшим і більш персоналізованим. Захисники не виграють цю гонку, генеруючи більше шуму. Вони перемагають, роблячи правду швидшою та обґрунтовуючи кожну дію доказами, яким можуть довіряти люди та машини.
Дізнайтеся більше про Cisco Data Fabric, що працює на базі Splunk Platform.
Сет Брікман (Seth Brickman) – віце-президент, Global Product – Splunk Platform, Cisco.
Спонсоровані статті – це контент, створений компанією, яка або платить за публікацію, або має ділові стосунки з VentureBeat, і вони завжди чітко позначені. Для отримання додаткової інформації звертайтеся до [email protected].
Як захиститися (Порада ІТ-Блогу): Активно впроваджуйте двофакторну автентифікацію (2FA) для всіх облікових записів, особливо для тих, що мають доступ до критично важливих даних. Регулярно оновлюйте програмне забезпечення та операційні системи, щоб усунути відомі вразливості, які зловмисники можуть використовувати.
Подробиці можна знайти на сайті: venturebeat.com