Події 1
Ua
En
Події 1
Результат пошуку:
Детальніше
Головна Прес-центр Індикатори атак на основі штучного інтелекту дозволяють максимально швидко прогнозувати та зупиняти загрози
Індикатори атак на основі штучного інтелекту дозволяють максимально швидко прогнозувати та зупиняти загрози- image 1
CrowdStrike Новини
Опубліковано:

Індикатори атак на основі штучного інтелекту дозволяють максимально швидко прогнозувати та зупиняти загрози

Нещодавно CrowdStrike представила наступну еволюцію перших у галузі IOA (Indicators of attack): індикатори атак на основі штучного інтелекту (AI). Одразу доступні клієнтам, IOA на базі штучного інтелекту генеруються моделями машинного навчання у хмарі, що використовують масштабний об’єм даних телеметрії CrowdStrike Security Cloud — механізму, який забезпечує найбільшу частку ринку розгорнутих датчиків у сфері корпоративної безпеки; та досвіду елітних команд з пошуку загроз CrowdStrike, щоб передбачити та завчасно захистити від нових класів загроз. Цей етап розширює підхід до об’єднання штучного інтелекту та людського досвіду (як це зроблено з CrowdStrike Falcon OverWatch) для забезпечення неперевершеного захисту.

Індикатори атак, створені штучним інтелектом, зміцнюють наявний захист (рис. 1) за допомогою хмарного машинного навчання та виявлення загроз у реальному часі. Ці дані використовуються для аналізу подій під час роботи програми та динамічної передачі індикаторів атак на сенсор. Клієнт CrowdStrike потім співвідносить згенеровані AI індикатори атак (дані про поведінкові події) з локальними подіями та даними файлів, щоб оцінити ступінь небезпечності. IOA на основі штучного інтелекту працюють асинхронно разом з наявними рівнями захисту сенсорів, включно з машинним навчанням на основі сенсорів і вже наявними індикаторами.

Індикатори атак на основі штучного інтелекту дозволяють максимально швидко прогнозувати та зупиняти загрози - зображення 5Рисунок 1. IOA на базі штучного інтелекту, згенеровані хмарними моделями машинного навчання, заснованими на багатій телеметрії CrowdStrike Security Cloud

Основні переваги IOA на основі штучного інтелекту

  • Виявлення нових класів загроз швидше, ніж будь-коли: будьте на крок попереду зловмисників, передбачаючи зміну методів діяльності та забезпечуючи проактивний локальний захист, який працює разом із наявними рівнями захисту.
  • Автоматизована профілактика атак за допомогою високоточного виявлення: хмарні моделі штучного інтелекту обмінюються індикаторами атак з сенсором CrowdStrike Falcon в режимі реального часу, щоб зупинити атаки, незалежно від специфіки зловмисного ПЗ чи використовуваних інструментів.
  • Зменшення кількості помилкових спрацьовувань і підвищення продуктивності: озброєні експертним досвідом і активовані в масштабі хмари, IOA на основі штучного інтелекту синтезують інформацію від всесвітньо відомої команди пошуку загроз CrowdStrike, щоб звести до мінімуму кількість помилкових спрацьовувань, з якими доводиться мати справу командам безпеки. Це допомагає максимізувати продуктивність аналітиків і забезпечує автоматизований пошук загроз у великих масштабах.

Що таке індикатори атаки?

Індикатори атак (IOA) — це послідовності спостережуваних подій, які вказують на активну або триваючу спробу злому системи (наприклад, виконання коду, персистентність чи бічний рух). Вперше впроваджені в галузь компанією CrowdStrike. Відстеження подій за послідовністю дозволяє аналітикам визначити, як зловмисники спочатку отримують доступ до мережі, а потім швидко зробити висновок про їхню мотивацію чи цілі. Відстежуючи основні моменти зловмисної діяльності на поверхні атаки, IOA дають змогу аналітикам скласти повну картину атаки, незалежно від типу шкідливого програмного забезпечення чи використовуваних інструментів. Окрім попередження про активні атаки, IOA застосовують розширений аналіз поведінки для моделювання та прогнозування дій зловмисника, забезпечуючи покращений захист майбутніх атак.

Фокус на IOA дає клієнтам численні переваги в порівнянні з використанням лише індикаторів компрометації (Indicators Of Compromise, IOC). По-перше, IOA дозволяє клієнтам виявляти атаки до або під час їх появи, а не після того, як систему було скомпрометовано, таким чином забезпечуючи проактивну та превентивну стратегію захисту. Покладаючись виключно на IOC, організація завжди буде на крок позаду зловмисника, оскільки вони попереджають аналітиків про присутність хакера вже після того, як системи були скомпрометовані (реактивний підхід).

Індикатори атак на основі штучного інтелекту дозволяють максимально швидко прогнозувати та зупиняти загрози - зображення 7Рисунок 2. Індикатори компрометації та показники атаки CrowdStrike

По-друге, зосереджуючись на зловмисних мотивах, а не на конкретних зловмисних програмах чи використовуваних інструментах, IOA дають змогу клієнтам адаптуватися до нових класів атак і зміни методів зловмисної діяльності. Наприклад, атаки без використання зловмисного програмного забезпечення або безфайлові атаки, на які припадає 62% атак за минулий рік.

