להכיל את הבלתי ניתן להכלה: שימוש בבינה מלאכותית לחקירות ותגובה
שהעניינים הולכים לתקריות ואירועים, הלחץ הוא להכיל את הנזק, להבין מה קרה ולהחזיר את המערכות לשגרה מבצעית. ככל שנגיב מהר יותר ומדויק יותר, כך הנזק יהיה מינימלי ופחות רועש. המאמר הנוכחי נוגע סוגיה בעייתית של צוותי אבטחה שונים, בהם אנליסטים, אז איך ניתן להכיל את הבלתי ניתן להכלה: שימוש בבינה מלאכותית לחקירות ותגובה?
זה יכול להיות נהדר שמנגנון מסוים מאחורי הקלעים יעזור לנתח את המצב, להציע פתרונות אפשריים ולנקוט פעולה? טכנולוגיות סייבר מבוססות בינה מלאכותית (AI) מתפתחות הופכות את זה הסוגיה והחלום למציאות בר קיימא. כאשר אנו נעזרים במנגנון בינה מלאכותית (AI) בתהליך תגובה לאירועים, אנו יכולים לזהות, להבין ולצמצם איומים במהירות וביעילות רבה יותר.
רוב החברות מסתמכות על מרכזי תפעול אבטחה (SOCs) כדי להגן על הנתונים הרגישים והנכסים הדיגיטליים שלהן. עם זאת, צוותי SOC חשים לעתים קרובות מיצוי, חוסר יכולת ובעיקר שחיקה מטורפת מהנפח הגובר של התראות ותקריות, חלקם הגדול כוזבות, ואלה שלא מובילות לעיכוב בתגובות ולחשיפה מוגברת לסיכון.
למרבה המזל, התקדמות הבינה המלאכותית (AI) הולידה דור חדש של כלי חקירה ותגובה (למשל, MDR/SOC ודומיהם) הממכנים בדיקה, חקירה ותגובה של התראות, ומשנים את אופן הטיפול בתקריות. המאמר הנוכחי נוגע בסוגיה כובאת בכל ארגון, כן בכל ארגון וללא יוצא מן הכלל ונוגע בחלק של "מבחן תקריות תומך בינה מלאכותית", תוך הבנה באיך זה עובד, היתרונות שלו והשפעתו על מדדי SOC וסוגיות נוספות .
הערה: התובנות, המידע והיכולות המוזכרות במאמר זה מבוססות על פלטפורמת הבינה המלאכותית (AI) של Radiant Security שנבדקה במשך זמן רב מאוד (חודשים רבים) על סביבות ייצור קטנות/גדולות וגרמה לי להבין באופן ברור את המשמעויות והיתרונות הרבים והברורים של בינה מלאכותית (AI) בסיוע היומיומי בחקירה ותגובה.
תגובה לאירועים בדרך הישנה זקוקה לסיוע
התגובה הישנה/המסורתית לתקריות ואירועים תלויה לחלוטין בכלי אבטחה אך בפרט באנליסטים ממש טובים כדי לזהות, להעריך ולתקן איומים. תהליך ידני עלול להיות איטי במקרים רבים, לא מדויק בצורה מירבית ומאתגר להרחיב אותו.
מערכות בינה מלאכותית (AI) יכולות לנטר מערכות ורשתות ולזהות חריגות, פעילות משתמשים, מקורות מגוונים ונתונים אחרים בזמן אמת. ברגע שתקרית נתפסת, בינה מלאכותית (AI) יכולה לעזור לקבוע את חומרה האיום, ההיקף והגורם השורשי מהר יותר מאשר רק בני אדם. בינה מלאכותית (AI) עשויה לזהות את התקרית תוך פרק זמן מאוד קצר, למשל, דקות או פחות משעה, ולא בשעות רבות או ימים.
בינה מלאכותית (AI) מרחיבה את האפשרויות לאנליסטים, כלומר, ניתן להוריד באופן משמעותי את זמני התגובה. בינה מלאכותית (AI) יכולה לנתח במהירות כמויות עצומות (ופסיכיות) של נתונים כדי למצוא דפוסים המצביעים על מקור התקיפה והיקפה. המשמעות היא שצוותי אבטחה יכולים להתחיל לתקן את האירוע באופן מיידי במקום להשקיע זמן יקר בחקירה והערכת המצב.
בינה מלאכותית (AI) מטפלת בסוגיה מאוד בעייתית והיא שחיקה, עייפות וטעויות אנוש. ניטור רשתות וניפוי כמויות אדירות של נתונים כדי לזהות איומים היא עבודה מייגעת שמובילה לטעויות ולאירועים שהוחמצו. מערכות בינה מלאכותית (AI) לא מתעייפות או משועממות… הם יכולות לנתח נתונים במהירות, ברמת דיוק טובה יותר ועקביות שבני אדם לא יכולים לבצע.
