В прошлом году на конференции Explore 2023 компания VMware рассказала об очень интересном продукте - Project Cypress (сейчас он работает на базе возможностей Intelligent Assist). Это решение позволяет интегрировать генеративный AI в решения по безопасности VMware, выступая в роли копилота при расследовании инцидентов информационной безопасности.
Недавно VMware показала этот продукт в действии:
В сфере защиты цифровых активов и данных организации ключевую роль играют аналитики Security Operations Center (SOC). Они должны постоянно отслеживать, исследовать и реагировать на угрозы информационной безопасности ежедневно. Между тем, они сталкиваются со следующими вызовами:
Расширение ландшафта киберугроз - постоянно развивающаяся сфера киберугроз рождает постоянным приток все более сложных атак. Аналитики часто оказываются перегруженными огромным объемом уведомлений и инцидентов, что требует дополнительной помощи.
Усталость от большого потока уведомлений - сейчас это обычное явление среди аналитиков из-за высокого уровня ложных срабатываний. AI-копилот с возможностями машинного обучения может помочь фильтровать и приоритизировать уведомления, снижая усталость и повышая общую эффективность.
Время реакции - быстрая реакция на инциденты безопасности имеет решающее значение. Именно AI может помочь в этом вопросе, своевременно предоставив информацию о немедленных действиях по устранению угроз.
Нехватка квалифицированных аналитиков - в компаниях среднего размера это, по-прежнему, большая проблема. Поэтому тут точно требуются средства автоматизации, снижающие требования к квалификации персонала.
Генеративный AI от VMware в форме чатбота разработан для повышения эффективности решения Security Operations Center. Его задача — анализировать текущие уведомления о событиях безопасности, относящиеся к сетевому функционированию виртуального датацентра. VMware ставит здесь перед собой три цели.
Помочь аналитикам клиентского центра операций безопасности (Security Operations Center) лучше проводить первичную оценку ситуации в связи с возникающими угрозами безопасности, которые были выявлены с помощью технических средств.
Предоставить аналитикам больше контекста касательно обнаруженных угроз в разрезе функционирования инфраструктуры и влияния на нее.
Предложить им быстрые действия для реагирования, которые они могут выполнить непосредственно из окна консоли Project Cypress.
Если посмотреть на консоль продукта VMware NSX в части обнаруженных угроз и действий по их устранению, то видно, что у нас тут много кампаний и уведомлений, в которых легко запутаться. Здесь и приходит на помощь обученный генеративный AI, который отлично понимает суть этих уведомлений, их контекст именно в вашей инфраструктуре, и обладает знаниями о том, как именно могут быть устранены эти угрозы.
Давайте посмотрим на решение Project Cypress в действии и активируем его. После этого, вы увидите, что это действительно сокращает все эти предупреждения до всего лишь нескольких диалогов, из которых можно вести коммуникацию с AI, как будто вы работаете с профессиональным администратором в сфере виртуализации и информационной безопасности.
В результате внутренних тестов VMware и аналитики у заказчиков наблюдалось существенное сокращение времени реагирования на угрозы с использованием генеративного AI. А число уведомлений сразу сокращается в несколько раз, при этом отображаются только полезные уведомления, с которыми вам необходимо работать прямо сейчас:
Некоторые кампании объединяются в группы, поскольку они все выглядят похожими. Вы можете видеть сгруппированные повторяющиеся угрозы и матрицу фреймворка MITRE ATT&CK, относящуюся к каждой группе.
Теперь вы можете зайти в Project Cypress и задать вопрос, либо попросить выполнить какие-либо действия. Например, можно спросить в стиле: "Можешь объяснить мне вот эту кампанию? Что там происходит?".
Итак, мы видим здесь подозрительное событие запуска запланированных задач, за которым идут некоторые команды и управляющий трафик, после чего происходит эксфильтрация данных (то есть их несанкционированная передача наружу). По совокупности происходящего этот случай выглядит как CryptoWall - случай Ransomware, которое шифрует данные на дисках, после чего показывает сообщение о том, сколько и куда нужно заплатить злоумышленникам, чтобы получить ключ расшифровки.
Вы можете спросить у генеративного AI, как могла произойти данная атака, и каковы будут ее последствия:
Вы также можете попросить Cypress показать вам опции исправления данной ситуации и устранения угрозы:
Обратите внимание, что Cypress не просто говорит о том, что можно сделать, но и дает свою рекомендацию в данном конкретном случае - а именно он предлагает отключить виртуальную машину от сети и разобраться с ней отдельно. Вам также предлагается отключить только данный подозрительный тип трафика.
Если вы решите отключить только этот тип трафика, то вам предложат сигнатуры IDS, которые вы можете немедленно применить к данной рабочей нагрузке:
После этого политики будут успешно применены, а вы сможете убедиться в этом в разделе Security > IDS/IPS:
Итоги
Project Cypress - это интерактивное решение для поиска сетевых уязвимостей и решения проблем на базе генеративного AI. Оно позволяет проводить фильтрацию уведомлений об инцидентах информационной безопасности, группировать их и рассказывать об их потенциальном влиянии на инфраструктуру. Вы можете вести коммуникацию с AI до момента, когда вы не поймете, как именно вам следует действовать дальше.
После этого вы можете продолжать применять политики, чтобы, например, остановить эксфильтрацию данных и вернуть управление и контроль. Это происходит почти мгновенно, занимая всего несколько секунд. При этом вы можете продолжить задавать генеративному AI свои вопросы в процессе расследования инцидента и после закрытия уязвимости.
Цель такого рабочего процесса взаимодействия с AI состоит в том, чтобы быстрее проводить обработку уведомлений и дать вам больше контекста о происходящем, вместо того, чтобы искать нужные настройки в консолях и читать документацию, что занимает много времени.