HOTLINE: +84-283920 8030
Trang chủ
Giới thiệu
Dịch vụ
Giám Sát An Toàn Thông Tin
Kiểm Thử Xâm Nhập
Red Teaming
Điều Tra Và Ứng Cứu Sự Cố
Thông Tin Mối Đe Dọa ANM
Săn Tìm Mối Đe Dọa
Kiểm Tra Cấu Hình Bảo Mật
Giải pháp
Sản phẩm
Tin tức
Blog
Video
Tuyển dụng
Tài liệu
Sự kiện
Liên hệ

Vai trò của NDR trong Next-Gen SOC được hỗ trợ bởi AI

11/10/2024
Khi việc ứng dụng AI trong bảo mật trở nên phổ biến hơn, các nhà lãnh đạo an ninh đang xem xét cách các công cụ AI có thể đóng vai trò trong các trung tâm điều hành an ninh (SOC) thế hệ tiếp theo.

Các ứng dụng AI và học máy có thể giúp giảm gánh nặng cho các đội ngũ an ninh thiếu nhân sự bằng cách tự động hóa một số khía cạnh của việc phát hiện và phản hồi mối đe dọa. Tuy nhiên, các công cụ này chỉ hiệu quả khi có dữ liệu đầu vào tốt. Việc truy cập nhiều dữ liệu là quan trọng, nhưng điều quan trọng hơn là sự đầy đủ và bối cảnh hóa của dữ liệu đó. Đó là nơi các giải pháp phát hiện và phản hồi mạng (NDR) như RevealX™ có thể tạo ra sự khác biệt.

Tầm nhìn về SOC thế hệ tiếp theo được hỗ trợ bởi AI

Có năm cách chính mà AI có thể giúp tăng cường sức mạnh cho các đội ngũ SOC, trong đó ba cách đã có sẵn ngày nay và hai cách còn lại đang ở tương lai gần:

  1. AI có thể tìm kiếm dữ liệu hiệu quả hơn (hiện đã có sẵn).
  2. AI có thể kết nối nhiều phát hiện có liên quan để nhận diện hoạt động độc hại nhanh hơn (hiện đã có sẵn).
  3. Các nhà phân tích có thể sử dụng AI để phát triển kịch bản hoặc quy tắc phát hiện mối đe dọa (hiện đã có sẵn).
  4. ác công cụ AI dựa trên các mô hình ngôn ngữ lớn (LLM) có thể giải thích các phát hiện bằng ngôn ngữ tự nhiên của con người (trong tương lai gần).
  5. Các trợ lý SOC dựa trên AI hoạt động dưới sự giám sát của con người để tự động hóa việc phản hồi sự cố và truy tìm mối đe dọa bằng cách thu thập dữ liệu và bằng chứng, phân tích các phát hiện, đưa ra khuyến nghị và thực thi các quy trình sau khi được con người phê duyệt (trong tương lai gần).

Tiềm năng của một SOC thế hệ mới được hỗ trợ bởi AI là sự kết hợp của năm trường hợp sử dụng này: một công cụ AI có thể đặt các phát hiện trong bối cảnh hạ tầng của tổ chức, giải thích toàn bộ câu chuyện của một cuộc tấn công và giúp các đội ngũ an ninh dự đoán và phản hồi với bất kỳ điều gì xảy ra tiếp theo.

Các nguồn dữ liệu quan trọng cho Next-Gen SOC

Hầu hết dữ liệu SOC đến từ các công cụ phát hiện và phản hồi điểm cuối (EDR). Dữ liệu này rất quan trọng để phát hiện hành vi độc hại, nhưng các tổ chức chỉ có thể thu thập được từ các điểm cuối chạy các tác nhân EDR, và không phải mọi điểm cuối đều có thể chạy tác nhân. Thông tin từ ExtraHop cho thấy có tới 60% các điểm cuối của khách hàng không được trang bị tác nhân EDR, tạo ra những khoảng trống lớn về khả năng hiển thị và phát hiện.

Dữ liệu mạng có thể lấp đầy những khoảng trống về khả năng hiển thị nơi các tổ chức thiếu phạm vi EDR. Nó cũng có thể bổ sung và nâng cao dữ liệu EDR, vì có nhiều loại mối đe dọa và hành vi tấn công như các cuộc tấn công Kerberos Golden Ticket, Cobalt Strike beaconing, di chuyển ngang và mã hóa dữ liệu chia sẻ tệp mà tốt nhất nên được phát hiện trên mạng, thay vì trên các điểm cuối. Sau cùng, mạng là nơi mọi thứ xảy ra: các thiết bị giao tiếp qua mạng và người dùng tương tác với tài nguyên, mỗi người đều để lại dấu vết về hoạt động của mình. Với cái nhìn sâu sắc về mạng, không có chỗ nào cho kẻ xấu ẩn nấp. EDR cho bạn biết ai là các nhân vật trong câu chuyện tấn công. NDR cho bạn thấy mối quan hệ của họ và những gì họ đang nói với nhau (đối thoại của họ). AI giúp các nhà phòng thủ kết hợp hai yếu tố này thành một bản thảo.

Cách RevealX Nâng Cao Hiệu Quả Của AI

Không phải tất cả dữ liệu bảo mật đều có giá trị như nhau. Giống như nhiều thứ khác, chất lượng quan trọng hơn số lượng. Cả tính đầy đủ và bối cảnh của dữ liệu đều giúp AI hiểu rõ hơn về từng phát hiện và điểm dữ liệu, từ đó kết nối chúng thành một câu chuyện tấn công rõ ràng và chính xác. Các phát hiện có bối cảnh cho biết loại thiết bị nào đã bị ảnh hưởng và liệu thiết bị đó có quan trọng hay không, chẳng hạn như một bộ điều khiển miền. Điều này đặc biệt quan trọng đối với các thiết bị quan trọng không có tác nhân điểm cuối, và giúp các nhà phòng thủ và AI xác định mức độ nghiêm trọng của một phát hiện.

RevealX cung cấp bối cảnh đầy đủ này. Với nền tảng trong quản lý hiệu suất mạng (NPM), RevealX sử dụng công nghệ gương gói để thầm lặng ghi lại tất cả các gói dữ liệu chảy qua mạng của tổ chức (từ bắc xuống nam và từ đông sang tây) và tự động phát hiện, phân loại và lập bản đồ các mối phụ thuộc giữa tất cả các tài sản trong hạ tầng mạng của tổ chức. Bên cạnh đó, RevealX áp dụng giải mã chiến lược để có được khả năng hiển thị vào lưu lượng mạng mã hóa. Bằng cách này, RevealX có thể cho bạn biết từng gói dữ liệu đang làm gì ở bất kỳ đâu trên mạng vào bất kỳ thời điểm nào: nó đang đi đâu, từ đâu đến và những gì đang được trao đổi giữa hai bên trong cuộc hội thoại. Nhiều nguồn dữ liệu chất lượng cao hơn đồng nghĩa với nhiều tham số hơn cho các công cụ AI, và nhiều tham số hơn dẫn đến chức năng AI tốt hơn.

Tất nhiên, tất cả dữ liệu trên thế giới sẽ không có ích gì nếu bạn không hành động kịp thời. Đó là một cách khác mà RevealX nâng cao khả năng phản hồi AI. Nhiều SOC phụ thuộc vào SIEM, được thiết kế để hoạt động như các hệ thống ghi chép. SIEM hoạt động tốt trong vai trò này, nhưng chúng không được xây dựng để cung cấp phân tích thời gian thực hiệu quả. Các triển khai SIEM tại chỗ thiếu sức mạnh tính toán có thể mở rộng để tăng tốc độ phát hiện. Ngược lại, RevealX sử dụng ML quy mô đám mây và áp dụng hơn một triệu mô hình dự đoán để phát hiện các mối đe dọa trong thời gian thực mà các công cụ khác bỏ sót.

Thiết lập tiêu chuẩn cho sự đổi mới AI trong an ninh mạng và hiệu suất mạng

Tại ExtraHop, chúng tôi không chỉ nghĩ về cách AI có thể giúp các nhà phân tích SOC điều tra thông minh hơn, ngăn chặn các mối đe dọa nhanh hơn và làm việc hiệu quả hơn. Chúng tôi đang dẫn đầu. Tính năng AI Search Assistant mới, lần đầu tiên xuất hiện trong RevealX, sử dụng một mô hình ngôn ngữ lớn (LLM) để cung cấp các câu trả lời trực quan, có thể hành động cho các truy vấn ngôn ngữ tự nhiên của người dùng. Tính năng này giúp các tổ chức thu hẹp khoảng cách về lĩnh vực và năng lực sản phẩm bằng cách cho phép bất kỳ nhà phân tích an ninh nào cũng có thể nhận được kết quả hữu ích, thông minh, bất kể họ có bao nhiêu kinh nghiệm với RevealX.

AI Search Assistant xây dựng trên một di sản dài lâu của sự đổi mới AI và ML tại ExtraHop. ExtraHop nắm giữ 70 bằng sáng chế về AI, và RevealX tận dụng năm hình thức trí tuệ nhân tạo, bao gồm các mô hình dự đoán, thuật toán đồ thị, học sâu, phân cụm và dự đoán liên kết phân cụm. Cùng với các điều tra thông minh và các tính năng khác như Phân loại Thông minh, AI Search Assistant  kết hợp để cung cấp một bộ công cụ AI mạnh mẽ trong nền tảng RevealX, được thiết kế để tự động hóa quy trình làm việc của SOC và giảm bớt sự mệt mỏi cho các nhà phân tích.

Các ứng dụng hiện tại của học máy (ML) trong nhiều sản phẩm bảo mật tập trung vào việc phát hiện các hoạt động độc hại đơn lẻ. Nhưng một cuộc tấn công là sự kết hợp của nhiều hoạt động độc hại. AI hứa hẹn mang lại điều gì đó tốt hơn. Với dữ liệu và bối cảnh phù hợp, AI phòng thủ sẽ có khả năng tư duy như một hacker, nhưng nhanh hơn rất nhiều. Những kẻ xấu sẽ không có cơ hội.

Nguồn: The Role of NDR in the AI-Powered, Next-Gen SOC

VietSunshine là nhà phân phối của ExtraHop tại Việt Nam, liên hệ với chúng tôi để được tư vấn và hỗ trợ tốt nhất.

an ninh mạng ExtraHop NDR
Khuyến nghị phòng chống ransomware: Framework, Kiến Trúc, Giải Pháp và Dịch Vụ

Có thể bạn quan tâm