טיפ: מערכות בינה מלאכותית (AI) הן חשובות מאוד וכאשר יש אנליסט עם ניסיון הוא יכול לנצל את המערכת בצורה חזקה.
היתרונות של החדרת בינה מלאכותית (AI) לתהליך התגובה לאירועים ברורים. כאשר בינה מלאכותית מטפלת במרבית הניטור והניתוח של הנתונים, אנליסטים יכולים למקד את האנרגיה שלהם בחלקים המורכבים של התגובה הדורשים שיקול דעת ומומחיות, כלומר, אנליסטים Tier 3. בני אדם ובינה מלאכותית יכולים לעבוד באופן סימביוטי כדי לשפר את תוצאות האבטחה באמצעות תגובה מהירה וחזקה לאירועים.
טיפ: מערכות בינה מלאכותית (AI) שעובדות בצורה שאינה צריכה תגובה להנחיות (Prompts) מורידה את הצורך באנליסט בכיר שיאשר כל התראה, בעיה וחקירה פוטנציאלית. המנגנון של Radiant Security אינו עובד על סמך הנחיות, ולכן אינו מצריך אלניסט בכיר שיהיה צמוד למערכת ויאשר כל התראה.
תקריות תומכות בינה מלאכותית
למידה, טיפול ובקרה של בינה מלאכותית (AI) הוא גישה חדשה לטיפול באירועי אבטחה לצוותי תגובה ובפרט לצוות SOC. זה ממנף את הכוח של בינה מלאכותית (AI) ולמידת מכונה כדי לסייע לאנליסטים בניסוח התראה, חקירה ותגובה. על ידי ניתוח כמויות אדירות של נתונים, זיהוי דפוסים ולמידה מתקריות היסטוריות, בינה מלאכותית (AI) יכולה להפחית משמעותית את העומס על האנליסטים ולשפר את היעילות של תהליכי עבודה.
אוטומציה לטריאז
בסביבת SOC טיפוסית, שפע של התראות אבטחה שנוצרות על ידי כלים שונים מציפים את המערכת, ויוצרים עומס עבודה עצום עבור אנליסטים. בעוד שחלק מההתראות ניתנות לאימות במהירות, רובן דורשות איסוף מידע ידני ובדיקות מקיפות כדי לקבוע את טבען.
למרבה הצער, הזמן המוגבל ומשאבי האנליסטים אינם מאפשרים לטפל בכל חוק זיהוי, התראה ובעיה. כתוצאה מכך, חלק מההתראות נותרות ללא נגיעה, בעוד שאחרות מסוננות בכוונה כדי להתמודד עם הקיים. בשני התרחישים, זה יוצר נקודות עיוורות שבהן התקפות פוטנציאליות עלולות להיעלם מעיניהם.
המפתח לפתרון בעיית עומס ההתראה טמון בהרחבת היכולת של צוותי אבטחה, קרי, SOC לסקור כל התראה ביסודיות. כאן בדיוק נכנסת לתמונה הבינה מלאכותית (AI), המציעה יתרונות משמעותיים. בעזרת בינה מלאכותית (AI), ניתן לנתח אוטומטית את התוכן בהתראה, ומערכת הבינה מלאכותית (AI) יכולה לבחור ולבצע בדיקות באופן דינמי עד שהיא תקבע אם ההתראה מעידה על פעילות זדונית.
הקטע החזק של גישה זו היא שבינה מלאכותית (AI) יכולה לסקור בו זמנית מספר התראות ולחקור ביסודיות כל אחת מהן, ולעלות על היכולות של אנליסטים בקנה מידה עצום. כתוצאה מכך, ניתן להפיק ערך אבטחה מסוגים שונים של נתונים, כגון התראות, שבעבר התעלמו על ידי צוותי האבטחה בשל נפחן העצום, הדיוק והשימושיות המוגבלת של המידע בהתראות עצמן.
טיפ: בשטח זה בא לידי ביטוי בהורדת התראות חיביות כוזבות באופן משמעותי, וכתוצרה מכך מפנה זמן לטיפול במשימות חשובות.

ייעול חקירת האירועים
כידוע, טריאז הוא השלב הראשוני במחזור החיים של ניהול תקריות ואירועים, וזה, התחלה של משימות רבות שגוזלות זמן רבף לעיתים, חסרות ערך ולא מדויקות. ברגע שהתראה מזוהה כזדונית, נדרשת חקירה מקיפה עוד יותר כדי להבין את אופי האירוע, היקפו ופעולותיו הנחוצות. אנליסטים חייבים לאסוף ולסנתז מידע ממקורות מרובים כדי להבין את המתקפה, שגוזלת זמן ודורשת רמה גבוהה של מיומנות. בשל מגבלות היכולת והמיומנות הללו, צוותי SOC אינם יכולים לחקור כל אירוע במידה שהם רוצים. הם נותנים עדיפות למאמצים לתקריות שנחשבות קריטיות או משפיעות ביותר.
