Wiadomości firmowe

Rozwój oraz nowe możliwości napędzane przez AI – pomoc czy zagrożenie dla analityków SOC?

06.03.2024
Wykorzystanie AI w narzędziach cyberbezpieczeństwa staje się coraz bardziej powszechne, a przykład rozwoju Energy Logserver doskonale obrazuje, jak zaawansowane technologie mogą rewolucjonizować pracę analityków w dziedzinie bezpieczeństwa informacji. Narzędzia te nie tylko usprawniają wykrywanie zagrożeń, ale również zwiększają skuteczność i szybkość reakcji na incydenty cybernetyczne.

Czy praca analityków SOC może być zastąpiona?

Analitycy biura SOC (Security Operations Center) pełnią kluczową rolę w monitorowaniu i reagowaniu na zagrożenia cybernetyczne. Ich praca polega na ciągłej analizie zdarzeń w infrastrukturze IT, w celu wykrywania anomalii i potencjalnych ataków. Tradycyjnie, analitycy polegali na swoim doświadczeniu i intuicji do szybkiego dostrzegania różnic w analizowanych zdarzeniach, co jednak było ograniczone do informacji, które mogli zauważyć na ekranie.

Obecnie, stają oni przed coraz większymi wyzwaniami, spowodowanymi nie tylko rosnącą liczbą ataków, ale także ich sofistyfikacją. Tradycyjne metody analizy logów są czasochłonne i mogą przeoczyć subtelne anomalie, które często są wczesnymi wskaźnikami ataków. Dlatego rozwój narzędzi wykorzystujących AI do automatyzacji i usprawnienia procesów analizy jest kluczowy dla zwiększenia skuteczności wykrywania zagrożeń.

 

Empowered AI - Nowe Możliwości

Rozwój modułu Empowered AI w Energy Logserver stanowi przełom w podejściu do analizy logów i wykrywania anomalii. Wykorzystując algorytmy uczenia maszynowego, narzędzie to potrafi analizować ogromne ilości danych w czasie rzeczywistym, wykrywając anomalie, które mogłyby umknąć uwadze ludzkiego operatora. Algorytmy te uczą się na podstawie historii logów, ciągle doskonaląc swoją zdolność do identyfikacji potencjalnych zagrożeń.

Sztuczna inteligencja umożliwia odtworzenie procesu myślowego analityka SOC, lecz z większą dokładnością i prędkością. Nowo opracowana reguła "Anomaly Detection – Text" analizuje każdy log, wykorzystując matematyczne funkcje do oceny prawdopodobieństwa wystąpienia każdego słowa w analizowanym zbiorze. Dzięki temu, nawet najrzadsze słowa, które mogą wskazywać na próbę ataku, są szybko wykrywane i analizowane.

 

Przykład Wykorzystania

Zobaczmy przykład jednego z wyłapanych wpisów:

Text
205.210.31.32 - - [20/Feb/2024:14:00:37 +0100] "GET / HTTP/1.1" 301 224 "-" "Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers' presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo|paloaltonetworks.com| target="_blank"|scaninfo|paloaltonetworks.com" **0.125**
Rare words
['would', 'ipv4', 'global', 'please', 'across', 'networks', 'company', 'per', 'internet', 'times', '0.125', 'the', 'from', 'a', 'if', 'addresses/domains', 'multiple', '39', 'scans', 'expanse', 'space', 'alto', 'excluded', 'palo', 'send', 'scaninfo|paloaltonetworks.com| target="_blank"|scaninfo|paloaltonetworks.com', 'searches', 'day', 'you', '205.210.31.32', 'identify', 'our', 'presences', 'ip', 'customers']
 
Te detekcje składają się na poniższe wyliczenia:
Słowa rzadkie : 35
Punkty anomalii pojedynczego wyrazu : 10,155
Punkty anomalii całego loga : 330,001
Liczba wystąpień wskazanego loga jako całości : 1

 

Analiza konkretnego wpisu loga pokazała, jak AI potrafi skutecznie wyłapać i ocenić logi pod kątem rzadkości słów oraz całkowitej punktacji anomalii. W przypadku loga od firmy Palo Alto Networks, mimo iż wpis okazał się niegroźny, system był w stanie zidentyfikować i ocenić potencjalną anomalność dzięki zaawansowanym algorytmom AI.

 

Przyszłe Kierunki Rozwoju

Dalszy rozwój Energy Logserver zapowiada się obiecująco, z planami wprowadzenia funkcji takich jak harmonogram reguł Empowered AI, alertowanie na bazie anomaly score, real time anomaly score, oraz budowanie biblioteki modeli dla różnych źródeł danych. Harmonogram reguł Empowered AI pozwoli na automatyzację procesów analizy w jeszcze większym stopniu, a funkcja alertowania na bazie anomaly score umożliwi szybsze informowanie o potencjalnych zagrożeniach. Real time anomaly score z kolei pozwoli na bieżące monitorowanie infrastruktury, zapewniając natychmiastową reakcję na anomalie.

Te nadchodzące funkcjonalności mają na celu nie tylko ulepszenie procesów wykrywania i reagowania na zagrożenia, ale również stworzenie społeczności użytkowników, którzy będą współdzielić i korzystać z zapisanych modeli.

 

Wnioski

Integracja AI w narzędziach cyberbezpieczeństwa, takich jak Energy Logserver, zmienia paradygmat pracy analityków SOC, umożliwiając im szybsze i bardziej precyzyjne wykrywanie zagrożeń. Dzięki zaawansowanym algorytmom i sztucznej inteligencji, możliwe staje się przewidywanie i zapobieganie incydentom zanim te wpłyną negatywnie na infrastrukturę organizacji. Rozwój tych technologii jest kluczowy dla zwiększenia ogólnej cyberodporności w dynamicznie zmieniającym się środowisku zagrożeń.

Aby dowiedzieć się więcej o technologii SIEM i SOAR oraz możliwości wykorzystania AI w rozwiązaniach firmy Energy Logserver skontaktuj się z nami. Chętnie odpowiemy na wszelakie pytania i udzielimy potrzebnych informacji.

Wiadomości firmowe Jak media społecznościowe zagrażają bezpieczeństwu informacji?

Współczesne firmy działają w bardzo złożonych środowiskach bezpieczeństwa. Z jednej strony rośnie krajobraz zagrożenia, a cyberprzestępcy stają się coraz bardziej wyrafinowani w swoich atakach w miarę uzyskiwania dostępu do nowych narzędzi (np. sztucznej inteligencji) czy ofert (hakowanie jako usługa). Z drugiej strony organizacje mają do czynienia z danymi bardziej wrażliwymi niż kiedykolwiek. To sprawiło, że zaczęliśmy się domagać lepszych praktyk w zakresie bezpieczeństwa. czytaj więcej

Wiadomości firmowe Szyfrowanie plików i wiadomości email: przewodnik dotyczący zabezpieczenia poufnych informacji

W dzisiejszych czasach ważne i poufne informacje są stale przesyłane za pomocą różnych urządzeń elektronicznych i sieci. Niezależnie od tego, czy są to dane osobowe, finansowe czy biznesowe, muszą być one dobrze zabezpieczone i chronione przed nieautoryzowanym dostępem. Jednym z najskuteczniejszych sposobów na to jest szyfrowanie. czytaj więcej

Wiadomości firmowe Co oznacza dyrektywa NIS 2 dla dostawców usług zarządzalnych?

Rosnąca liczba incydentów bezpieczeństwa skłoniła UE do przyjrzenia się branżom wyjątkowo narażonym na ataki. Problematyczne były sektory takie jak energetyka, transport czy finanse. W celu poprawienia bezpieczeństwa narodziła się inicjatywa NIS. czytaj więcej

Wiadomości firmowe Jak zapewnić firmie zgodność z dyrektywą NIS 2?

Cyberataki stanowią jedno z największych współczesnych zagrożeń. Hakerzy jednym kliknięciem są w stanie sparaliżować usługi publiczne kluczowe dla funkcjonowania społeczeństwa. Liczba ataków stale rośnie, w związku z czym zapewnienie bezpieczeństwa stało się priorytetem. W tym celu w życie weszła dyrektywa NIS 2 (Network and Information System Directive). Przedsiębiorstwa funkcjonujące na rynkach UE są zobowiązane do wprowadzenia różnych rozwiązań technicznych, operacyjnych i organizacyjnych. czytaj więcej

Wiadomości firmowe Fakty i mity na temat filtrowania DNS

Filtrowanie DNS zapewnia ochronę przed zagrożeniami internetowymi takimi jak wirusy, złośliwe oprogramowanie, ransomware, ataki phishingowe i botnety. System nazw domen (DNS) sprawia, że możemy korzystać z Internetu poprzez zapamiętywanie nazw, a komputery i inne sprzęty tłumaczą je na odczytywalne maszynowo adresy IP. Chociaż koncepcja filtrowania DNS jest prosta i łatwa do zrozumienia, można mieć na jej temat błędne wyobrażenia, które mogą wpływać na jego niezawodne i bezpieczne działanie. czytaj więcej

Wiadomości firmowe Mariusz Rzepka nowym Dyrektorem d/s Rozwoju Biznesu w Grupie Bakotech

