Эволюция центров мониторинга и реагирования связана с отходом от традиционных подходов, сопряжённых с проблемами и ограничениями, и переходом на технологии ИИ, которые кратно повышают эффективность SOC при обнаружении киберугроз и реагировании на них. Так считает Тангарадж Петчиаппан, соучредитель и технический директор компании iLink Digital, член Технологического совета Forbes.

Сегодня кибербезопасность — приоритет при построении и ведении любого бизнеса. Согласно данным компаний в области кибербезопасности, в мире одномоментно заражены вредоносным ПО 4,1 млн сайтов. Для борьбы с угрозами на помощь службам ИБ приходит центр мониторинга и реагирования на базе искусственного интеллекта (AI-powered SOC). Он увеличивает усилия по обнаружению угроз и реагированию на них, анализирует массивы данных в режиме реального времени, выявляя аномалии и потенциальные угрозы. ИИ-SOC также активно прогнозирует и предотвращает атаки, а не просто реагирует на них.

 

Эволюция SOC

Эволюция центров мониторинга и реагирования связана с отходом от традиционных подходов, сопряжённых с проблемами и ограничениями. За прошедшие годы подходы к построению SOC значительно изменились. Это связано как с необходимостью преодолевать традиционные вызовы, так и с внедрением инновационных технологий для повышения эффективности операций по обеспечению кибербезопасности.

Традиционные SOC сталкивались с проблемами, которые снижали их эффективность:

  • усталость команды от рутины и большого количества оповещений;
  • высокий уровень ложных срабатываний;
  • задержка с реагированием на инциденты, что приводит к эскалации угроз.

Переход к SOC на базе ИИ даёт ряд преимуществ, в том числе:

  • автоматическое обнаружение угроз: алгоритмы ИИ могут анализировать огромные объёмы данных в режиме реального времени, быстро выявляя потенциальные угрозы и аномалии;
  • повышенная точность: модели машинного обучения (ML) извлекают уроки из шаблонов данных, сокращая количество ложных срабатываний и повышая точность обнаружения угроз;
  • быстрое реагирование: автоматизация позволяет незамедлительно реагировать на инциденты, снижая риски до их эскалации.

 

Ключевые компоненты SOC на базе ИИ

Создание AI-powered SOC предполагает интеграцию нескольких ключевых компонентов для максимального повышения эффективности центра при обнаружении киберугроз и реагировании на них.

  • Интеграция и корреляция данных из различных источников для всестороннего анализа.
  • Алгоритмы ML для анализа закономерностей и обнаружения аномалий.
  • Автоматическое обнаружение угроз и реагирование на них обеспечивает немедленные ответные действия.
  • Возможно прогнозирование потенциальных угроз на основе ретроспективного анализа с учётом новых тенденций.
  • Интеграция данных об угрозах, включая информацию о внешних угрозах для расширения анализа;
  • Мониторинг и аналитика поведения пользователей и сущностей (User and Entity Behavior Analytics, UEBA) для обнаружения аномалий, указывающих на угрозы.
  • Визуализация и отчётность, создание интуитивно понятных информационных панелей для аналитиков SOC.

 

Преимущества AI-powered SOC

SOC на базе ИИ использует потенциал технологий искусственного интеллекта для получения множества преимуществ, которые повышают эффективность операций по обеспечению кибербезопасности и устойчивость предприятий любого размера. Такой подход к SOC необходим, поскольку он повышает точность и эффективность работы, даёт расширенные возможности обнаружения угроз, оптимизирует операции. Подход хорошо масштабируется, может обрабатывать растущие объёмы данных и угроз. Используются гибкие и адаптируемые системы. Всё это ведёт к снижению затрат и расходов на эксплуатацию.

Для успешного внедрения SOC на базе ИИ необходимо использовать несколько стратегий:

  1. Активный мониторинг. В компании должны быть установлены инструменты мониторинга для сбора и анализа данных, которые обнаруживают, анализируют инциденты кибербезопасности и реагируют на них.
  2. Технологические решения. Правильно настроенные инструменты, работающие с ИТ-инфраструктурой компании.
  3. Надёжные процессы для обеспечения эффективного реагирования на инциденты и смягчения их последствий. Автоматизация процесса поможет ИИ добиваться лучших результатов.
  4. Установка комплексного набора полностью управляемых ИТ-сервисов и служб кибербезопасности.

 

Будущее SOC на базе искусственного интеллекта

По данным исследований Palo Alto, 61% организаций опасаются, что атаки на базе ИИ скомпрометируют конфиденциальные данные, а Gartner полагает, что генеративный ИИ совершит революцию в кибербезопасности. Тем не менее, в будущем появится больше инструментов ИИ и ML, внедрённых в SOC, автоматизирующих обнаружение угроз и реагирование на них. Блокчейн может помочь обеспечить безопасный обмен данными и аутентификацию, квантовые вычисления будут решать сложные задачи безопасности.

Изменится роль специалистов в сфере кибербезопасности — им понадобятся навыки работы с искусственным интеллектом и обработки данных, больше внимания будет уделяться стратегическому надзору и анализу угроз. Непрерывное обучение станет важным фактором для использования технологических достижений. Особенно с учётом того, что хакеры всё чаще используют инструменты ИИ для кибератак и улучшения тактик применения фишинга.

По мнению Тангараджа Петчиаппана, в следующем десятилетии SOC на базе искусственного интеллекта станет нормой. Сотрудничество между нейросетями и аналитиками приведёт к смягчению последствий угроз, а продвинутые ИИ-модели позволят прогнозировать и предотвращать киберугрозы до того, как они произойдут.

 

Готовы обсудить практику противодействия кибератакам и построения центров мониторинга ИБ, методы обнаружения и анализа инцидентов? Хотите узнать особенности работы инструментов детекта на Linux? Поделиться опытом расследований своих команд форензики и групп реагирования? Поговорить о применении технологий искусственного интеллекта для решения ИБ-задач?

Второй SOC Tech ждёт вас 15 октября 2024 года. Оригинальные форматы откроют возможности сверхэффективного взаимодействия между участниками, спикерами и партнёрами. Успейте предложить темы для докладов!

2 августа, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.09.2024
«С учётом латентной преступности»
06.09.2024
ФСТЭК напомнил об организациях, которые могут «обезопасить» кадры
06.09.2024
Стартовали Международные игры по кибербезопасности!
06.09.2024
В России появится ИТ-система защиты прав граждан за полмиллиарда рублей
06.09.2024
Минцифры собирает заявки на ИТ-гранты
05.09.2024
АБР не в восторге от инициативы регулирования рынка рассрочки
05.09.2024
Объявлена программа 11-го Форума ВБА-2024 «Вся банковская автоматизация»
05.09.2024
DumpForums в зените? Хакеры заявили об утечке банковской базы данных
05.09.2024
Минпромторг и Минобрнауки начнут регулярно обмениваться данными
05.09.2024
Найти средство против пандемии кибермошенничества

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных