Лидеры мнений

Автономная Инцидентная Ответка: Где AI Может Действовать Самостоятельно и Где Все Еще Важны Люди

mm

Современные SOC имеют избыток данных безопасности. Проблема заключается в том, чтобы превратить эти данные в действие.

Подозрительная авторизация может быть скомпрометированным аккаунтом или законным сотрудником, авторизующимся с нового местоположения. Деятельность вредоносного ПО может быть просто ложным срабатыванием. Облачное оповещение может быть просто плохой конфигурацией.

В любом случае, аналитикам необходимо знать, что произошло, какое актив было затронуто, насколько серьезен этот риск и может ли действие сломать что-то важное. Это часто означает переход между инструментами, проверку журналов, обогащение индикаторов, построение временных шкал и ожидание утверждения.

AI может сжать этот процесс. Он может собрать доказательства, связать связанные события, сравнить поведение с известными шаблонами, обогатить оповещения с помощью информации о угрозах и вынести заключение за минуты или даже секунды. В некоторых определенных сценариях он может запустить сдерживание.

Что Такое Автономная Ответка На Самом Деле

Автономная ответка должна иметь четкие границы и быть сценарно-специфичной.

Автономная или агентная система безопасности может оценить оповещение, расследовать окружающий контекст, решить, соответствует ли оно известному шаблону ответа, и принять действие без ожидания человеческого аналитика. Но это действие должно происходить только внутри утвержденных ограничений.

Примеры включают отключение скомпрометированного аккаунта, изоляцию зараженной конечной точки, блокировку известной вредоносной инфраструктуры, отзыв рискованных сессий и карантин вредоносного ПО. Ключевым моментом является то, что AI выполняет только утвержденные действия против определенных условий.

Где Автономность Работает Лучше

Автономность работает лучше всего, когда выполняются четыре условия:

  • Сигнал имеет высокую уверенность: Оповещение подтверждено сильными доказательствами, такими как известная вредоносная инфраструктура, подтвержденное поведение вредоносного ПО, невозможное путешествие или несколько коррелированных индикаторов.
  • Поведение хорошо понятно: Организация видела этот шаблон раньше и знает, что он обычно означает.
  • Действие ограничено: Ответка влияет на конкретный аккаунт, конечную точку, сессию, домен или индикатор, а не на весь бизнес-процесс.
  • Действие обратимо: Если система ошибается, организация может восстановить доступ, переподключить конечную точку или удалить блокировку быстро.

Скомпрометированный пользовательский аккаунт является хорошим примером.

Если система идентификации обнаруживает невозможное путешествие, подозрительные правила почтового ящика, рисковую активность OAuth и вход с известной вредоносной инфраструктуры, атакующие могут уже нанести ущерб до того, как человеческий аналитик утвердит первый шаг сдерживания. Система AI, однако, может отозвать сессии, заставить сброс пароля, временно отключить аккаунт и создать дело для рассмотрения аналитиком.

Зараженная конечная точка является еще одним хорошим примером. Если инструменты конечной точки подтверждают известное поведение вредоносного ПО на некритической устройстве, изоляция может остановить движение вредоносного ПО, сохраняя доказательства.

Где Все Еще Важны Люди

Однако человеческий надзор остается крайне важным – особенно для неоднозначных инцидентов, решений с высоким уровнем воздействия и случаев, когда бизнес-воздействие неясно.

Изоляция ноутбука сотрудника может быть низкорисковым действием. Изоляция сервера оплаты, производственной системы, медицинского устройства или клиентской приложения не является низкорисковым действием. Отключение аккаунта подрядчика может быть простым действием. Отключение привилегированного сервисного аккаунта, связанного с производственными системами, может создать серьезные сбои.

Проще говоря, чем выше потенциальное воздействие, тем важнее человеческий надзор.

Этот принцип предотвращает два неблагоприятных исхода. Первый: недоавтоматизация, когда команды тратят время на утверждение очевидных действий по сдерживанию. Второй: чрезмерная автоматизация, когда системы разрешают делать широкие изменения без достаточного контекста или контроля.

AI Может Автоматизировать Больше, Чем Триаж

Большинство людей знакомы с AI-ассистированным триажем оповещений, но считают, что расследование все еще является исключительно человеческой задачей. Но это начинает меняться.

Многие расследования следуют повторяющимся шагам. Аналитики собирают журналы, рассматривают поведение конечных точек, проверяют активность пользователей, обогащают индикаторы, сравнивают события с информацией о угрозах и выносят заключение. AI-аналитик SOC может теперь выполнить большую часть этой работы быстро и последовательно.

Это меняет роль аналитика, но не удаляет его полностью. Вместо ручного сбора доказательств для каждого оповещения аналитики рассматривают сгенерированные AI выводы, расследуют исключения, настраивают обнаружения, охотятся за угрозами и принимают решения по сложным или высоко-воздействующим случаям.

Это имеет значение, потому что большинство SOC не могут глубоко расследовать каждое оповещение. Исследование нарушений данных IBM 2025 года показало, что широкое использование AI и автоматизации сократило затраты на нарушения на 1,9 миллиона долларов и сократило время жизни нарушений примерно на 80 дней. AI позволяет командам повысить базовый уровень качества расследования без добавления штата или привлечения крупных команд подрядчиков для повторяющейся работы.

Принятие Является И Техническим, И Вопросом Доверия

Руководители безопасности правы, когда они осторожны с AI в SOC. Неправильное автоматическое действие может заблокировать пользователей, нарушить системы или подорвать доверие к SOC. Даже когда AI точен, команды могут колебаться, если они не видят, почему было принято решение.

Вот почему эффективная автономность требует гарантий:

  • Четкие границы действий
  • Утверждение человека для чувствительных систем
  • Журналы аудита для каждого решения
  • Обратимые действия по сдерживанию
  • Пороги уверенности
  • Процедуры откатов

Большинство команд должны начинать в режиме наблюдения. Позвольте AI расследовать, рекомендовать и документировать действия, пока люди утверждают их. Как только система доказала свою надежность в конкретных сценариях, эти сценарии могут перейти к автоматизации на основе утверждения, а затем к полной автономности, где это уместно. Доверие заслуживается повторяющимися, контролируемыми успехами.

Что Руководители Безопасности Должны Переоценить

AI принадлежит в инцидентной ответке. Вопрос в том, где он должен быть разрешен действовать.

Начните с сценариев ответки, которые являются частыми, требуют быстрого реагирования, хорошо поняты, подтверждены сильными сигналами и обратимы. Расследование фишинга, сдерживание подозрительного аккаунта, изоляция вредоносного ПО и блокировка вредоносных доменов являются логичными кандидатами.

Цель состоит в том, чтобы ликвидировать повторяющуюся задержку решений из SOC, а не ликвидировать людей полностью. AI может проверить, решить и действовать в определенных сценариях. Люди должны управлять границами, обрабатывать неоднозначность и оставаться ответственными за результат.

Ярый сторонник личной конфиденциальности данных и технологий, стоящих за этим, Катрина Томпсон - фриланс-писатель, который глубоко изучает шифрование, законодательство о защите данных и пересечение информационных технологий и прав человека. Она написала статьи для Bora, Venafi, Tripwire и многих других сайтов.