Rynek zarządzanych usług IT świadczonych przez wyspecjalizowanych partnerów MSP (ang. Managed Service Provider) cieszy się w Polsce i regionie rosnącą popularnością. Aby lepiej dostosować swoją strategię biznesową do sytuacji rynkowej, do CEEcloud Services Distribution, spółki celowej w Grupie Bakotech specjalizującej się w dystrybucji usług MSP, dołączył od 1 lipca 2023 roku Mariusz Rzepka, który objął stanowisko Dyrektora d/s Rozwoju Biznesu. czytaj więcej

Wiadomości firmowe Pięć wskazówek, jak zaplanować udaną migrację systemu operacyjnego

Ze względu na liczne zależności aplikacji, każdy projekt migracji danych stawia wiele wyzwań. Choć każdy z nich jest wyjątkowy, istnieje ryzyko nakładania się. W takiej sytuacji niezbędne jest zidentyfikowanie powiązań aplikacji i punktów integracji, a także stworzenie spójnego przepływu pracy w celu pomniejszenia ich. Warte podkreślenia jest to, że nie chodzi o same aplikacje. Równie istotne jest posiadanie solidnego, realistycznego planu migracji danych. czytaj więcej

Wiadomości firmowe 7 kluczowych kroków do wdrożenia Zero Trust

Cyberprzestępcy nigdy nie śpią. Codziennie możemy usłyszeć o atakach na firmy programistyczne, rządy, strony internetowe lotnisk, hotele, szpitale, uniwersytety czy platformy mediów społecznościowych. Na początku 2023 roku atak ransomware na dużą firmę spożywczą zmusił ją do zamknięcia zakładów produkcyjnych i wstrzymania dostaw żywności do sklepów. Jak więc widzimy, konsekwencje napaści mogą być ogromne. czytaj więcej

Wiadomości firmowe Pięć najlepszych praktyk wdrażania bezpiecznej sieci SD-WAN

Sieci korporacyjne szybko stają się coraz bardziej złożone oraz rozproszone. Wraz z rozwojem przetwarzania w chmurze, pracy zdalnej oraz urządzeń mobilnych firmy mają coraz więcej użytkowników, a także zasoby IT, które wymagają łączności.
Definiowana programowo sieć WAN (SD-WAN) tworzy wydajne, korporacyjne połączenie  oparte na bazie już istniejących sieci. Infrastruktura SD-WAN musi być starannie zaprojektowana i wdrożona, aby zapewnić organizacji pełnię swoich możliwości. czytaj więcej

Wiadomości firmowe Czym jest EDR i dlaczego powinieneś z niego korzystać w swojej firmie?

W dzisiejszych czasach tradycyjne zabezpieczenia przed cyberprzestępcami to za mało, aby móc czuć się bezpiecznie. Szczególnie cierpią na tym małe i średnie firmy, które są najczęściej narażane na ataki ransomware. Najbardziej niepokojący zdaje się być jednak fakt, że na celowniku hakerów znajdują się głównie małe i średnie firmy, które stanowią ponad 80% ofiar oprogramowania ransomware. Skutki tych ataków bywają tragiczne: ponad 60% małych przedsiębiorstw, które ich doświadczyło, upadło. czytaj więcej

Wiadomości firmowe Jak media społecznościowe zagrażają bezpieczeństwu informacji?

Współczesne firmy działają w bardzo złożonych środowiskach bezpieczeństwa. Z jednej strony rośnie krajobraz zagrożenia, a cyberprzestępcy stają się coraz bardziej wyrafinowani w swoich atakach w miarę uzyskiwania dostępu do nowych narzędzi (np. sztucznej inteligencji) czy ofert (hakowanie jako usługa). Z drugiej strony organizacje mają do czynienia z danymi bardziej wrażliwymi niż kiedykolwiek. To sprawiło, że zaczęliśmy się domagać lepszych praktyk w zakresie bezpieczeństwa. czytaj więcej

Wiadomości firmowe Szyfrowanie plików i wiadomości email: przewodnik dotyczący zabezpieczenia poufnych informacji

W dzisiejszych czasach ważne i poufne informacje są stale przesyłane za pomocą różnych urządzeń elektronicznych i sieci. Niezależnie od tego, czy są to dane osobowe, finansowe czy biznesowe, muszą być one dobrze zabezpieczone i chronione przed nieautoryzowanym dostępem. Jednym z najskuteczniejszych sposobów na to jest szyfrowanie. czytaj więcej

Wiadomości firmowe Co oznacza dyrektywa NIS 2 dla dostawców usług zarządzalnych?

Rosnąca liczba incydentów bezpieczeństwa skłoniła UE do przyjrzenia się branżom wyjątkowo narażonym na ataki. Problematyczne były sektory takie jak energetyka, transport czy finanse. W celu poprawienia bezpieczeństwa narodziła się inicjatywa NIS. czytaj więcej

Wiadomości firmowe Jak zapewnić firmie zgodność z dyrektywą NIS 2?

Cyberataki stanowią jedno z największych współczesnych zagrożeń. Hakerzy jednym kliknięciem są w stanie sparaliżować usługi publiczne kluczowe dla funkcjonowania społeczeństwa. Liczba ataków stale rośnie, w związku z czym zapewnienie bezpieczeństwa stało się priorytetem. W tym celu w życie weszła dyrektywa NIS 2 (Network and Information System Directive). Przedsiębiorstwa funkcjonujące na rynkach UE są zobowiązane do wprowadzenia różnych rozwiązań technicznych, operacyjnych i organizacyjnych. czytaj więcej

Wiadomości firmowe Fakty i mity na temat filtrowania DNS

Filtrowanie DNS zapewnia ochronę przed zagrożeniami internetowymi takimi jak wirusy, złośliwe oprogramowanie, ransomware, ataki phishingowe i botnety. System nazw domen (DNS) sprawia, że możemy korzystać z Internetu poprzez zapamiętywanie nazw, a komputery i inne sprzęty tłumaczą je na odczytywalne maszynowo adresy IP. Chociaż koncepcja filtrowania DNS jest prosta i łatwa do zrozumienia, można mieć na jej temat błędne wyobrażenia, które mogą wpływać na jego niezawodne i bezpieczne działanie. czytaj więcej

Wiadomości firmowe Mariusz Rzepka nowym Dyrektorem d/s Rozwoju Biznesu w Grupie Bakotech

Rynek zarządzanych usług IT świadczonych przez wyspecjalizowanych partnerów MSP (ang. Managed Service Provider) cieszy się w Polsce i regionie rosnącą popularnością. Aby lepiej dostosować swoją strategię biznesową do sytuacji rynkowej, do CEEcloud Services Distribution, spółki celowej w Grupie Bakotech specjalizującej się w dystrybucji usług MSP, dołączył od 1 lipca 2023 roku Mariusz Rzepka, który objął stanowisko Dyrektora d/s Rozwoju Biznesu. czytaj więcej

Wiadomości firmowe Pięć wskazówek, jak zaplanować udaną migrację systemu operacyjnego

Ze względu na liczne zależności aplikacji, każdy projekt migracji danych stawia wiele wyzwań. Choć każdy z nich jest wyjątkowy, istnieje ryzyko nakładania się. W takiej sytuacji niezbędne jest zidentyfikowanie powiązań aplikacji i punktów integracji, a także stworzenie spójnego przepływu pracy w celu pomniejszenia ich. Warte podkreślenia jest to, że nie chodzi o same aplikacje. Równie istotne jest posiadanie solidnego, realistycznego planu migracji danych. czytaj więcej

Wiadomości firmowe 7 kluczowych kroków do wdrożenia Zero Trust

Cyberprzestępcy nigdy nie śpią. Codziennie możemy usłyszeć o atakach na firmy programistyczne, rządy, strony internetowe lotnisk, hotele, szpitale, uniwersytety czy platformy mediów społecznościowych. Na początku 2023 roku atak ransomware na dużą firmę spożywczą zmusił ją do zamknięcia zakładów produkcyjnych i wstrzymania dostaw żywności do sklepów. Jak więc widzimy, konsekwencje napaści mogą być ogromne. czytaj więcej

Wiadomości firmowe Pięć najlepszych praktyk wdrażania bezpiecznej sieci SD-WAN

Sieci korporacyjne szybko stają się coraz bardziej złożone oraz rozproszone. Wraz z rozwojem przetwarzania w chmurze, pracy zdalnej oraz urządzeń mobilnych firmy mają coraz więcej użytkowników, a także zasoby IT, które wymagają łączności.
Definiowana programowo sieć WAN (SD-WAN) tworzy wydajne, korporacyjne połączenie  oparte na bazie już istniejących sieci. Infrastruktura SD-WAN musi być starannie zaprojektowana i wdrożona, aby zapewnić organizacji pełnię swoich możliwości. czytaj więcej

Wiadomości firmowe Czym jest EDR i dlaczego powinieneś z niego korzystać w swojej firmie?

W dzisiejszych czasach tradycyjne zabezpieczenia przed cyberprzestępcami to za mało, aby móc czuć się bezpiecznie. Szczególnie cierpią na tym małe i średnie firmy, które są najczęściej narażane na ataki ransomware. Najbardziej niepokojący zdaje się być jednak fakt, że na celowniku hakerów znajdują się głównie małe i średnie firmy, które stanowią ponad 80% ofiar oprogramowania ransomware. Skutki tych ataków bywają tragiczne: ponad 60% małych przedsiębiorstw, które ich doświadczyło, upadło. czytaj więcej