Технологии машинного обучения способны сжимать часы первичного сбора информации до нескольких минут, генерировать запросы и коррелировать доказательства. И эти возможности действительно стоит использовать агрессивно. Но этап оценки рисков требует понимания институциональной памяти компании.
Алгоритм не понимает, что массив «низкоприоритетных» уведомлений поступил из систем недавно приобретенной компании, о которой еще не объявлено официально. Он не способен точно отличить, является ли выполнение команд PowerShell частью прошлогодних учений Red Team, или принадлежало ли атакованному серверу уволенному сотруднику. Этот бизнес-контекст сохраняется вне конвейера данных. Финальное определение уровня критичности инцидента всегда является задачей аналитиков: результаты работы автоматизированных агентов являются лишь входными данными для принятия решений.
Дискуссия о целесообразности использования новейших технологий в операциях с данными кибербезопасности уже не актуальна — они стали неотъемлемой частью современных отраслевых процессов. Главный вопрос сводится к тому, кто понесет ответственность за возможные последствия. Команды, которые используют интеллектуальных помощников для парсинга и ускорения триажа, выигрывают в скорости. Те же, кто позволяет алгоритмам автоматически управлять фильтрацией и устанавливать истину в расследованиях, неизбежно столкнутся с потерей контроля.
Компания iIT Distribution как дистрибьютор и экспертный партнер по кибербезопасности помогает бизнесу выстроить надежную архитектуру управления данными. Специалисты iITD обеспечивают полный сопровождение проектов от оценки потребностей до внедрения решений мировых вендоров (в частности Cribl). Техническая команда дистрибьютора предоставляет всесторонние консультации, анализирует инфраструктуру и становится частью команды партнера, индивидуально прорабатывая каждый случай для построения устойчивой, управляемой и безопасной ИТ-среды.