אם כך, מהי תקרית או אירוע שנחשב לקריטי? האם אנליסט Tier 1-2 יכול לקבל החלטה עצמאית? מי הסמיך לכך? האם התהליך (פלייבוק התגובה) מאשר זאת? תמיד יש חלק אפור ופעמים רבות יש הסלמה לאנליסט בכיר.
התקפות מודרניות הן לרוב רבגוניות, וכוללות מספר שלבים. למשל, התקפה עשויה להתחיל בניסיון פישינג, ואז להמשיך להדביק משתמש באפליקציה נגועה, ולבסוף להתפשט ברשת. ללא אנליסטים מיומנים המסוגלים לחבר את כל הנקודות, חלקים מסוימים של המתקפה עשויים להיעלם מעיניהם, ולהגביר את הסיכון להתקפה מוצלחת. למעשה, במקרים מסוימים, חקירות מדלגות לחלוטין.
למשל, כאשר מתגלה אפליקציה נגועה במכונה, הפלייבוק חקירה ותגובה עשוי לדרוש פעולות נקודתיות מול המכונה באופן מיידי. אומנם זה מתייחס למכונה הנגועה, אבל כל תנועה לרוחב בתוך הסביבה אינו מזוהה, וראיות יקרות ערך הנדרשות כדי לזהות את מלוא היקף ההתקפה עלולות להימחק.
בינה מלאכותית (AI) מסייעת בכך שהיא מאפשרת חקירה מקיפה של כל התראה. היא מציע ניתוח ברמת הבורג, כולל היקף האירוע, סיבת השורש ופרטים של משתמשים מושפעים, יישומים ועוד. זה מאפשר לאנליסטים להבין את האירוע בבירור ולנקוט בצעדים מתאימים כדי להכיל ולהפחית אותו ביעילות. עם תמיכת בינה מלאכותית, אנליסטים וצוותי SOC יכולים לטפל בתקריות בצורה יעילה יותר, מבלי להשאיר אבן על כנה ולאפשר לתוכנית פעולות האבטחה שלהם למצוא התקפות נוספות.

שיפור תגובה
תגובה מהירה ואפקטיבית לאירועים היא קריטית בהפחתת איומי סייבר ובהפחתת ההשפעה של פרצות אבטחה. עם זאת, תיאום ידני של תגובות בכלי ומערכות אבטחה מגוונות עשוי להיות משימה איטית ומרתיעה.
כאן נכנסת לתמונה הבינה המלאכותית. בינה מלאכותית יכולה ליצור תוכניות תגובה ספציפיות לאירועים המארגנות מאמצים להכיל, לתקן ולשפר את חוסנה של הסביבה בהתבסס על בעיות האבטחה שזוהו במהלך חקירת האירוע וניתוח ההשפעה.
כלי SOC התומכים בבינה מלאכותית ממלאים תפקיד משמעותי בהבטחת תגובה יעילה ומהירה. הם מציעים הדרכה שלב אחר שלב כיצד לבצע כל פעולה מתקנת נדרשת באמצעות כלי האבטחה של הארגון. יתרה מכך, כלים רבים מספקים תיקון בלחיצה אחת או אפשרויות תגובה אוטומטיות לחלוטין, וכתוצאה מכך זמני תגובה מופחתים משמעותית. על ידי מינוף בינה מלאכותית (AI) בתגובה לאירועים, ארגונים יכולים להגן על עצמם טוב יותר מפני איומי סייבר ולמזער את ההשפעה של פרצות אבטחה.

שיפור מדדים
צמצום זמני תגובה
משימות ידניות גוזלות זמן בתהליך הטריאז ומביאות לזמן ממוצע לזיהוי (MTTD) ממושך. בנוסף, ברגע שההתראה מאושרת כזדונית, החקירות המורכבות והארוכות הבאות מעכבות עוד יותר את הבלימה והתגובה, מה שמוביל לזמן ממוצע לתיקון (MTTR) ממושך. עם זאת, שילוב בינה מלאכותית (AI) ואוטומציה של החקירה יכולה להפחית משמעותית את זמני הזיהוי MTTD והתיקון MTTR. זה יכול להפחית את זמני התיקון מימים לדקות, מה שמפחית מאוד את הסבירות של אירוע שיוביל לפרצה.
שיפור יעילות התגובה
לא ניתן להכיל ולתקן תקריות ובעיות שאינן מזוהות או רק מזוהות חלקית בלי לערוך בדיקה וחקירה כמו שצריך בכל התראה ובלי לתפור נתונים בין מקורות נתוני אבטחה (למשל, דואר אלקטרוני, רשת, זהות, נקודת קצה וכו') בכדי לראות התקפות שלמות, ולכן, אין דרך להגיב ביעילות לאירועים. תפקידה של בינה מלאכותית (AI) הוא פשוט, להבטיח שכל התראה תיבדק וכל אירוע נחקר ביסודיות כדי לוודא שמאמצי התגובה יעילים.

