L’integrazione dei modelli di intelligenza artificiale direttamente nelle piattaforme di rilevamento e risposta estesa (XDR) sta consentendo miglioramenti rivoluzionari nella velocità e nella precisione della ricerca SOC.
In un’intervista esclusiva con VentureBeat, e-Feel ha rivelato che è stato distribuito Claude antropico contro di loro Piattaforma Atlas XDR Offre un aumento della velocità di 43 volte comprimendo le indagini complete sulle minacce da cinque ore a sette minuti e corrisponde al processo decisionale degli analisti SOC senior con una precisione del 95%.
Il tipico SOC aziendale gestisce le cose in modo approssimativo 10.000 avvisi al giorno, secondo la ricerca AI di Dropzone. Gli analisti del SOC dicono a VentureBeat che, in media, possono indagare solo dal 22% al 25% di tutti gli avvisi. I falsi positivi possono raggiungere l’80% a seconda di come è configurato il SOC e se si fa eccessivo affidamento su sistemi legacy e non integrati. Il risultato: le minacce critiche rimangono non indagate mentre gli analisti dedicano interi turni ai flussi di lavoro manuali di raccolta delle prove.
"Il nostro obiettivo è ottenere risultati migliori, non eliminare lavoro." Dustin Hillard, responsabile prodotto e tecnologia e-Feelha detto a VentureBeat. "Ciò significa davvero una migliore comprensione della minaccia per i nostri clienti. Quando diciamo cinque ore di lavoro in pochi minuti, ciò significa 30 diverse fasi di raccolta delle prove generate dinamicamente nel contesto di quella particolare indagine sulla sicurezza."
Questa svolta deriva dall’integrazione dell’intelligenza artificiale a livello di piattaforma. L’approccio di ESentire prevede: Claude antropico Orchestrare flussi di lavoro multi-strumento che correlano simultaneamente modelli di minaccia su migliaia di punti dati, replicando essenzialmente il modo in cui gli analisti senior pensano alla velocità della macchina.
L’integrazione della piattaforma rappresenta la prossima evoluzione di XDR man mano che l’adozione dell’intelligenza artificiale accelera
I copiloti della sicurezza inizialmente hanno preso di mira i punti critici operativi che impedivano agli analisti del SOC di avere successo nel loro lavoro. Si sono rivelati estremamente utili per accelerare il triage, la deduplicazione degli avvisi, la soppressione del rumore, la regolazione del firewall e molte altre attività. VentureBeat Guida al copilota di sicurezzaUna matrice comparativa di 16 fornitori rivela come i copiloti vengono progettati in base ai punti di forza specifici di un determinato team di analisti SOC.
La prossima evoluzione va oltre i copiloti autonomi, con i principali fornitori XDR che integrano modelli AI di terze parti direttamente nelle loro piattaforme. L’approccio di ESentire Claude antropico Mostra quanto l’intelligenza artificiale profondamente integrata possa trasformare i flussi di lavoro della ricerca. I team DevOps e tecnici dell’azienda hanno scoperto che l’intelligenza artificiale integrata nella piattaforma può fornire una ricerca completa sulle minacce in linea con i processi decisionali degli analisti SOC senior con una precisione del 95%, riducendo i tempi di indagine da cinque ore a meno di sette minuti, offrendo un aumento della velocità di 43 volte.
"L’approccio ideale è spesso quello di utilizzare l’intelligenza artificiale come moltiplicatore di forza piuttosto che come sostituto degli analisti umani." Vineet Arora, CTO WinWireha detto a VentureBeat. "Ad esempio, l’intelligenza artificiale gestisce la definizione delle priorità di primo allarme e le risposte di routine ai problemi di sicurezza, consentendo agli analisti di concentrare le proprie competenze su minacce complesse e lavoro strategico."
Hillard di eSentire ha osservato: "All’inizio di quest’anno, attorno a Claude 3.7, abbiamo iniziato a vedere la selezione degli strumenti e le giustificazioni per i risultati in più fasi di raccolta delle prove corrispondere ai nostri esperti. Questo è ciò che ci ha davvero emozionato. Cercavamo qualcosa che ci permettesse di offrire ai nostri clienti non solo efficienza ma anche una migliore qualità della ricerca."
