Новости Статьи VMware Veeam StarWind vStack Microsoft Nakivo Citrix Symantec События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Все самое нужное о виртуализации и облаках

Более 6280 заметок о VMware, AWS, Azure, Veeam, Kubernetes и других

VM Guru / Articles / VMware Project Cypress - помощник для поиска сетевых уязвимостей и решения проблем на базе генеративного AI

VMware Project Cypress - помощник для поиска сетевых уязвимостей и решения проблем на базе генеративного AI

VMware Project Cypress - помощник для поиска сетевых уязвимостей и решения проблем на базе генеративного AI

Автор: Александр Самойленко
Дата: 26/03/2024

Поддержите VM Guru!

USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1




Статья:

В прошлом году на конференции Explore 2023 компания VMware рассказала об очень интересном продукте - Project Cypress (сейчас он работает на базе возможностей Intelligent Assist). Это решение позволяет интегрировать генеративный AI в решения по безопасности VMware, выступая в роли копилота при расследовании инцидентов информационной безопасности.

Недавно VMware показала этот продукт в действии:

В сфере защиты цифровых активов и данных организации ключевую роль играют аналитики Security Operations Center (SOC). Они должны постоянно отслеживать, исследовать и реагировать на угрозы информационной безопасности ежедневно. Между тем, они сталкиваются со следующими вызовами:

  • Расширение ландшафта киберугроз - постоянно развивающаяся сфера киберугроз рождает постоянным приток все более сложных атак. Аналитики часто оказываются перегруженными огромным объемом уведомлений и инцидентов, что требует дополнительной помощи.
  • Усталость от большого потока уведомлений - сейчас это обычное явление среди аналитиков из-за высокого уровня ложных срабатываний. AI-копилот с возможностями машинного обучения может помочь фильтровать и приоритизировать уведомления, снижая усталость и повышая общую эффективность.
  • Время реакции - быстрая реакция на инциденты безопасности имеет решающее значение. Именно AI может помочь в этом вопросе, своевременно предоставив информацию о немедленных действиях по устранению угроз.
  • Нехватка квалифицированных аналитиков - в компаниях среднего размера это, по-прежнему, большая проблема. Поэтому тут точно требуются средства автоматизации, снижающие требования к квалификации персонала.

Генеративный AI от VMware в форме чатбота разработан для повышения эффективности решения Security Operations Center. Его задача — анализировать текущие уведомления о событиях безопасности, относящиеся к сетевому функционированию виртуального датацентра. VMware ставит здесь перед собой три цели.

  • Помочь аналитикам клиентского центра операций безопасности (Security Operations Center) лучше проводить первичную оценку ситуации в связи с возникающими угрозами безопасности, которые были выявлены с помощью технических средств.
  • Предоставить аналитикам больше контекста касательно обнаруженных угроз в разрезе функционирования инфраструктуры и влияния на нее.
  • Предложить им быстрые действия для реагирования, которые они могут выполнить непосредственно из окна консоли Project Cypress.

Если посмотреть на консоль продукта VMware NSX в части обнаруженных угроз и действий по их устранению, то видно, что у нас тут много кампаний и уведомлений, в которых легко запутаться. Здесь и приходит на помощь обученный генеративный AI, который отлично понимает суть этих уведомлений, их контекст именно в вашей инфраструктуре, и обладает знаниями о том, как именно могут быть устранены эти угрозы.

Давайте посмотрим на решение Project Cypress в действии и активируем его. После этого, вы увидите, что это действительно сокращает все эти предупреждения до всего лишь нескольких диалогов, из которых можно вести коммуникацию с AI, как будто вы работаете с профессиональным администратором в сфере виртуализации и информационной безопасности.

В результате внутренних тестов VMware и аналитики у заказчиков наблюдалось существенное сокращение времени реагирования на угрозы с использованием генеративного AI. А число уведомлений сразу сокращается в несколько раз, при этом отображаются только полезные уведомления, с которыми вам необходимо работать прямо сейчас:

Некоторые кампании объединяются в группы, поскольку они все выглядят похожими. Вы можете видеть сгруппированные повторяющиеся угрозы и матрицу фреймворка MITRE ATT&CK, относящуюся к каждой группе.

Теперь вы можете зайти в Project Cypress и задать вопрос, либо попросить выполнить какие-либо действия. Например, можно спросить в стиле: "Можешь объяснить мне вот эту кампанию? Что там происходит?".

Итак, мы видим здесь подозрительное событие запуска запланированных задач, за которым идут некоторые команды и управляющий трафик, после чего происходит эксфильтрация данных (то есть их несанкционированная передача наружу). По совокупности происходящего этот случай выглядит как CryptoWall - случай Ransomware, которое шифрует данные на дисках, после чего показывает сообщение о том, сколько и куда нужно заплатить злоумышленникам, чтобы получить ключ расшифровки.

Вы можете спросить у генеративного AI, как могла произойти данная атака, и каковы будут ее последствия:

Вы также можете попросить Cypress показать вам опции исправления данной ситуации и устранения угрозы:

Обратите внимание, что Cypress не просто говорит о том, что можно сделать, но и дает свою рекомендацию в данном конкретном случае - а именно он предлагает отключить виртуальную машину от сети и разобраться с ней отдельно. Вам также предлагается отключить только данный подозрительный тип трафика.

