Z doświadczeń Vectra AI wynika, że wyzwania w tym obszarze sprowadzają się do trzech punktów:
W ciągu dnia nie ma wystarczająco dużo czasu, aby poradzić sobie z ilością alertów, które należy przeanalizować,
Bardzo trudno efektywnie wykorzystać czas, ponieważ nie można odseparować fałszywych i prawdziwych informacji o zagrożeniu,
Istnieją obawy, że prawdziwy atak zostanie przeoczony, ponieważ informacja o nim jest zagrzebana w szumie generowanym przez przestarzałe rozwiązanie.
Istnieje wiele przyczyn problemów wynikających ze stosowaniem starszych rozwiązań bezpieczeństwa, ale w dużej mierze sprowadzają się one do:
uproszczonych reguł dopasowania zdarzenia czy anomalii powodujących fałszywe alarmy,
niezdolności do wykorzystania wskazówek kontekstowych w sieci w celu poprawy skuteczności,
skupienie się wyłącznie na wykrywaniu, bez pomysłu jak efektywnie pogrupować zdarzenia, tak, aby analityk mógł skupić się na rzeczach, które faktycznie wymagają jego uwagi.
Ułatwienia dla analityków ds. bezpieczeństwa
Vectra AI od początku konstruuje detektory eliminujące prawdopodobieństwo fałszywych alarmów poprzez wzmocnienie algorytmów wiedzą o kontekście z sieci. Podczas gdy tradycyjne produkty bezpieczeństwa sieciowego szukają wzorca lub statystycznej anomalii bez kontekstu, Vectra projektuje swoje rozwiązania w taki sposób, aby wykorzystywały dostępny kontekst i identyfikowały anomalie tak, jak zrobiłby to analityk bezpieczeństwa.
Na przykład, mechanizmy wykrywania Smash and Grab Exfil uczą się, jaki ruch danych jest normalny w poszczególnych podsieciach, uwzględniają witryny popularne w danym środowisku i szukają nietypowych przepływów danych wychodzących, nawet w przypadku zaszyfrowanego ruchu. Następnie narzędzie Vectry koreluje wykrycia z podmiotami typu Host i Account, ucząc się archetypu i identyfikując każdy obiekt. W kolejnym kroku nadaje wykrywanym obiektom priorytety i tworzy ranking umożliwiający analitykom podjęcie działań.
Obszarem, który Vectra chciała poprawić, było radzenie sobie z poprawnie wykrytymi ‘True Positives’. Wynikało to z tego, że nie wszystkie są złośliwe. Można również niezawodnie wykryć aktywność, w której zachowanie jest takie, jak mówi system; w kontekście, w którym zdarzenie ma miejsce, może to być raczej łagodny True Positive niż złośliwy True Positive. Na przykład, niektóre produkty antywirusowe osadzają wyszukiwane sumy kontrolne plików w zapytaniach DNS do dostawcy AV. To zachowanie może wyglądać bardzo podobnie do kanału dostępu typu Command-and-Control, który koduje dane w pakietach DNS, i tak właśnie jest. Jednak faktem jest, że choć jest to prawdziwy tunel DNS, nie jest on złośliwy, a raczej łagodny. Częścią naszej filozofii jest to, że zapewniamy wgląd w te wysokiej jakości wykrycia zachowań i metod atakujących, ale równoważymy to poprzez nadawanie priorytetu wysoce wiarygodnym, skorelowanym detekcjom na poziomie hosta lub konta w celu zwrócenia uwagi użytkownika.
To skłoniło przedstawicieli firmy do zastanowienia się, czy istnieje sposób, w jaki można zastosować niektóre z tych samych technik, które wykorzystywane były do zasilania algorytmów uczenia maszynowego / SI, aby pomóc w rozróżnianiu złośliwych i łagodnych True Positives?
Podobnie jak w przypadku procesu tworzenia detekcji, Vectra AI dodała możliwości AI-Triage, analizując najpierw metodologię, którą analitycy stosują do rozwiązywania tych problemów. Następnie przeszkoliła system SI, aby pomógł zautomatyzować rozwiązywanie scenariuszy o najwyższym stopniu zaufania.
Jak działa AI-Triage
Wbudowana w platformę Vectra funkcja AI -Triage działa poprzez automatyczną analizę wszystkich aktywnych detekcji w systemie, wykorzystując kontekst z poszczególnych detekcji, jak również podobieństwa między detekcjami w celu poszukiwania przypadków łagodnych pozytywów, które możemy automatycznie rozwiązać w imieniu klienta. Na przykład, jeśli widzimy dziesiątki punktów końcowych generujących tę samą detekcję ukrytego tunelu HTTPS do tego samego miejsca docelowego, w ciągu co najmniej 14 dni, bez innych wskaźników naruszenia zabezpieczeń, możemy zidentyfikować to jako łagodny wynik pozytywny. AI-Triage automatycznie utworzy regułę segregacji w imieniu klientów, nie wymagając czasu od analityka. Jeśli analityk chce przejrzeć nowe reguły, może je nadal zmodyfikować w ramach platformy, ale nie jest to wymagane i nie wpływa na ocenę hosta ani konta.
Początkowo wprowadzono obsługę AI-Triage dla wykryć opartych na C2 i Exfil, a w nadchodzącym wydaniu sprawdzony szkielet wykorzystano, aby rozszerzyć AI-Triage na wykrycia ruchu poprzecznego (Lateral). Okazało się, że AI-Triage zmniejsza o ponad 80% liczbę wykryć, które musiałby zbadać analityk, co oznacza, że więcej czasu można poświęcić na zdarzenia wymagające uwagi analityka.
Wszystkie możliwości, które daje AI-Triage można aktywować jednym kliknięciem — nie są wymagane żadne dostrajania ani administracja ze strony klienta. Aby włączyć funkcję, wystarczy przejść do Ustawień, wybrać funkcję AI-Triage i włączyć ją, po czym AI-Triage zacznie działać, aby zidentyfikować łagodne, faktyczne zagrożenia i dokonać ich selekcji.
