Pokud zvažujete platformy SOC poháněné AI, pravděpodobně jste narazili na odvážná tvrzení: rychlejší třídění, chytřejší nápravy a méně šumu. Ale pod povrchem není každá AI stejná. Mnoho řešení se spoléhá na předem vyškolené AI modely, které jsou optimalizovány pro několik konkrétních případů použití. Zatímco to mohlo fungovat pro včerejší SOC, dnešní realita je jiná.
Moderní týmy pro bezpečnostní operace čelí rozsáhlé a neustále se měnící krajině upozornění. Od cloudu po koncové body, identity po OT, vnitřní hrozby po phishing, sítě po DLP a mnoho dalších, seznam pokračuje a neustále roste. CISOs a manažeři SOC jsou oprávněně skeptičtí.
Předem vyškolené AI modely v SOC jsou obvykle vyvíjeny pomocí tréninku algoritmů strojového učení na historických datech ze specifických bezpečnostních případů použití, jako je detekce phishingu, upozornění na malware na koncových bodech a podobně. Inženýři kurátorují velké, označené datové sady a ladí modely tak, aby rozpoznávaly běžné vzory a kroky nápravy spojené s těmito případy použití. Jakmile jsou nasazeny, model funguje jako vysoce specializovaný asistent. Když se setká s typem upozornění, na který byl vyškolen, dokáže rychle klasifikovat upozornění, přiřadit skóre důvěry a doporučit další akci, často s působivou přesností.
To činí předem vyškolenou AI obzvláště vhodnou pro kategorie upozornění s vysokým objemem a opakovaným výskytem, kde je chování hrozby dobře pochopeno a relativně konzistentní v průběhu času. Může dramaticky snížit časy třídění, poskytnout jasné vodítko pro nápravu a eliminovat redundantní práci automatizací běžných bezpečnostních pracovních postupů. Pro organizace s předvídatelnými profily hrozeb nabízejí předem vyškolené modely rychlou cestu k operační efektivitě, poskytující hodnotu ihned bez nutnosti hluboké přizpůsobení.
Zdroj: The Hacker News