L’azienda ha confrontato le indagini autonome di Claude con quelle degli analisti SOC di livello 3 più esperti in 1.000 scenari diversi riguardanti ransomware, movimento laterale, violazione di credenziali e minacce persistenti avanzate e ha scoperto che ha raggiunto il 95% di conformità con il giudizio degli esperti al primo contatto e il 99,3% di soppressione delle minacce.
La modifica multi-strumento replica il ragionamento degli analisti senior alla velocità della macchina
AI team DevOps e R&D di Sentire hanno integrato l’intelligenza artificiale al centro del loro lavoro Piattaforma Atlas XDR Per offrire maggiore precisione, velocità e scalabilità nelle operazioni SOC. Claude antropico Gestisce l’orchestrazione di flussi di lavoro multi-strumento che correlano modelli di minaccia su migliaia di punti dati. Il sistema sintetizza simultaneamente le prove provenienti dalla telemetria degli endpoint, dal traffico di rete, dai dati di registro, dagli ambienti cloud, dai sistemi di identità e dai feed di vulnerabilità; Tutto ciò in precedenza costringeva gli analisti a una serie di passaggi di ricerca seriali che consumavano interi turni.
Hillard ha annunciato che la distribuzione continua Base rocciosa dell’Amazzoniacon LangGraphic Fornisce la struttura dell’orchestrazione agenziale che consente a Claude di Anthropic di selezionare strumenti e ragionare in modo dinamico attraverso indagini in più fasi. Ogni flusso di lavoro eredita token di accesso specifici del cliente che passano attraverso la piattaforma Atlas Actions. Hillard afferma che adottando questo approccio, ogni chiamata di passaggio, query di dati e integrazione del fornitore rimane al sicuro nell’isolamento del locatario.
"Utilizzare Bedrock è stato in realtà piuttosto semplice per noi perché utilizziamo AWS da quando è stata lanciata la piattaforma." Hillard ha spiegato. "Il modo in cui i modelli antropici vengono implementati a Bedrock garantisce che tutto sia strettamente bloccato in modo che noi e i nostri clienti ci sentiamo a nostro agio. Molti dei nostri clienti sono aziende di infrastrutture critiche estremamente sensibili ai propri dati."
Quando si verifica un incidente, un tipico sistema di rilevamento e risposta ha 15 minuti per contenere l’incidente prima che un movimento laterale minacci l’infrastruttura più ampia. Questo periodo di tempo ha reso necessaria un’attivazione rapida, che in precedenza aveva impedito un’indagine approfondita. Hillard spiega che Claude di Anthropic aiuta a trasformare questa pressione di tempo in un vantaggio eseguendo una raccolta completa di prove su tutte le fonti di telemetria, interrogando gli alberi dei processi, eseguendo ricerche nei log sulla telemetria archiviata, correlando eventi rilevanti dai dati storici di ticketing e facendo riferimenti incrociati all’intelligence attiva sulle minacce.
Piattaforma Atlas XDR Il processo di indagine produce dinamicamente circa 30 passaggi di raccolta delle prove su misura per ogni scenario di minaccia in tre dimensioni: analisi più approfondita della telemetria di sicurezza, contesto derivante da eventi storici rilevanti presso il cliente e informazioni sul panorama delle minacce su ciò che stanno facendo gli attori attivi delle minacce nell’intera base clienti di eSentire.
Gli effetti di rete rafforzano l’intelligence sulle minacce nelle implementazioni dei clienti
Unità di risposta alle minacce di ESentire Utilizza Claude di Anthropic per cercare dati di log, endpoint, rete, cloud e identità. Quando il team rileva il comportamento emergente degli attori delle minacce attraverso l’intelligence open source o proteggendo i clienti delle infrastrutture critiche che sono i primi a subire attacchi, rispecchia questi modelli tra gli oltre 2.000 clienti per identificare le tecniche ripetute prima che il danno venga causato.
