Kur ndodh një shkelje e sigurisë kibernetike, sekondat kanë rëndësi. Reagoni shumë ngadalë dhe ajo që fillon si një moment i vogël shndërrohet në një problem koke për të gjithë kompaninë. Pikërisht këtu hyn në lojë IA për reagimin ndaj incidenteve - jo një plumb i menjëhershëm (megjithëse sinqerisht, mund të duket si i tillë), por më shumë si një shok skuadre i fuqishëm që ndërhyn kur njerëzit thjesht nuk mund të lëvizin mjaftueshëm shpejt. Ylli verior këtu është i qartë: ulni kohën e qëndrimit dhe përmirësoni vendimmarrjen . Të dhënat e fundit në terren tregojnë se kohët e qëndrimit kanë rënë ndjeshëm gjatë dekadës së fundit - provë se zbulimi më i shpejtë dhe triazhimi më i shpejtë me të vërtetë e përkulin kurbën e rrezikut [4]. ([Shërbimet Google][1])
Pra, le të shqyrtojmë se çfarë e bën në të vërtetë inteligjencën artificiale të dobishme në këtë fushë, të hedhim një vështrim në disa mjete dhe të flasim pse analistët e SOC mbështeten - dhe në heshtje nuk u besojnë - këtyre rojeve të automatizuara. 🤖⚡
Artikuj që mund t'ju pëlqejnë të lexoni pas këtij:
🔗 Si mund të përdoret IA gjenerative në sigurinë kibernetike
Eksplorimi i rolit të IA-së në sistemet e zbulimit dhe reagimit ndaj kërcënimeve.
🔗 Mjetet e testimit të depërtimit të IA-së: Zgjidhjet më të mira të mundësuara nga IA-ja
Mjetet më të mira të automatizuara që përmirësojnë testimin e depërtimit dhe auditimet e sigurisë.
🔗 IA në strategjitë e krimit kibernetik: Pse siguria kibernetike ka rëndësi
Si e përdorin sulmuesit inteligjencën artificiale dhe pse mbrojtjet duhet të evoluojnë me shpejtësi.
Çfarë e bën të funksionojë në të vërtetë inteligjenca artificiale për reagimin ndaj incidenteve?
-
Shpejtësia : IA nuk dehet dhe nuk pret kafeinë. Ajo kontrollon të dhënat e pikave fundore, regjistrat e identitetit, ngjarjet në cloud dhe telemetrinë e rrjetit brenda sekondave, pastaj nxjerr në pah klientë potencialë me cilësi më të lartë. Kjo ngjeshje e kohës - nga veprimi i sulmuesit te reagimi i mbrojtësit - është gjithçka [4]. ([Shërbimet Google][1])
-
Konsistenca : Njerëzit lodhen; makinat jo. Një model i inteligjencës artificiale zbaton të njëjtat rregulla pavarësisht nëse është ora 14:00 apo 2:00 e mëngjesit, dhe mund të dokumentojë gjurmën e arsyetimit të tij (nëse e konfiguroni siç duhet).
-
Njohja e Modeleve : Klasifikuesit, zbulimi i anomalive dhe analizat e bazuara në grafik nxjerrin në pah lidhjet që njerëzit i humbasin - si lëvizja anësore e çuditshme e lidhur me një detyrë të re të planifikuar dhe përdorim të dyshimtë të PowerShell.
-
Shkallëzueshmëria : Ndërsa një analist mund të menaxhojë njëzet alarme në orë, modelet mund të kalojnë nëpër mijëra, të ulin renditjen e zhurmës dhe të shtresojnë pasurimin në mënyrë që njerëzit të fillojnë hetimet më afër çështjes reale.
Ironikisht, ajo që e bën inteligjencën artificiale kaq efektive - kuptimi i saj i ngurtë - mund ta bëjë atë edhe absurd. Lëreni të paakorduar dhe mund ta klasifikojë shpërndarjen e picës si komandë dhe kontroll. 🍕
Krahasim i shpejtë: Mjete të njohura të inteligjencës artificiale për reagimin ndaj incidenteve
| Mjet / Platformë | Përshtatja më e mirë | Diapazoni i Çmimeve | Pse njerëzit e përdorin atë (shënime të shkurtra) |
|---|---|---|---|
| Këshilltari IBM QRadar | Ekipet e SOC të Ndërmarrjes | $$$$ | I lidhur me Watson-in; njohuri të thella, por kërkon përpjekje për t'u debatuar. |
| Microsoft Sentinel | Organizata të mesme deri të mëdha | $$–$$$ | I bazuar në cloud, shkallëzohet lehtë, integrohet me Microsoft stack. |
| Darktrace PËRGJIGJE | Kompanitë që kërkojnë autonomi | $$$ | Përgjigjet autonome të inteligjencës artificiale - ndonjëherë ndihen paksa si fantastiko-shkencore. |
| Palo Alto Cortex XSOAR | SecOps me orkestrim të rëndë | $$$$ | Automatizim + manuale; i kushtueshëm, por shumë i aftë. |
| Splunk SOAR | Mjedise të bazuara në të dhëna | $$–$$$ | Shkëlqyeshëm me integrimet; UI i ngathët, por analistëve u pëlqen. |
Shënim anësor: shitësit e mbajnë çmimin të paqartë me qëllim. Gjithmonë testoni me një provë të shkurtër vlere të lidhur me sukses të matshëm (p.sh., ulja e MTTR me 30% ose përgjysmimi i pozitivëve të rremë).
Si i dallon inteligjenca artificiale kërcënimet para se t'i dalloni ju
Ja ku bëhet interesante. Shumica e stivave nuk mbështeten në një truk - ato përziejnë zbulimin e anomalive, modelet e mbikëqyrura dhe analizat e sjelljes:
-
Zbulimi i anomalive : Mendoni për "udhëtim të pamundur", rritje të papritura të privilegjeve ose biseda të pazakonta shërbim-me-shërbim në orare të çuditshme.
-
UEBA (analitika e sjelljes) : Nëse një drejtor financiar shkarkon papritur gigabajt kod burimor, sistemi nuk ngrin supet.
-
Magjia e korrelacionit : Pesë sinjale të dobëta - trafik i çuditshëm, objekte të programeve keqdashëse, tokena të rinj administratori - bashkohen në një rast të fortë dhe me besim të lartë.
Këto zbulime kanë më shumë rëndësi kur ato lidhen me taktikat, teknikat dhe procedurat e sulmuesit (TTP) . Kjo është arsyeja pse MITRE ATT&CK është kaq qendror; i bën alarmet më pak të rastësishme dhe hetimet më pak një lojë hamendjeje [1]. ([attack.mitre.org][2])
Pse njerëzit ende kanë rëndësi krahas inteligjencës artificiale
Inteligjenca artificiale sjell shpejtësi, por njerëzit sjellin kontekst. Imagjinoni një sistem të automatizuar që ndërpret thirrjen e CEO-s tuaj në Zoom në mes të bordit, sepse mendoi se ishte nxjerrje të dhënash. Jo pikërisht mënyra për të filluar të hënën. Modeli që funksionon është:
-
IA : përpunon regjistrat, rendit rreziqet, sugjeron lëvizjet e ardhshme.
-
Njerëzit : peshojnë qëllimin, marrin në konsideratë pasojat e biznesit, miratojnë përmbajtjen, dokumentojnë mësimet.
Kjo nuk është thjesht diçka e mirë për t’u pasur - është praktika më e mirë e rekomanduar. Kornizat aktuale të IR kërkojnë porta miratimi njerëzor dhe manuale të përcaktuara në çdo hap: zbulim, analizim, përmbajtje, zhdukje, rikuperim. IA ndihmon në çdo fazë, por llogaridhënia mbetet njerëzore [2]. ([Qendra e Burimeve të Sigurisë Kompjuterike NIST][3], [Publikimet NIST][4])
Grackat e zakonshme të inteligjencës artificiale në reagimin ndaj incidenteve
-
Pozitivë të rremë kudo : Vijat bazë të këqija dhe rregullat e pasakta i mbytin analistët në zhurmë. Saktësia dhe akordimi i kujtesës janë të detyrueshme.
-
Pika të Verbëra : Të dhënat e stërvitjes së djeshme nuk pasqyrojnë aftësitë e sotme. Ri-stërvitja e vazhdueshme dhe simulimet e hartuara nga ATT&CK zvogëlojnë boshllëqet [1]. ([attack.mitre.org][2])
-
Mbështetje e Tepërt : Blerja e teknologjisë së shkëlqyer nuk do të thotë zvogëlim i SOC-së. Mbani analistët, thjesht drejtojini ata në hetime me vlerë më të lartë [2]. ([Qendra e Burimeve të Sigurisë Kompjuterike NIST][3], [Publikimet NIST][4])
Këshillë profesionale: mbani gjithmonë një mbivendosje manuale - kur automatizimi tejkalon shtrirjen, ju duhet një mënyrë për të ndaluar dhe për t'u kthyer prapa menjëherë.
Një Skenar i Botës Reale: Kapja e Hershme e Ransomware-it
Kjo nuk është një entuziazëm futurist. Shumë ndërhyrje fillojnë me truket e "jetesës nga toka" - skriptet klasike të PowerShell . Me linjat bazë plus zbulimet e drejtuara nga ML, modelet e pazakonta të ekzekutimit të lidhura me aksesin në kredenciale dhe përhapjen anësore mund të sinjalizohen shpejt. Ky është shansi juaj për të vendosur në karantinë pikat fundore para se të fillojë enkriptimi. Udhëzimet amerikane madje theksojnë regjistrimin e PowerShell dhe vendosjen e EDR për këtë rast përdorimi të saktë - IA thjesht e shkallëzon këtë këshillë në të gjitha mjediset [5]. ([CISA][5])
Çfarë vjen më pas në Inteligjencën Artificiale për Reagimin ndaj Incidenteve
-
Rrjete Vetë-Shëruese : Jo vetëm alarmim - karantinë automatike, ridrejtim i trafikut dhe rrotullim i sekreteve, të gjitha me rikthim prapa.
-
IA e Shpjegueshme (XAI) : Analistët duan "pse" po aq sa "çfarë". Besimi rritet kur sistemet ekspozojnë hapat e arsyetimit [3]. ([Publikimet NIST][6])
-
Integrim më i thellë : Prisni që EDR, SIEM, IAM, NDR dhe biletaria të lidhen më ngushtë - më pak karrige rrotulluese, më shumë flukse pune pa probleme.
Udhërrëfyes i Zbatimit (Praktik, Jo i Çrregullt)
-
Filloni me një rast me ndikim të lartë (si pararendësit e ransomware-it).
-
Kyçja e metrikave : MTTD, MTTR, pozitive të rreme, koha e kursyer e analistit.
-
Zbulimet në hartë për ATT&CK për kontekst të përbashkët hetimor [1]. ([attack.mitre.org][2])
-
Shtoni porta identifikimi njerëzor për veprime të rrezikshme (izolimi i pikës fundore, revokimi i kredencialeve) [2]. ([Qendra e Burimeve të Sigurisë Kompjuterike NIST][3])
-
Mbaj aktiv një ciklin akordimi-matje-rikualifikimi . Të paktën çdo tremujor.
A mund t’i besosh inteligjencës artificiale në reagimin ndaj incidenteve?
Përgjigja e shkurtër: po, por me disa paralajmërime. Sulmet kibernetike lëvizin shumë shpejt, vëllimet e të dhënave janë shumë të mëdha dhe njerëzit janë - mirë, njerëz. Injorimi i inteligjencës artificiale nuk është një opsion. Por besimi nuk do të thotë dorëzim i verbër. Konfigurimet më të mira janë inteligjenca artificiale plus ekspertiza njerëzore, plus manuale të qarta dhe transparencë. Trajtojeni inteligjencën artificiale si një ndihmës: ndonjëherë tepër të etur, ndonjëherë të ngathët, por të gatshëm të ndërhyjnë kur keni më shumë nevojë për forcë.
Përshkrim meta: Mësoni se si reagimi ndaj incidenteve i drejtuar nga inteligjenca artificiale rrit shpejtësinë, saktësinë dhe qëndrueshmërinë e sigurisë kibernetike - duke mbajtur njëkohësisht të informuar gjykimin njerëzor.
Hashtag-et:
#IA #SiguriaKiberike #ReagimiNdajIncidenteve #SOAR #ZbulimiIkërcënimeve #Automatizimi #SeksioniIInformacionit #OperacioneSigurie #TrendetTeknologjike
Referencat
-
MITER ATT&CK® - Baza Zyrtare e Njohurive. https://attack.mitre.org/
-
Publikimi Special i NIST 800-61 Rev. 3 (2025): Rekomandime dhe Konsiderata për Reagimin ndaj Incidenteve për Menaxhimin e Rrezikut të Sigurisë Kibernetike . https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r3.pdf
-
Korniza e Menaxhimit të Riskut të IA-së NIST (AI RMF 1.0): Transparenca, Shpjegueshmëria, Interpretueshmëria. https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf
-
Mandiant M-Trends 2025 : Trendet Globale të Kohës Mesatare të Qëndrimit. https://services.google.com/fh/files/misc/m-trends-2025-en.pdf
-
Këshilla të Përbashkëta të CISA-s mbi TTP-të e Ransomware-it: Regjistrimi i PowerShell dhe EDR për Zbulim të Hershëm (AA23-325A, AA23-165A).