Rozwój oraz nowe możliwości napędzane przez AI – pomoc czy zagrożenie dla analityków SOC?

Czy praca analityków SOC może być zastąpiona?

Analitycy biura SOC (Security Operations Center) pełnią kluczową rolę w monitorowaniu i reagowaniu na zagrożenia cybernetyczne. Ich praca polega na ciągłej analizie zdarzeń w infrastrukturze IT, w celu wykrywania anomalii i potencjalnych ataków. Tradycyjnie, analitycy polegali na swoim doświadczeniu i intuicji do szybkiego dostrzegania różnic w analizowanych zdarzeniach, co jednak było ograniczone do informacji, które mogli zauważyć na ekranie.

Obecnie, stają oni przed coraz większymi wyzwaniami, spowodowanymi nie tylko rosnącą liczbą ataków, ale także ich sofistyfikacją. Tradycyjne metody analizy logów są czasochłonne i mogą przeoczyć subtelne anomalie, które często są wczesnymi wskaźnikami ataków. Dlatego rozwój narzędzi wykorzystujących AI do automatyzacji i usprawnienia procesów analizy jest kluczowy dla zwiększenia skuteczności wykrywania zagrożeń.

Empowered AI - Nowe Możliwości

Rozwój modułu Empowered AI w Energy Logserver stanowi przełom w podejściu do analizy logów i wykrywania anomalii. Wykorzystując algorytmy uczenia maszynowego, narzędzie to potrafi analizować ogromne ilości danych w czasie rzeczywistym, wykrywając anomalie, które mogłyby umknąć uwadze ludzkiego operatora. Algorytmy te uczą się na podstawie historii logów, ciągle doskonaląc swoją zdolność do identyfikacji potencjalnych zagrożeń.

Sztuczna inteligencja umożliwia odtworzenie procesu myślowego analityka SOC, lecz z większą dokładnością i prędkością. Nowo opracowana reguła "Anomaly Detection – Text" analizuje każdy log, wykorzystując matematyczne funkcje do oceny prawdopodobieństwa wystąpienia każdego słowa w analizowanym zbiorze. Dzięki temu, nawet najrzadsze słowa, które mogą wskazywać na próbę ataku, są szybko wykrywane i analizowane.

Przykład Wykorzystania

Zobaczmy przykład jednego z wyłapanych wpisów:

Text
205.210.31.32 - - [20/Feb/2024:14:00:37 +0100] "GET / HTTP/1.1" 301 224 "-" "Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers' presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo|paloaltonetworks.com| target="_blank"|scaninfo|paloaltonetworks.com" **0.125**
Rare words
['would', 'ipv4', 'global', 'please', 'across', 'networks', 'company', 'per', 'internet', 'times', '0.125', 'the', 'from', 'a', 'if', 'addresses/domains', 'multiple', '39', 'scans', 'expanse', 'space', 'alto', 'excluded', 'palo', 'send', 'scaninfo|paloaltonetworks.com| target="_blank"|scaninfo|paloaltonetworks.com', 'searches', 'day', 'you', '205.210.31.32', 'identify', 'our', 'presences', 'ip', 'customers']
 
Te detekcje składają się na poniższe wyliczenia:
Słowa rzadkie : 35
Punkty anomalii pojedynczego wyrazu : 10,155
Punkty anomalii całego loga : 330,001
Liczba wystąpień wskazanego loga jako całości : 1

Analiza konkretnego wpisu loga pokazała, jak AI potrafi skutecznie wyłapać i ocenić logi pod kątem rzadkości słów oraz całkowitej punktacji anomalii. W przypadku loga od firmy Palo Alto Networks, mimo iż wpis okazał się niegroźny, system był w stanie zidentyfikować i ocenić potencjalną anomalność dzięki zaawansowanym algorytmom AI.

Przyszłe Kierunki Rozwoju

Dalszy rozwój Energy Logserver zapowiada się obiecująco, z planami wprowadzenia funkcji takich jak harmonogram reguł Empowered AI, alertowanie na bazie anomaly score, real time anomaly score, oraz budowanie biblioteki modeli dla różnych źródeł danych. Harmonogram reguł Empowered AI pozwoli na automatyzację procesów analizy w jeszcze większym stopniu, a funkcja alertowania na bazie anomaly score umożliwi szybsze informowanie o potencjalnych zagrożeniach. Real time anomaly score z kolei pozwoli na bieżące monitorowanie infrastruktury, zapewniając natychmiastową reakcję na anomalie.

Te nadchodzące funkcjonalności mają na celu nie tylko ulepszenie procesów wykrywania i reagowania na zagrożenia, ale również stworzenie społeczności użytkowników, którzy będą współdzielić i korzystać z zapisanych modeli.

Wnioski

Integracja AI w narzędziach cyberbezpieczeństwa, takich jak Energy Logserver, zmienia paradygmat pracy analityków SOC, umożliwiając im szybsze i bardziej precyzyjne wykrywanie zagrożeń. Dzięki zaawansowanym algorytmom i sztucznej inteligencji, możliwe staje się przewidywanie i zapobieganie incydentom zanim te wpłyną negatywnie na infrastrukturę organizacji. Rozwój tych technologii jest kluczowy dla zwiększenia ogólnej cyberodporności w dynamicznie zmieniającym się środowisku zagrożeń.

Aby dowiedzieć się więcej o technologii SIEM i SOAR oraz możliwości wykorzystania AI w rozwiązaniach firmy Energy Logserver skontaktuj się z nami. Chętnie odpowiemy na wszelakie pytania i udzielimy potrzebnych informacji.