Zespół badawczo-rozwojowy odpowiedzialny w firmie TEHTRIS za mechanizmy sztucznej inteligencji opracował nowy, autorski moduł Cyberia eGuardian. Jego zadaniem jest oszczędzanie czasu i wspomaganie analityków z działów SOC w kontrolowaniu bezpieczeństwa IT bezpośrednio z poziomu platformy XDR. Asystent Cyberia eGuardian posiada pełny wgląd w zdarzenia bezpieczeństwa na punktach końcowych 24 godziny na dobę i 7 dniu w tygodniu, co pozwala na automatyczne wstępne podejmowanie działań, nadawanie priorytetów, grupowanie i zwracanie uwagi analityków na najważniejsze incydenty.
Obecnie Cyberia eGuardian wykorzystuje mechanizmy głębokiego uczenia do przeprowadzania zaawansowanej analizy alertów i zdarzeń generowanych przez moduł TEHTRIS EDR, a docelowo obsługiwane będą zdarzenia przekazywane przez wszystkie moduły zintegrowane z platformą XDR. Wszystkie zdarzenia i alerty mają nadawane priorytety (wysoki lub niski) oraz są klasyfikowane jako anomalia lub standardowe zachowanie. Ponadto, alerty i zdarzenia są grupowane wg wykonywanych działań, uruchamianych plików lub procesów. Grupowanie może być przeprowadzanie w ramach całej infrastruktury IT lub wybranych maszyn.
- Priorytety alertów i ciągłe uczenie sztucznej inteligencji
- Grupowanie i wykrywanie anomalii
- Wgląd w ochronę oferowaną przez sztuczną inteligencję
Priorytety alertów i ciągłe uczenie sztucznej inteligencji
Model sztucznej inteligencji wykorzystany w asystencie Cyberia eGuardian został wytrenowany z myślą o wyłapywaniu alertów o wysokim priorytecie spośród wszystkich zdarzeń i komunikatów. Przydzielanie niskich i wysokich priorytetów odbywa się na podstawie punktacji, która jest obliczana z użyciem sztucznej inteligencji i może wynosić od 0% dla najniższego prawdopodobieństwa szkodliwości do 100% dla alertów, które bez wątpienia są powiązane z niebezpiecznymi działaniami.
Strategia kwalifikowania poziomu zagrożenia z użyciem asystenta Cyberia eGuardian
Wstępne podejmowanie działań i nadawanie priorytetów przez moduł Cyberia eGuardian pozwala na optymalizację czasu pracy analityków dzięki automatycznej identyfikacji pilnych i najważniejszych zdarzeń bezpieczeństwa, nad którymi specjaliści powinni się skupić w pierwszej kolejności. TEHTRIS zaleca kwalifikowanie poziomu zagrożenia zarówno w oparciu o standard MITRE jak i z wykorzystaniem punktacji obliczanej przez sztuczną inteligencję.
Taka strategia pozwala błyskawicznie wskazać zdarzenia bezpieczeństwa o najwyższym priorytecie, dzięki czemu analitycy nie muszą obsługiwać czasochłonnych, nieinteresujących, rutynowych i mało istotnych zadań. Asystent Cyberia eGuardian automatycznie sortuje zdarzenia wg priorytetu, zmniejszając do 0,1% liczbę zadań, którymi muszą się zająć analitycy z działu SOC.
Personalizacja i ciągłe uczenie sztucznej inteligencji
Dzięki zastosowaniu ciągłego uczenia sieci neuronowej, w ciągu kilku dni od wdrożenia bazowy model sztucznej inteligencji automatycznie dostosowuje się do potrzeb i preferencji analityków. Dzięki temu sztuczna inteligencja napędzająca asystenta Cyberia eGuardian ewoluuje i uczy się wraz z rozwojem chronionego środowiska IT.
Cyberia eGuardian bazuje na nadzorowanym modelu głębokiej sieci neuronowej, co oznacza, że do nauki potrzebne są odpowiednio oznaczone dane. Alerty są automatycznie oznaczane jako „wysoki priorytet” lub „niski priorytet”, jednak analitycy mogą modyfikować te etykiety. Dzięki takiemu podejściu eksperci mają pełną kontrolę nad funkcjonowaniem sztucznej inteligencji.
Grupowanie i wykrywanie anomalii
Jak wiadomo, wiele alertów i zdarzeń wywołują działania odbywające się z określoną regularnością. Szybkie identyfikowanie nowych lub rzadko występujących alertów staje się problematyczne. Aby temu zaradzić, asystent Cyberia eGuardian wzbogaca i nadaje kontekst każdemu alertowi oraz zdarzeniu poprzez informacje o poprzednich wystąpieniach.
Informacje o poprzednich wystąpieniach, lub innymi słowy o liczbie alertów wygenerowanych przez to samo zdarzenie, zawierają dodatkowo daty pierwszego i ostatniego wystąpienia. Dostępne są także statystyki dotyczące częstotliwości pojawiania się danego zdarzenia (liczba wystąpień na godzinę) oraz rozkład incydentów w ciągu ostatnich 24 godzin, wraz z listą punktów końcowych, na których je zaobserwowano.
Asystent Cyberia eGuardian pozwala także na automatyczne grupowanie wielu alertów w oparciu o predefiniowane warunki wg powiązanego z nimi procesu. Oznacza to, że wszystkie zgrupowane w ten sposób alerty są powiązane z uruchomieniem tego samego kodu, co pozwala na jeszcze precyzyjniejszy wgląd w informacje o procesie gromadzone przez wiele modułów EDR w chronionej sieci.
Wykrywanie anomalii
Cyberia eGuardian został także wyposażony w możliwości analizy wykrywanych anomalii. Wykrywanie bazuje na szacunkach wielu nienadzorowanych modeli sztucznej inteligencji – każdy z nich „głosuje” na określony poziom, co w efekcie daje ostateczny wynik. Celem tej funkcji jest zgłaszanie nietypowych alertów z uwzględnieniem ich treści. Modele wykrywania anomalii nieustannie uczą się, by uwzględniać zmiany w chronionej infrastrukturze.
Dzięki informacjom dostarczanym przez modele sztucznej inteligencji, asystent Cyberia eGuardian może na bieżąco generować ranking zagrożonych maszyn i użytkowników.
Wgląd w ochronę oferowaną przez sztuczną inteligencję
Etyka i zaufanie to nadrzędne wartości, którymi kieruje się firma TEHTRIS. Dlatego wszystkie modele sztucznej inteligencji wykorzystywane przez asystenta Cyberia eGuardian są całkowicie transparentne. Moduł szczegółowo tłumaczy swoje szacunki i prezentuje cechy zdarzenia, na bazie których algorytm sztucznej inteligencji podjął określoną decyzję.
Dzięki takiemu podejściu Cyberia eGuardian jest nie tylko narzędziem sztucznej inteligencji, ale także mechanizmem rozszerzonej inteligencji, które daje ekspertom informacje potrzebne do podjęcia ostatecznej decyzji.
Cyberia – autorska sztuczna inteligencja opracowana przez firmę TEHTRIS
Cyberia eGuardian to rozszerzenie platformy XDR, które oszczędza czas i zwiększa efektywność analityków z działów SOC. To rozszerzone i autonomiczne narzędzie sztucznej inteligencji łączy maszynowe oraz głębokie uczenie z analizą behawioralną, by nieustannie reagować na cyberataki – szczególnie te, których nie są w stanie wykrywać ludzie.