CrowdStrike dodaje do platformy Falcon sztuczną inteligencję

Nowa funkcja wykorzystuje miliony przykładów złośliwej aktywności, aby dokładniej identyfikować oznaki ataku.

Matejmo/ Getty Images

Dostawca usług cyberbezpieczeństwa CrowdStrike dodał do swojej platformy Falcon nową, opartą na sztucznej inteligencji, funkcjonalność Indicators of Attack (IoA). Zapowiedziane na konferencji Black Hat USA 2022, rozszerzenie wykorzystuje techniki AI do tworzenia nowych IoA z prędkością i skalą maszyny, aby pomóc organizacjom w powstrzymaniu nowych technik ataków i umożliwić im optymalizację wykrywania i reagowania, poinformowała firma.

AI IoAs trenowane na rzeczywistych zachowaniach przeciwników

W komunikacie prasowym CrowdStrike stwierdził, że Falcon pozwala teraz organizacjom znaleźć pojawiające się techniki ataków dzięki IoAs tworzonym przez modele AI szkolone na rzeczywistych zachowaniach przeciwników i szerokim wachlarzu zagrożeń. Brian Trombley wiceprezes ds. zarządzania produktem, Endpoint Security w CrowdStrike, powiedział CSO, że IoA napędzane przez AI wykorzystują inteligencję z CrowdStrike Security Cloud, gdzie firma zbiera ponad bilion zdarzeń bezpieczeństwa dziennie od swojej bazy klientów.

Zobacz również:

  • Integracja rozwiązań Recorded Future i Okta
  • Te dwie luki zero-day znajdują się w większości używanych obecnie komputerów Windows

„Korelujemy tę telemetrię za pomocą uczenia maszynowego, aby stworzyć nowe IoA” - dodaje Trombley. „Eksperci od zagrożeń tworzą korpus zachowań obejmujący od setek tysięcy do milionów przykładów czystej i złośliwej aktywności, po czym naukowcy od danych rozpoczynają proces przekształcania telemetrii w model AI lub ML, który zasila tworzenie nowych IoA. Wszystkie IoAs, w tym AI-powered IoAs, są dostarczane do agenta Falcon w ten sam sposób, pracując razem z naszymi sensorycznymi modelami ML. Technologia AI-powered IoA jest bardzo elastyczna i może być wykorzystywana do modelowania na dowolnych danych o zdarzeniach przechwyconych przez platformę CrowdStrike Falcon”.

Modele CrowdStrike’a są kalibrowane w oparciu o stale rosnącą ilość generowanej przez ekspertów prawdy, która jest agregowana w całej platformie Falcon - obejmującej dane wywiadowcze z CrowdStrike’a Managed Threat Hunting (Falcon OverWatch), Malware Research Center (MRC) oraz Managed Detection and Response (Falcon Complete), powiedział Trombley CSO. „Aby przetestować dokładność IoA napędzanych przez AI, łowcy zagrożeń i badacze CrowdStrike oceniają modele na podstawie tej bogatej telemetrii terenowej i specjalnie spreparowanych łańcuchów zabójstw”.

W rezultacie modele są odporne na ataki ML przeciwników, mogą wykrywać złośliwe taktyki, techniki i procedury (TTP) oraz generują niską liczbę fałszywych pozytywnych wykryć w stosunku do rzeczywistych danych klientów, mówi Trombley. „Dodatkowo, przed włączeniem wykrywania na żywo, w celu zminimalizowania narażenia klientów na fałszywe wyniki pozytywne, modele są uruchamiane bezgłośnie, aby umożliwić ekspertom tematycznym skrupulatną ocenę wykryć i dostrojenie do najlepszej wydajności w terenie”.

CrowdStrike dąży do zminimalizowania fałszywych pozytywów i fałszywych negatywów, ponieważ pozostawiają one zespoły bezpieczeństwa zmagające się z przesiewaniem przez jeszcze większy szum, zamiast powstrzymywać naruszenia, mówi Trombley. „Użyliśmy tej samej możliwości testowania do sprawdzenia i dostrojenia naszych IoA napędzanych przez AI. Podczas naszych testów zidentyfikowaliśmy ponad 20 nowych wzorców przeciwników, które zostały potwierdzone przez elitarnych łowców zagrożeń Falcon OverWatch. W tym samym okresie nasze nowe modele zidentyfikowały łącznie mniej niż dziesięć fałszywych pozytywów i od momentu wprowadzenia do ogólnej dostępności nadal działają na tym poziomie wierności”.

Źródło: CSO

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200