ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Спросите специалиста по кибербезопасности о системах обнаружения и реагирования в сети (NDR), и вы, возможно, по-прежнему услышите: «Слишком много шума», «Слишком много данных». Но спросите команды, использующие NDR с агентскими ИИ-возможностями, и вы узнаете, что на самом деле они применяют эту технологию для более раннего выявления угроз, более оперативной классификации и сокращения количества ложных срабатываний. Старые претензии сохраняются отчасти потому, что репутация — вещь устойчивая, а также потому, что NDR развивается быстрее, чем общественное мнение.

Внедрение NDR всегда давало аналитикам глубокий обзор сетевого трафика, поведения зашифрованных сеансов и аномалий протоколов. Но этот обзор часто представлял собой сырой материал, а не готовую аналитическую информацию.

Некоторые системы требовали значительной ручной настройки во время развертывания, чтобы предотвратить перегрузку SIEM. Организации, которые не могли потратить на это время (или не знали, насколько это важно), способствовали укреплению репутации NDR как «потока предупреждений» или «шумной» системы.

NDR с агентным ИИ превращает шум в нарратив

Агентный ИИ автономно извлекает данные, сортирует оповещения, а также выполняет корреляцию и первоначальный анализ, беря на себя трудоемкую и повторяющуюся работу, которая раньше заваливала аналитиков. Вот неожиданный поворот: объем данных, который когда-то мог перегружать команды, если NDR не был должным образом настроен, стал стратегическим активом. Поскольку ИИ может принимать и одновременно анализировать тысячи точек данных, «шум» может стать плодородной почвой для поиска полезных сигналов, таких как связи между событиями низкой серьезности, информационными или иными малозаметными действиями, которые большинство команд SOC никогда не смогли бы сопоставить. Система может выявлять обнаружения, которые в противном случае могли бы быть упущены.

Благодаря тому, что ИИ обрабатывает объем данных и выполняет рутинные задачи, аналитики освобождаются и могут сосредоточиться на главных угрозах. NDR с агентным ИИ собирает воедино полную, коррелированную картину из сетевых данных и выявляет приоритетный набор обнаружений, таких как аномальное соединение, связанное с неудачным входом в систему, подозрительный DNS-запрос или необычный доступ к файлу. Каждое обнаружение сопровождается сетевыми доказательствами, необходимыми аналитикам для немедленного понимания контекста.

NDR по-прежнему следует настраивать так, чтобы игнорировать действительно «бессмысленный» шум, но возможности корреляции агентского ИИ также снижают потребность в ручной настройке, с которой некоторые развертывания NDR иногда сталкивались в прошлом, путем выявления и автоматизации улучшений в обнаружении.

Сравнение NDR без и с агентным ИИ

Начнем без агентского ИИ. Представьте, что за типичный 24-часовой период ваша система NDR обнаруживает 847 сетевых аномалий, а модели машинного обучения помечают 312 из них как потенциально вредоносные. Теперь аналитики приступают к ручной сортировке и расследованию этих аномалий, вероятно, отбрасывая большое количество как ложные срабатывания. В итоге выявляются четыре обнаружения, требующие действий.

Теперь представьте тот же период и то же количество аномалий, но с агентивным ИИ, занимающимся сортировкой. Он сопоставляет оповещения, анализирует доказательства и делает выводы. Затем он представляет аналитикам четыре приоритетных обнаружения для проверки, каждое с приложенными соответствующими доказательствами и предложенными мерами реагирования. Например, он может определить, что аномалия DNS соотносится с новым процессом на конечной точке, пометить скомпрометированную идентичность и сопоставить шаблоны TTP с маяками Cobalt Strike. Расширенный NDR даже позволяет аналитикам заглянуть «под капот», чтобы увидеть, как ИИ пришел к своим выводам, что обеспечивает полную прозрачность. Аналитики просто выбирают приоритетные обнаружения и приступают к их рассмотрению.

Агентный ИИ все еще не полностью устраняет необходимость в правильном развертывании. Три ключевых области способствуют тому, что NDR становится надежным партнером, а не «шумным соседом»: установление базовых показателей, постоянная настройка и интеграция с SOC.

NDR имеет механизмы обнаружения, которые могут генерировать оповещения сразу после установки, но некоторые методы, такие как обнаружение аномалий, требуют, чтобы платформа работала в течение определенного периода времени для установления базовых показателей нормального поведения сети. В течение этого периода она наблюдает за типичными потоками трафика, известной активностью серверов и конечных точек, а также ожидаемыми устройствами. Большинство платформ NDR уже автоматизировали этот процесс, что помогает системе отличать рутинные операции от реальных угроз и выявлять вредоносный трафик. Настройка основывается на этом базовом уровне. Когда срабатывают ложные срабатывания, аналитики могут классифицировать и удалить их из очереди оповещений, помогая переобучить механизмы обнаружения и еще больше снизить уровень шума.

Сети меняются. Новые приложения, облачные рабочие нагрузки, неизвестные устройства и потоки данных, управляемые ИИ, могут сместить базовую линию, а устаревшая базовая линия может привести к большему количеству ложных срабатываний. Регулярная настройка поддерживает калибровку NDR, в то время как ИИ может помочь обнаружить возникающие паттерны, прежде чем они превратятся в шум.

Данные NDR могут служить топливом для других систем в SOC на базе ИИ, а лучшее топливо может обеспечить более чистые результаты. Это важно для решения проблемы шума: когда ИИ имеет в своем распоряжении высококачественные данные, он может более точно отличать реальные угрозы от ложных срабатываний.

В одном из примеров недавний отчет продемонстрировал, насколько важно качество данных: один тип данных улучшил результаты тестов CTF более чем на 350%. В этом отчете те же данные повысили точность (95% против 26%) и обеспечили почти на 300% больше результатов реагирования на инциденты по сравнению с обычными форматами журналов. Во всех тестовых прогонах, проведенных в ходе исследования, передовые модели ИИ показали сопоставимые результаты, что означает, что на результаты безопасности большее влияние оказало качество данных, а не выбор модели.

Эти же данные могут обогатить другие инструменты AI SOC, SIEM на базе ИИ (например, Charlotte от CrowdStrike) и подключения к локальным моделям через MCP. Организации, извлекающие максимальную выгоду из своих систем, стратегически используют API и каналы обнаружения, позволяя ИИ NDR обрабатывать корреляцию до того, как оповещения достигнут других платформ, что еще больше снижает количество ложных срабатываний, прежде чем они попадают в очередь аналитиков.

Мифы часто сохраняются, потому что их легко повторять. История о том, что «NDR шумный», быстро заменяется ИИ, разработанным для корреляции в больших масштабах, который:

Находит сигналы, которые иначе были бы потеряны в шуме

Перенаправляет внимание аналитиков на угрозы высокой степени опасности

Правильное развертывание решает остальные задачи. В результате получается NDR, которая обеспечивает лучшую видимость и более быстрое реагирование, а также помогает SOC наконец-то идти в ногу с сетью.

Corelight Network Detection & Response

Платформа Network Detection & Response (NDR) от Corelight, которой доверяют защиту самых уязвимых сетей в мире, сочетает в себе глубокую видимость с агентурным ИИ, а также передовые технологии обнаружения поведения и аномалий, чтобы помочь вашему SOC выявлять новые, быстро развивающиеся угрозы. Узнайте больше о Corelight.