安全运营是当前安全工作的主要挑战,SIEM是安全运营的主要平台,生成式大语言模型出现后,最多的应用场景就是安全运营,CrowdStrike的方案也不例外,本文重点看AI在NG-SIEM中的作用。
文章共分五部分:
一、传统SIEM的问题
二、CrowdStrike的NG-SIEM介绍
三、AI在NG-SIEM里的应用
四、AI-Native SOC
五、总结
由于涉及AI的内容比较多,部分基础能力已经单独在上一篇分析,看本篇之前,建议先阅读 CrowdStrike的AI能力分析
老调重弹,SIEM的问题
SIEM的发展由来已久。从日志管理开始,到事件管理,数据关联,数据分析,人们总是期待,用数据分析可以发现未知的攻击,逐渐走入了一个数据悖论:一方面觉得数据越多越好,能更好的分析,另一方面,数据量越大,导致处理越复杂,处理速度越慢,成本越高,大体是这个曲线:
对攻击来说,处理速度是关键,数据、效率与成本之间的矛盾日益增加。
结果就是:乙方天天在说SIEM如何进步,价值提升,甲方则疲于奔命的处理各种数据和事件,安全问题解决越来越困难,感觉持续上当,不想买单。
CrowdStrike的NG-SIEM
CrowdStrike宣称的NG-SIEM,能够统一您的数据,查看所有内容,并通过无代码自动化立即做出响应,如上图,主要特点:
1. 无限制扩展
Falcon Next-Gen SIEM 的无索引架构和 PB 级可扩展性可确保您的数据始终触手可及,而无需支付传统系统的高昂价格。
2.快速部署,无缝整合
利用云的技术,可以实现快速部署,并与客户现有的安全系统无缝整合。
3. 数据与人工智能自动化的融合
Falcon 平台从一开始就集成了关键数据和威胁情报,并通过轻松的第三方数据导入将可见性扩展到任何数据源。通过针对原生数据源的 AI 驱动检测和分析以及跨所有数据的精确关联规则来发现每一次攻击。精确定位对手技术,映射到 MITRE ATT&CK 框架。用实时、精确的攻击指标 (IoA) 取代模糊的异常检测,从猜测到阻止违规行为。
4.利用攻击可视化在几秒钟内进行调查
通过以优雅的可视化图表查看事件,即时了解对手的完整攻击路径。通过转向端点检测了解攻击的根本原因。搜索性能比传统 SIEM 快 150 倍,调查速度更快。实时协作以共享信息并快速定位和响应。
5. 利用工作流程自动化阻止违规行为
利用由 CrowdStrike Falcon ® Fusion SOAR提供支持的无代码工作流自动化简化 SOC 响应。通过自动执行繁琐的任务并让您的团队专注于高价值工作和高风险威胁,减轻 SOC 分析师的负担。协调端点和第三方工具之间的操作,以迅速遏制攻击、限制横向移动并阻止违规行为。
6. 利用 GenAI 和威胁情报提升您的 SOC
确定事件的优先级并丰富事件,用通俗易懂的语言总结关键见解,并利用生成式人工智能的强大功能节省大量工作时间。通过将事件与 CrowdStrike 业界领先的威胁情报中 230 多个对手及其商业技巧的背景关联起来,做出更好、更快的决策。
7.提供基础的编排能力,作为平台,可以在之上运行三方的APP,走生态发展的方向。
AI在NG-SIEM上的应用
1.数据处理
CrowdStrike 85%的数据来自终端和云,也包括三方的数据。传统上,三方的数据对接适配是个非常大的麻烦,很多定制化的操作来自于此。
CrowdStrike的AI可以自动处理三方的数据格式并提供接入能力,非常方便调查,不仅如此,对数据的两个关键动作用AI强化:
1)数据的标准化(Data Normalization,指的是将不同来源的安全日志和事件数据转换为统一格式的过程),比如,同样是IP地址,在不同的数据源,其名称和格式是不同的,类似的内容很多,是SIEM数据关联的重要问题,CrowdStrike的AI有创新性的解决方案,可以自动处理。
2)数据丰富化(Data Enrichment, 通过整合现有数据与外部数据源中的新增信息来提高数据集的质量和价值的过程),比如,增加威胁情报的内容,一些资产的关联信息等,都直接由AI负责完成。
2.AI 工作流自动化(Workflow Automation)。有许多工作需要处理,事件调查,关联分析,ticket处理等,传统的UI处理起来非常费时间,工作流自动化用于解决这个问题。其实就是之前的SOAR,用于对各种预定义任务的自动化,支持了无代码构建能力,在加入AI支持之后,可以调用AI的能力,也可以用AI生成工作流。
3.AI的合规报告
传统的合规,报告五花八门,每年复审都要消耗巨大的人力。NG-SIEM可以使用AI的能力,自动提取数据,生成满足要求的合规报告。
这个是AI的能力强项。
4.AI自动化助手,辅助的数据分析和事件调查。类似
详见上一篇 CrowdStrike的AI能力分析
AI Native SOC
CrowdStrike的AI Native SOC是指将人工智能(AI)技术融入到传统的安全运营中心(SOC)中,以提高威胁检测、分析和响应的效率和准确性。AI Native SOC的核心是利用AI来增强威胁情报和检测、自动化响应系统、以及通过生成性人工智能(GenAI)简化安全操作任务的执行。
以NG-SIEM为核心平台,用数据使能AI,结合工作流自动化,提供对SOC团队中各角色进行赋能增强。
基于AI驱动的NG-SIEM的能力,CrowdStrike认为,SOC要转型,转为AI原生的SOC,这些SOC的能力包括:
1)高级威胁检测和自动响应
AI原生分析使SOC能够大幅减少误报,并加速调查和响应。通过AI,SOC可以实时筛选大量全球威胁数据,识别可能表示即将发生的攻击的模式和异常,从而加快检测过程并提高识别真正威胁的准确性。高级威胁检测包括AI的检测,象UEBA,IOA检测等,也包括AI提供的数据分析和强化的工作流自动化等。
2)预测安全(Predictive security)
AI结合本地数据分析,这些本地数据包括客户的威胁环境,威胁行为者(Threat actors),资产,漏洞,数据配置等。AI能够根据这些数据,结合威胁情报,ExPRT.AI的风险优先级排序等风险优先级,分析出可能的风险,攻击路径等,是一种利用人工智能(AI)和机器学习技术来预测和防止未来威胁的安全方法。这种方法侧重于通过分析过去的安全事件、当前的安全趋势和潜在的漏洞来预测可能发生的攻击,并采取相应的预防措施。
3)自适应安全态势 (Adaptive security posture)
AI具备自学习能力。能够从威胁事件处理、攻击等过程学习提升,不断进化,是一种动态的、以威胁为中心的方法,旨在不断评估和调整组织的网络安全措施,以适应不断变化的威胁环境。这种方法强调了持续监控、风险评估和自动化响应的重要性,以实现对威胁的快速检测和有效防御,达到自适应安全态势的能力。
4)情境安全情报(contextual security intelligence)
根据上下文感知环境。这是一种先进的网络安全方法,它利用深度的威胁情报和自动化技术来提供对复杂威胁环境的深入理解。这种方法通过整合来自多个来源的数据,包括网络、端点、云和身份,来构建一个全面的威胁图景,从而使安全团队能够更有效地识别、分析和响应安全威胁。
(以上内容主要来自于CrowdStrike CEO 在RSA的演讲,感觉有点吹牛的嫌疑。)
总结
CrowdStrike的目标是阻止入侵(Stop Breaching),此次升级的NG-SIEM,在SOAR自动化的基础上,对AI的使用非常多,大语言模型目前最好的应用场景也是AI助理能力,二者结合,希望有不一样的效果。
CrowdStrike的预期是,能够快速发现,快速处理,并且大幅降低成本。
只是,这样的故事已经讲了很多次了,看看这次效果能达到预期吗?或者说能满足客户要求吗?
END