Если вы решите отключить только этот тип трафика, то вам предложат сигнатуры IDS, которые вы можете немедленно применить к данной рабочей нагрузке:

После этого политики будут успешно применены, а вы сможете убедиться в этом в разделе Security > IDS/IPS:

Итоги

Project Cypress - это интерактивное решение для поиска сетевых уязвимостей и решения проблем на базе генеративного AI. Оно позволяет проводить фильтрацию уведомлений об инцидентах информационной безопасности, группировать их и рассказывать об их потенциальном влиянии на инфраструктуру. Вы можете вести коммуникацию с AI до момента, когда вы не поймете, как именно вам следует действовать дальше.

После этого вы можете продолжать применять политики, чтобы, например, остановить эксфильтрацию данных и вернуть управление и контроль. Это происходит почти мгновенно, занимая всего несколько секунд. При этом вы можете продолжить задавать генеративному AI свои вопросы в процессе расследования инцидента и после закрытия уязвимости.

Цель такого рабочего процесса взаимодействия с AI состоит в том, чтобы быстрее проводить обработку уведомлений и дать вам больше контекста о происходящем, вместо того, чтобы искать нужные настройки в консолях и читать документацию, что занимает много времени.

Интересное:





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

Быстрый переход:
VMware Offtopic Microsoft Veeam Cloud StarWind VMachines NAKIVO vStack Gartner Vinchin Nakivo IT-Grad Teradici VeeamON VMworld PowerCLI Citrix VSAN GDPR 5nine Hardware Nutanix vSphere RVTools Enterprise Security Code Cisco vGate SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud DevOps Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs IDC Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V VCF vSAN Workstation Labs Backup Private AI Explore vDefend Data Protection ONE Tanzu AI Intel Live Recovery VCP V2V HCX Aria NSX DPU Update EUC Avi Broadcom Community Skyline Host Client Chargeback Horizon SASE Workspace ONE Networking Ransomware Tools Performance Lifecycle Network AWS API USB SDDC Fusion Whitepaper SD-WAN Mobile VMUG SRM ARM HCI Converter Photon OS Operations VEBA App Volumes Certification VMConAWS Workspace Imager SplinterDB DRS SAN vMotion Open Source iSCSI Partners HA Monterey Kubernetes vForum Learning vRNI UAG Support Log Insight AMD vCSA NSX-T Graphics NVMe HCIBench SureBackup Carbon Black vCloud Обучение Web Client vExpert OpenStack UEM CPU PKS vROPs Stencils Bug VTL Forum Video Update Manager VVols DR Cache Storage DRS Visio Manager Virtual Appliance PowerShell LSFS Client Datacenter Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Encryption Nested XenDesktop VSA vNetwork SSO VMDK Appliance VUM HoL Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP iOS SC VMM VDP PCoIP RHEV vMA Award Licensing Logs Server Demo vCHS Calculator Бесплатно Beta Exchange MAP DaaS Hybrid Monitoring VPLEX UCS GPU SDK Poster VSPP Receiver VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V KB VirtualCenter NFS ThinPrint Memory SIOC Troubleshooting Stretched Bugs Director ESA Android Python Upgrade ML Hub Guardrails CLI VCPP Driver Foundation HPC Orchestrator Optimization SVMotion Diagram Ports Plugin Helpdesk VIC VDS Migration Air DPM Flex Mac SSH VAAI Heartbeat MSCS Composer
Полезные постеры:

Постер VMware vSphere PowerCLI 10

Постер VMware Cloud Foundation 4 Architecture

Постер VMware vCloud Networking

Постер VMware Cloud on AWS Logical Design Poster for Workload Mobility

Постер Azure VMware Solution Logical Design

Постер Google Cloud VMware Engine Logical Design

Постер Multi-Cloud Application Mobility

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Сравнение Oracle VirtualBox и VMware Workstation.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Диски RDM (Raw Device Mapping) для виртуальных машин VMware vSphere и серверов ESX.

Работа с дисками виртуальных машин VMware.

Где скачать последнюю версию VMware Tools для виртуальных машин на VMware ESXi.

Подключение локальных SATA-дисков сервера VMware ESXi в качестве хранилищ RDM для виртуальных машин.

Как перенести виртуальную машину VirtualBox в VMware Workstation и обратно

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Полезные ресурсы:

Последние 100 утилит VMware Labs

Новые возможности VMware vSphere 8.0 Update 1

Новые возможности VMware vSAN 8.0 Update 1

Новые документы от VMware

Новые технологии и продукты на VMware Explore 2022

Анонсы VMware весной 2021 года

Новые технологии и продукты на VMware VMworld 2021

Новые технологии и продукты на VMware VMworld 2020

Новые технологии и продукты на VMware VMworld Europe 2019

Новые технологии и продукты на VMware VMworld US 2019

Новые технологии и продукты на VMware VMworld 2019

Новые технологии и продукты на VMware VMworld 2018

Новые технологии и продукты на VMware VMworld 2017



Copyright VM Guru 2006 - 2025, Александр Самойленко. Правила перепечатки материалов.
vExpert Badge