קידום האנליסט
האם אנליסטים צריכים קידום/חיזוק? כמובן. קידום האנליסטים הוא חיוני עבור ארגונים המתמודדים עם אתגרים בגיוס ושימור חברי צוות מיומנים. גישה יעילה אחת להשיג זאת היא על ידי ייעול ואוטומציה של משימות החוזרות על עצמן וגוזלות זמן כמו טריאז. וזאת, על ידי ביטול השיעמום… אנליסטים יכולים לנתב את מאמציהם לעבודה משפיעה ומרתקת יותר. ״החופש החדש״ הזה מאפשר להם להקדיש את זמנם לפרויקטים מרגשים ומעניינים כמו ניטור מתקדם, פיתוח יכולות הזיהוי, הקשחת אבטחה, ביצוע Threat Hunting ועוד.
גיוס עובדים
על פי דו"ח של ISC2, ישנם כיום 3.4 מיליון תפקידי אבטחת סייבר פתוחים, המייצגים עלייה של 26.2% בהשוואה לשנה החולפת. בהתחשב במחסור זה של אנשי מקצוע מיומנים, בניה ושמירת אנליסטים וצוות SOC אפקטיבי דורש מיקסום הפוטנציאל של כל עובד ולצמצם את הצורך באנליסטים נוספים, שכן גיוס עובדים לבדו אינו פתרון אפשרי.
אחת הדרכים להשיג זאת היא על ידי הטמעת בדיקות תקריות המאפשרות בינה מלאכותית, אשר מגבירה משמעותית את הפרודוקטיביות של אנליסטים, ובכך מפחיתה את הצורך להעסיק כוח אדם נוסף שאינו מיומן, הפחתת הצורך להעסיק דגלנים, ובמקום כל אלה להעסיק צוות מצומצם של אנליסטים מיומנים שיכולים לבצע פעולות מתקדמות יותר.
עדיין, עם האוטומציה של משימות גוזלות זמן כמו בדיקה, חקירה ותגובה, אפילו אנליסטים זוטרים יכולים לתרום תרומה משמעותית ליעילות הכוללת של ה SOC. כתוצאה מכך, מנהלים יכולים להתמקד בהעסקת אנליסטים זוטרים יותר ללא דאגות לגבי השפעתם המיידית על מדדי הצוות.
שימור כשרונות
בינה מלאכותית משפרת את החלק של GRC על ידי הקלה על הליכי בדיקה, הסלמה, סקירה ותיקון יעילים יותר. כמו כן, על ידי אוטומציה של משימות ידניות ועתירות זמן, בינה מלאכותית (AI) מפחיתv את שחיקת ועייפות האנליסטים. זה עוזר לשפר את יכולתו של האנליסט לקבל החלטות טובות יותר ומושכלות יותר. כתוצאה מכך, אנליסטים וצוותי SOC יכולים לעבוד מדויק ומהר יותר ולצמצם את הטעויות. על ידי ניתוב נפח האירועים העצום באמצעות פתרונות אוטומטיים התומכים של בינה מלאכותית (AI), מנהלים יכולים להפיק את המירב מאנליסטים מיומנים ומכישוריהם.
התוצאה היא סביבת עבודה מספקת יותר. במקום לבזבז זמן על משימות חוזרות ונשנות ללא מוצא (כוזבות), צוותים עובדים על דברים שעושים הבדל אמיתי. סביבה מתגמלת זו יכולה אפילו לעזור לשמר כישרונות אבטחה שקשה למצוא. מי רוצה לעבוד על משימות שאין להן ערך בעולם האמיתי? במקום זאת, אנשים רוצים שיאתגרו אותם בבעיות שמייצרות תוצאות חיוביות שניתן לראות.
אנליסטים וצוות SOC וכל אחד מהם רוצה לעשות אימפקט חיובי, ובינה מלאכותית (AI) מאפשרת זאת!
לסיכום
בנוף איומים המתפתח במהירות, הגישה המסורתית לניסוי ותגובה לאירועים הופכת ללא קיימא. אימוץ פתרון בינה מלאכותית (AI) הוא הדרך עבור אנליסטים ובפרט SOCs מודרני.
Radiant Security הוא SOC Copilot מתקדם המופעל על ידי בינה מלאכותית (AI) שמגביר את פרודוקטיביות האנליסטים וצוותי SOC, ובפרט, מזהה התקפות אמיתיות באמצעות חקירה מעמיקה ומצמצם באופן דרסטי את זמני התגובה לאירועים.