Нарешті, оскільки IOA є універсальними за своєю природою, їх можна аналізувати паралельно (забезпечуючи як ефективність обчислень, так і масштабованість), і їх не потрібно оновлювати так часто, як підходи на основі сигнатур (як і у випадку з IOC).

Розширення можливостей IOA за допомогою штучного інтелекту

До цього часу процес створення IOA в основному покладався на прикладний досвід всесвітньо відомих мисливців за загрозами, в результаті чого ми отримували дуже складні та високоточні індикатори. Щоб клієнти могли випереджати загрози завтрашнього дня, процес виявлення та класифікації активних атак має перевищувати швидкість кіберзловмисників без втрати неймовірної точності IOA, створених експертами. Щоб досягти цього, CrowdStrike об’єднала людський досвід і машинне навчання, щоб розширити можливості по випуску IOA та підвищити якість створених експертами IOA, роблячи виявлення ще більш комплексними та проактивними, зберігаючи при цьому високий рівень точності.

Використовуючи потужність CrowdStrike Security Cloud для навчання цих зразків на хмарній платформі CrowdStrike Falcon, моделі машинного навчання можуть синтезувати величезні обсяги аналізу загроз із неперевершеною швидкістю, масштабом і точністю. Впроваджуючи потужність хмарного машинного навчання у процес розробки IOA, клієнти продовжують отримувати вигоду від проактивних, високоякісних сигналів, наданих IOA, тепер зі швидкістю та масштабом хмари.

Приклади IOA на основі штучного інтелекту

З моменту запуску у виробництво, хмарні моделі машинного навчання точно визначили понад 20 нових шаблонів індикаторів, які потім підтвердили експерти та застосували на платформі Falcon для автоматизованого виявлення та запобігання. Нижче ми розглянемо два приклади виявлених тактик противника, які призвели до появи нових IOA для корисних навантажень після експлуатації та атак PowerShell.

Post-Exploitation Payload Detections

Post-Exploitation Payload (Корисне навантаження після експлуатації) — це код, який зловмисник передає хосту після отримання початкового доступу. Цей Payload може бути різним: від C&C маяка до складної ransomware-загрози. IOA на основі штучного інтелекту ідентифікують їх, поєднуючи вихідні дані статичної моделі штучного інтелекту сенсора Windows з тим, як запускається файл, і зі знаннями, доступними лише через CrowdStrike Security Cloud. Наприклад, додати інформацію про походження процесу та способи його запуску. Завдяки цим додатковим даним можна досягти неймовірної точності виявлення та детальних індикаторів, що перевищує показники, які досягаються лише за допомогою статичного або поведінкового підходу. Відомі групи зловмисників, пов’язані із цими методами атаки, – CARBON SPIDER, WIZARD SPIDER, PRIMITIVE BEAR і VENOMOMUS BEAR.

PowerShell IOA очима штучного інтелекту

Зловмисники часто використовують PowerShell для доставки шелкоду (чи таких інструментів, як Mimikatz) або для виконання зловмисних дій, коли IOC ніколи не буде на диску. Ці типи атак важче ідентифікувати, а традиційні методи на основі сигнатур легко обійти, змінивши сценарій або командний рядок.

Використовуючи потужність моделей глибокого навчання для автоматичного вилучення найбільш релевантних розділів коду зі сценаріїв PowerShell, можна ідентифікувати безфайлові загрози, керовані PowerShell, і захиститися від них. Цей штучний інтелект навчений «читати» сценарії PowerShell і розуміти різницю між допустимими та зловмисним потоками коду. Він може розуміти закодовані та замасковані сценарії швидше й у такий спосіб, який не доступний людині, завдяки чому забезпечується проактивне високоточне виявлення, яке важче обійти зловмисникам. До відомих груп хакерів, які використовували PowerShell для організації атак, входять CYBER SPIDER, OCEAN BUFFALO, HELIX KITTEN і STONE PANDA.

Висновок

Машинне навчання залишається критично важливим інструментом для виявлення нових закономірностей у даних і проведення поглибленого аналізу поведінки, для розуміння намірів та цілей зловмисників. Компанія CrowdStrike, лідер у галузі хмарного захисту кінцевих точок, хмарних робочих навантажень, ідентифікації та даних, має намір продовжувати використовувати сукупну міць штучного інтелекту та хмарних технологій для підвищення ефективності захисту, протидії методам роботи зловмисників та надання клієнтам допомоги у припиненні зломів.

iIT Distribution забезпечує просування та дистрибуцію рішень компанії CrowdStrike в Україні. Ми прагнемо, щоб наші клієнти були озброєні найкращими світовими рішеннями із кіберзахисту.

НОВИНИ

Актуальні новини на вашу тему

Cribl Новини
Корпоративна розробка в епоху ШІ: чому бізнес продовжує обирати SaaS-платформи
Детальніше
Commvault Новини
Як підготувати бізнес до кібератак епохи Frontier AI: 4 кроки від Commvault
Детальніше
Vectra AI Новини
Як створити надійну інтеграцію SIEM та SOAR
Детальніше
Усі новини
Усі новини
Цей веб-сайт використовує файли cookie для зручності. Політика конфіденційності