现代网络安全是一场速度游戏。现在,攻击只需几分钟即可发生,安全团队检测和干扰对手的敏捷性可能会决定成为猎人还是被猎杀。
但是,要夺回针对对手的速度优势可能是一项艰巨的任务。安全团队的任务。当今的防御者必须应对安全角色空缺、严重的复杂性和无情的警报量,所有这些都会延长响应时间,并使团队在非紧急任务上浪费时间。与此同时,在人工智能和自动化技术的推动下,攻击者的复杂性和隐蔽性不断上升到新的高度。
为了确保团队能够比以往更快、更有效地阻止违规行为,CrowdStrike 宣布推出四项突破性的人工智能旨在提升和加速分析师体验每个阶段的创新。这些新增功能将实现顺畅的数据摄取、重新设计警报优先级、可视化潜在的攻击路径并加速检测分类。每项创新都利用人工智能来打破有效威胁响应的持续障碍,包括手动数据加载、疯狂和不分优先级的警报、被忽视的盲点以及事件分类过程中容易出错的决策。
安全团队面临的最大挑战之一在他们开始分析检测之前就出现了,从数据加载开始。安全团队淹没在来自无数新来源的数据中,每个来源都有自己独特的日志格式。为这些日志开发自定义解析器可能是一个耗时、资源密集的过程,尤其是在格式不断发展的情况下。跟上这些变化,同时确保数据保持准确和可访问是一项持久的斗争,通常会导致部署延迟、成本增加和团队负担过重。
CrowdStrike Falcon 下一代 SIEM 正在通过人工智能生成改变游戏规则解析器,使 SOC 团队能够快速摄取和处理来自任何来源的数据。团队可以利用生成式人工智能的强大功能,根据代表性日志立即构建解析器,而不必费力地编写解析器并在每次日志格式发生变化时手动更新它们。
要生成解析器,用户只需提供示例日志记录即可。从那里,Falcon Next-Gen SIEM 使用多个大型语言模型 (LLM) 分析样本,以了解其结构和日志内容。AI 生成的解析器遵循 CrowdStrike 解析标准,确保无缝关联并增强威胁检测。
通过动态构建解析器,安全团队可以消除数小时的忙碌工作并加速 Falcon 下一代 SIEM 的部署。发现可简化数据加载的最新创新,轻松替换传统 SIEM。
安全团队面临的另一个长期存在的问题出现在主动暴露管理工作流程中。面对数以千计的漏洞和有限的资源,确定优先级对于安全团队来说是一项具有挑战性但又至关重要的任务。传统的漏洞管理工具通常根据单个严重性评分来确定漏洞的优先级,这无法提供足够的上下文来有效地确定优先级:根据 CVSS 评分,超过 50% 的 CVE 的严重性被评为“高”或“严重”,可提供的信息有限。这些分数还忽略了组织资产环境的环境背景,从而影响了可利用性。
CrowdStrikes 攻击路径分析 (APA) 通过 CrowdStrike Falcon Exposure Management 提供,通过预测性 AI 和机器学习技术解决了这些问题。它通过 ExPRT.AI(经过实时威胁情报和每天数十亿检测事件训练的 CrowdStrikes 专有技术)提高漏洞严重性评级。ExPRT.AI 可以预测性地动态评估漏洞的可利用性,以缩小团队需要关注的真正关键问题的百分比。机器学习算法有助于检测资产角色,以便告知资产的业务关键性(无论是跳转主机、电子邮件还是 Web 服务器),从而提供重要的环境背景。
借助这些信息和 CrowdStrike Falcon 的深刻洞察平台上,APA 列出了攻击者如何入侵并在客户环境中横向移动以危害关键系统。它可以区分真实的攻击路径和理论的攻击路径,并识别阻塞点或死胡同,以便团队可以升级防御以主动封锁路径。
此外,CloudStrikes APA 能够映射云和云端之间的跨域互连。- 本地资产,匹配大多数客户所居住的混合基础设施现实,并突出显示基于传统 CVE 和云原生错误配置的攻击预测因素。它还提供优先级高、影响大、省力的补救建议,以便团队可以快速采取行动,促进有针对性的响应,特别是在零日漏洞的情况下,分钟很重要。俗话说,攻击者用图表思考,防御者用列表思考。借助 APA,防御者现在可以可视化攻击者的视角,从而取得领先。
当安全团队需要找到线索时,就会出现另一个优先级挑战。大海捞针浮出水面,最迫切需要分析师关注的检测结果。传统的检测系统通常难以识别复杂的威胁,并且可能会因大量不优先的警报而让分析人员不知所措。这些传统方法经常应用通用规则和阈值,而无法考虑每个环境的独特特征。如果没有人工智能的帮助,分析师必须手动分类和拼凑不同的信息,从而导致警报疲劳和错过威胁的风险。
CrowdStrike Signal 是 CrowdStrike Falcon Insight XDR 的新型人工智能驱动引擎,可以解决这些挑战通过生成自动化潜在客户并对其进行智能优先级排序。通过将相关事件分组为可操作的见解并为调查提供明确的起点,CrowdStrike Signal 可以减少噪音、加速检测和响应,并确保所有技能水平的安全分析师都可以快速识别和消除威胁。
CrowdStrike Signal通过分析广泛的数据(包括微妙的早期指标)来增强早期威胁检测,使安全团队能够在潜在威胁造成损害之前识别并对其做出响应。通过 Signals 人工智能驱动的方法,检测可以适应每个环境的具体特征。这确保了只有最相关和最关键的威胁才会出现以供人工验证,从而实现更准确的优先级划分和响应。通过适应您的组织并提供对其当前状况的概览测量,Signal 降低了遗漏威胁的可能性并增强了整体安全性。
安全团队面临的最后一个挑战是加快分类和响应能力。为了进一步压缩调查和响应时间 (MTTR),安全团队将能够调用 CrowdStrike Charlotte AI 来加速检测分类,加快初始分类中最耗时、最容易出错的部分:辨别真假阳性并报告其结果评估。此功能将使 Charlotte AI 用户能够以 AI 的速度、一致性和规模在传入检测中应用 CrowdStrike 专家的世界一流的检测分类指导。与 Charlotte AI 启用的所有操作一样,用户将能够预先配置此功能可应用于哪些类别的检测,并使用 CrowdStrike Falcon Fusion SOAR 根据 AI 的发现来决定可以采取哪些操作。
当发出新的检测结果时,Charlotte AI 将首先分析该检测结果,以确定其是真阳性还是假阳性,并为其评估提供相关的置信度。Charlotte AI 还将建议是否应该关闭检测或将其转交给人类分析师。在此分类阶段,分析师将能够将 Charlotte AI 的升级决策作为 Falcon Fusion SOAR 工作流程的一个条件,以自动通知分析师何时开始取证分析或调查。最后,Charlotte AI 将生成一个解释,总结其发现和建议(见下图)。