Меньше шума, лучше сигналы: почему XDR и ИИ — это будущее кибербезопасности

Извлекая выгоду из торговли без вредоносного ПО для запуска необнаруживаемых нарушений, злоумышленники полагаются на легитимные системные инструменты и методы жизни вне земли (LOTL) для незаметного взлома конечных точек. Атаки без вредоносных программ основаны на доверии к законным инструментам, редко генерируют уникальную подпись и полагаются на безфайловое выполнение.

По всей вредоносной активности, отслеживаемой CrowdStrike и сообщили в своих Отчет об охоте за угрозами за 2023 г.71 % обнаружений, проиндексированных График угроз CrowdStrike были свободны от вредоносных программ. В общей сложности 14% всех вторжений были связаны с инструментами удаленного мониторинга и управления (RMM) на основе активности, отслеживаемой Сокол OverWatch. Злоумышленники увеличили использование инструментов RMM для атак без вредоносного ПО на поразительные 312% по сравнению с прошлым годом.

С МошенничествоGPT сигнализируя о начале новой эры вооруженного ИИ и предприятий в риск проиграть войну ИИинтеграция ИИ, машинного обучения (МО) и генеративного ИИ в Расширенное обнаружение и реагирование (XDR) необходимо быстро отслеживать, чтобы предотвратить атаки без вредоносного ПО и новые атаки с использованием ИИ. XDR обеспечивает консолидацию Директора по информационной безопасности просили.

XDR улучшает соотношение сигнал/шум

Опираясь на API и платформы, предназначенные для масштабной интеграции, платформы XDR максимально используют все доступные источники телеметрии данных для обнаружения и реагирования на потенциальные вторжения и попытки взлома в режиме реального времени. Эти платформы доказали свою эффективность в уменьшении шума в сетях и обнаружении сигналов, указывающих на потенциальное вторжение или атаку.

XDR — эффективная стратегия консолидации для директоров по информационной безопасности: 96 % планируют консолидировать свои платформы безопасности, при этом 63 % говорят (согласно Опрос директоров по информационной безопасности, проведенный Cynet в 2022 г..

Почти все опрошенные директора по информационной безопасности заявили, что планируют консолидацию, по сравнению с 61% в 2021 году. Gartner прогнозирует что к концу 2027 года XDR будет использоваться до 40% предприятий, чтобы сократить количество поставщиков систем безопасности, которые у них есть, по сравнению с менее чем 5% сегодня.

Отличительной чертой всех лидеров XDR является глубокая плотность талантов в области искусственного интеллекта и машинного обучения в их командах. Ведущие поставщики платформ XDR включают Бродком, Сиско, CrowdStrike, Фортинет, Майкрософт, Пало-Альто Сети, SentinelOne, Софос, ТЕХТРИС, Тренд Микро и VMWare.

Правильный подход к XDR: начните с конечных точек

Конечные точки являются скрытым средством выбора для крупномасштабных попыток взлома: злоумышленники используют украденные удостоверения более чем 62% времени, чтобы получить доступ, и постоянно дорабатываем мастерство, чтобы найти пробелы в идентификация и безопасность конечных точексамая слабая область конечной точки.

Директора по информационной безопасности в сфере страхования, финансовых и банковских услуг говорят VentureBeat, что конечные точки представляют собой наиболее сложную поверхность для защиты от угроз. Обычно ИТ-специалисты и специалисты по безопасности не знают, сколько у них конечных точек, где находится каждая конечная точка и перечень материалов для ее программного обеспечения (SBOM). Очистка агентов конечных точек и автоматизация управления исправлениями — это цели, с которых начинают многие директора по информационной безопасности.

Директора по информационной безопасности говорят, что нередко обнаруживают, что конечные точки перегружены агентами до такой степени, что становятся неработоспособными с точки зрения безопасности. Конфликты программного обеспечения делают конечные точки более уязвимыми для атак, затрудняют удаленное управление ими и могут снизить производительность.

Абсолютное программное обеспечение 2023 Индекс устойчивости использовала анонимные данные телеметрии своих 500 миллионов конечных устройств, чтобы узнать, сколько конечных точек в среднем есть у их клиентов. Они обнаружили, что на типичном корпоративном устройстве установлено 11 агентов безопасности, из них 2,5 для управления конечными точками, 2,1 для защиты от вирусов и вредоносных программ и в среднем 1,6 для шифрования. Абсолютные данные телеметрии устройств выявили 67 приложений, установленных на среднем корпоративном устройстве, причем на 10% этих устройств установлено более 100 приложений.

Автоматизация управления исправлениями конечных точек

ИТ-директор ведущего производителя сообщил VentureBeat, что, несмотря на то, что установка исправлений всегда имеет высокий приоритет, у нее недостаточно сотрудников, чтобы поддерживать актуальность всех исправлений. Коллеги по информационной безопасности согласны с тем, что управлению исправлениями уделяется внимание только в экстренных случаях — после вторжения или взлома. Этот вывод согласуется с Отчет Ivanti о состоянии безопасности на 2023 год. Иванти обнаружил, что в 61 % случаев внешнее событие, попытка вторжения или взлом повторно инициируют усилия по управлению исправлениями.

«Внесение исправлений не так просто, как кажется», — сказал Сринивас Муккамала, директор по продукту в Иванти. «Даже хорошо укомплектованные и хорошо финансируемые группы ИТ и безопасности сталкиваются с проблемами расстановки приоритетов среди других насущных требований. Чтобы снизить риск без увеличения рабочей нагрузки, организации должны внедрить решение для управления исправлениями с учетом рисков и использовать автоматизацию для выявления, приоритизации и даже устранения уязвимостей без лишнего ручного вмешательства».

Муккамала сказал VentureBeat, что, по его мнению, управление исправлениями станет более автоматизированным, а вторые пилоты с искусственным интеллектом обеспечат большую контекстуальную аналитику и точность прогнозов.

«Учитывая, что в настоящее время выявлено более 160 000 уязвимостей, неудивительно, что ИТ-специалисты и специалисты по безопасности в подавляющем большинстве считают исправление слишком сложным и трудоемким», — сказал он. «Вот почему организации должны использовать решения ИИ… чтобы помочь командам расставлять приоритеты, проверять и применять исправления. Будущее безопасности заключается в передаче рутинных и повторяющихся задач, подходящих для машины, вторым пилотам с искусственным интеллектом, чтобы ИТ-специалисты и специалисты по безопасности могли сосредоточиться на стратегических инициативах для бизнеса».

ИИ повышает устойчивость XDR с помощью конечных точек с самовосстановлением

Правильное обеспечение киберустойчивости в мире нулевого доверия начинается с конечной точки. Советы директоров и директора по информационной безопасности, проводящие для них инструктаж, говорят, что киберустойчивость теперь считается обязательным условием для управления рисками. Абсолют Софтвер 2023 Индекс устойчивости отражает проблему превосходства в тренде «подчиняйся, чтобы соединиться». Цель — сбалансировать кибербезопасность и киберустойчивость.

Директора по информационной безопасности рассказали VentureBeat, что самовосстанавливающиеся конечные точки являются краеугольным камнем надежной стратегии киберустойчивости. Самовосстанавливающиеся конечные точки обеспечивают надежный поток данных телеметрии в режиме реального времени для обучения моделей ИИ и машинного обучения и укрепления платформ XDR. Их также сложнее обойти и нарушить по сравнению с ограничениями предыдущего поколения и аналогами, основанными на правилах. Конечные точки на основе искусственного интеллекта и машинного обучения обнаруживают потенциальные атаки и реагируют на них за миллисекунды, что очень важно для современных предприятий, учитывая быстрый рост межмашинные атаки.

Ведущие поставщики конечных точек с самовосстановлением включают Абсолютное программное обеспечение, Акамай, Ежевика, CrowdStrike, Сиско, Malwarebytes, Макафи и Майкрософт 365. Компания VentureBeat опросила клиентов каждого поставщика и обнаружила, что подход Absolute к внедрению в микропрограммы более 500 миллионов конечных устройств является наиболее надежным для предоставления командам SOC телеметрических данных в реальном времени, которые нужны им и их платформам XDR.

Подход Absolute уникален тем, что он основан на встроенном программном обеспечении. упорство в качестве основы самовосстановления, обеспечивая неразрушимую цифровую привязку к каждой конечной точке на базе ПК. Устойчивость Absolute Softwareпервая в отрасли самовосстанавливающаяся платформа с нулевым доверием, примечательна своим управлением активами, устройствами и приложениями, аналитикой конечных точек, отчетами об инцидентах и ​​соблюдением нормативных требований.

XDR: первая линия защиты от вооруженного ИИ

эра вооруженного ИИ наступила, и платформы XDR должны активизироваться и взять на себя задачу получения максимальной отдачи от технологий искусственного интеллекта и машинного обучения, если отрасль кибербезопасности и многие организации, которые они обслуживают, хотят оставаться в безопасности. Никто не может позволить себе проиграть войну ИИ против злоумышленников, которые рассматривают пробелы в удостоверениях и конечных точках как возможность получить контроль над сетями и инфраструктурой.

Что больше всего беспокоит, так это то, что устаревшие системы на основе периметра предполагали неограниченное доверие к каждому идентификатору, конечной точке и соединению, предоставляя злоумышленникам неконтролируемый доступ к любой системе после того, как они скомпрометировали конечную точку. Правильное использование XDR должно начинаться с конечных точек. Устранение разрастания агентов помогает улучшить видимость и производительность конечных точек, а автоматизация управления исправлениями с помощью методов искусственного интеллекта и машинного обучения, которые обучаются, а не ждут следующей уязвимости, избавляют ИТ-специалистов от пожарных учений и траты времени.

Самовосстанавливающиеся конечные точки являются краеугольным камнем киберустойчивости. Укрепление этих областей является необходимым условием для максимально эффективного использования архитектуры XDR, которая может реализовать свой потенциал для защиты основных бизнес-функций организации и клиентов.