Claude garantisce che la piattaforma Atlas XDR impari costantemente dalle nuove minacce, in modo che un attacco contro un cliente rafforzi le difese di tutti i clienti. Hillard ha detto a VentureBeat che la piattaforma è in caccia di minacce Sta avanti rispetto alle pubblicazioni commerciali del 35% e rileva il 12% delle minacce mai viste nelle pubblicazioni commerciali.
"Ciò che i nostri esperti facevano in una settimana, ora possono farlo in un’ora." Hillard dice. "Quando hanno un’idea creativa per testare un nuovo modello di analisi dei dati, ora possono svolgere un lavoro che avrebbe richiesto un mese per essere creato da un team di ingegneri, direttamente nel linguaggio naturale."
Il cambio di ritmo consente agli analisti di testare ipotesi in ore anziché in settimane, migliorando anziché sostituire la competenza umana. Hillard afferma che l’approccio funziona su larga scala per tutte le implementazioni delle infrastrutture critiche dei clienti.
I flussi di lavoro ottimizzati prevengono il burnout degli analisti prima che si verifichi
I miglioramenti delle prestazioni affrontano il crescente problema della forza lavoro prima che diventi una crisi. Gli analisti del SOC dicono a VentureBeat che il settore è lontano decenni da un SOC completamente autonomo, con molti analisti che fanno affidamento sull’integrazione della sedia girevole (passaggio da un sistema all’altro per risolvere gli avvisi). Questo approccio frammentato fa perdere tempo, porta a errori e contribuisce al burnout degli analisti.
più di questo Il 70% degli analisti del SOC afferma di essere esauritocon Il 66% riferisce che metà dei propri lavori sono sufficientemente ripetitivi da poter essere automatizzati. Nelle interviste anonime regolari con VentureBeat tramite Signal, gli analisti del SOC affermano che i mandati da sei mesi a un anno stanno diventando comuni. Un analista ha riportato un tasso di falsi positivi del 96% nel proprio ambiente; Queste condizioni rendono quasi impossibile un rilevamento efficace delle minacce.
Il Bureau of Labor Statistics degli Stati Uniti prevede che le posizioni degli analisti della sicurezza informatica aumenteranno 33% dal 2023 al 2033hanno ampiamente sovraperformato la media del 4% in tutte le occupazioni. L’utilizzo di piattaforme basate sull’intelligenza artificiale per semplificare i flussi di lavoro SOC rappresenta una strategia cruciale per le organizzazioni per prevenire il burnout prima di costringere i migliori talenti della sicurezza a partire per ruoli meno impegnativi.
Transizione strategica verso l’intelligenza artificiale integrata nella piattaforma
Con le organizzazioni che prevedono una crescita del 33% nelle posizioni di analista di sicurezza entro il 2033, l’intelligenza artificiale integrata nella piattaforma offre un modo per scalare le operazioni SOC senza aumentare proporzionalmente l’organico. Il passaggio da indagini di cinque ore a flussi di lavoro automatizzati di sette minuti non elimina la necessità di analisti senior; Rafforza la loro esperienza consentendo loro di concentrarsi sulla complessa caccia alle minacce e sul lavoro strategico piuttosto che su attività ripetitive di raccolta di prove.
P.L’intelligenza artificiale integrata nella piattaforma rappresenta un cambiamento fondamentale nell’economia dei SOC. Il miglioramento della velocità di 43 volte ottenuto da eSentire dimostra che l’intelligenza artificiale può replicare il processo decisionale degli analisti d’élite con una precisione del 95% se sufficientemente integrata a livello di piattaforma; Ciò non avviene sostituendo le competenze umane, ma automatizzando i flussi di lavoro che in precedenza richiedevano interi turni e lasciavano le minacce critiche non indagate.
La domanda per i leader della sicurezza aziendale è quanto velocemente le organizzazioni potranno integrare l’intelligenza artificiale a livello di piattaforma per migliorare le prestazioni del SOC prima che la combinazione di allarmi eccessivi e flussi di lavoro manuali costringa gli analisti ad abbandonare. Per la protezione delle infrastrutture critiche, la capacità di indagare sulle minacce 43 volte più velocemente mantenendo una precisione del 95% quando si collabora con i migliori analisti rappresenta la differenza tra stare al passo con la concorrenza e restare indietro.
