Присоединяйтесь к нашим ежедневным и еженедельным информационным бюллетеням для последних обновлений и эксклюзивного контента в индустрии AI-лидирования. Узнать больше
Недавнее удаление Данабота, российская вредоносная платформа, ответственная за заражение более 300 000 систем и нанесение более 50 миллионов долларов, подчеркивает, как сделать ИИ переопределить операции кибербезопасности. Согласно недавним технологиям Post Lumen, Danabot активно поддерживает в среднем 150 активных серверов C2 в день, с около 1000 ежедневных Жертвы в более чем 40 странах.
На прошлой неделе Министерство юстиции США не предъявило федеральное обвинение в Лос-Анджелесе против 16 обвиняемых в Дейботе, операция по вредоносному программам (MAAS), ответственному за организацию массовых мошеннических схем, обеспечивая атаки вымогателей и вызывая десяти миллионов долларов в финансовых потерях.
Данабот впервые появился в 2018 году как банк -троян, но быстро превратился в комплект в области киберпреступности, способный выполнять вымогатели, шпионаж и распределенные кампании отказа в отказе (DDOS). Способность снаряжения доставлять точные атаки на критическую инфраструктуру сделала его фаворитом российских противников государства, спонсируемых с текущими кибер-операциями, нацеленными на украинские электрические, мощные и водоснабжения.
Субботы Данабота были непосредственно связаны с российской интеллектуальной деятельностью, иллюстрируя границы слияния между финансово мотивированными киберпреступностью и спонсируемым государством шпионом. Операторы Данабота, Scully Spider, столкнулись с минимальным внутренним давлением со стороны российских властей, укрепляя подозрения, что Кремль или терпели или эксплуатировал свою деятельность в качестве кибер -прокурора.
Как показано на рисунке ниже, операционная инфраструктура Данабота включала сложную и динамически меняющуюся ботов ботов, хищников, нагрузки и серверов C2, что делает традиционный ручной анализ непрактичным.
Danabot показывает, почему Acti AI является новой фронтальной линией против автоматических угроз
Агентство ИИ сыграло центральную роль в демонтаже Данабота, организовав предиктивное моделирование, телеметрическое корреляцию реальной времени, анализ инфраструктуры и обнаружение автономной аномалии. Эти навыки отражают годы продолжающихся НИОКР и инженерных инвестиций ведущих поставщиков кибербезопасности, которые последовательно развивались от статических подходов, основанных на правилах до полностью автономных систем обороны.
«Danabot-это плодородная платформа вредоносного ПО-а-а-услуги в экосистеме Ecrime, и ее использование российско-нежестников для шпионажа предотвращает линии между российскими экзаменными и спонсируемыми государствами кибер-операции»,-сказал Адам Мейерс, глава противоположных пособий, толпа, по словам толпы в недавнем интервью. «Scully Spider работала с очевидной безнаказанностью со стороны России, позволяя неодобрительным кампаниям, избегая внутренних обязательств. Принятия, поскольку это имеют решающее значение для повышения стоимости операций для противников».
Undo Danabot подтвердил ценность агентского искусственного интеллекта для команд Центра безопасности (SOC), сокращая месяцы ручного юридического анализа в течение нескольких недель. Все это дополнительное время дало законодательному органу время, которое им нужно было быстро определить и демонтировать распространяющуюся цифровой трассы Данабота.
Удаление Данабота сигнализирует о значительных изменениях в использовании действенного ИИ в SOCS. Аналитики SOC в конечном итоге получают инструменты, которые им необходимы для обнаружения, анализа и реагирования на угрозы автономно и масштабировать, достигая большего баланса сил в войне против противоположного ИИ.
Danabot -Demolition доказывает, что SOCS должен развиваться за пределы статических правил до агентского искусственного интеллекта
Инфраструктура Данабота, просеиваемая черными лабораториями Lumen Lomen, раскрывает тревожную скорость и смертельную точность противоположного ИИ. Работая более 150 активными серверами командования и контроля в день, Dababot ставила на работу около 1000 жертв в день в более чем 40 странах, в том числе в Соединенных Штатах и Мексике. Его утечка была поразительной. Только 25% серверов C2, зарегистрированных на вирустотальной, без особых усилий, оценивая традиционную защиту.
Построенный как многоуровневый модульный ботнер, арендованный для филиалов, Данабот быстро адаптировал и масштабировал, делая статические оборонительные средства, основанные на правилах, в том числе наследственные Siemes и вмешательные системы обнаружения, бесполезные.
Cisco SVP Том Гиллис ясно подчеркнул этот риск в недавнем интервью VentureBeat. «Мы говорим о противниках, которые постоянно тестируют, переписывают и обновляют свои атаки автономно. Статическая защита не может продолжать ритм. Они устарели почти сразу».
Цель состоит в том, чтобы уменьшить усталость от предупреждения и ускорить случайный ответ
Агент ИИ напрямую справляется с длинной задачей, начиная с усталости с охраной. Традиционные платформы SIEM загружают аналитики с ложными показателями до 40%.
Напротив, платформы, управляемые AI, значительно снижают усталость от предупреждения с помощью автоматической триады, корреляции и анализа контекста. Эти платформы включают в себя: Cisco Security Cloud, Crowdstrike Charlotte AI, операции Google Chronicle Security, IBM Security Qradar Suite, Microsoft Security Copilot, Palo Alto Networks Cortex Xsiam, Sentinelone Purple AI и Trellix Helix. Каждая платформа использует расширенный ИИ и приоритет на основе рисков для рационализации анализа работы, обеспечивая быструю идентификацию и реакцию на критические угрозы при минимизации ложных и не связанных предупреждений.
Microsoft Research усиливает это преимущество, интегрируя Gen AI в рабочие процессы SOC и сокращая время разрешения инцидентов почти на треть. Прогнозы Gartner подчеркивают преобразующий потенциал действенного ИИ, оценивая повышение производительности примерно на 40% для команд SOC, принимающих ИИ к 2026 году.
«Скорость сегодняшних кибер -атак требует, чтобы команды безопасности быстро анализировали огромные объемы данных для обнаружения, изучения и реагирования быстрее. Ободрители устанавливают рекорды, с прорывными временами чуть более двух минут, не оставляя места для задержки», -сказал Джордж Курц, президент, генеральный директор и соучредитель Crowdstrike, во время недавнего интервью.
Поскольку лидеры SOC превращают агента AI в оперативное преимущество
Разборка Данабота сигнализирует о более широком шаге в марте: SOCS переходит от реактивного оповещения к исполнению разведки. В центре этого хода активен. Лидеры SOC, приобретающие это право, не покупают в ажиотаже. Они придерживаются преднамеренных, архитектурных подходов, которые привязаны к показателям и, во многих случаях, рисках и результатах бизнеса.
Ключевое поглощение того, как лидеры SOC могут превратить агента ИИ в оперативное преимущество, включает в себя следующее:
Начните с малого. Масштаб с целью. Высокочастотные SOC не пытаются автоматизировать все сразу. Они нацелены на высокий объем, повторные задачи, которые часто включают фишинг-треть, вредоносную детонацию, рутинную корреляцию протокола и доказывая ценность на ранней стадии. Результат: измеримая рентабельность инвестиций, снижение усталости на предупреждение и аналитики переназначились на угрозы более высокого порядка.
Интегрируйте телеметрию как фундамент, а не конечную линию. Цель не собирает больше данных, это делает телеметрию значимым. Это означает объединение сигналов через конечную точку, идентификацию, сеть и облако, чтобы дать AI нужный контекст. Без этого корреляционного слоя даже лучшие модели.
Установить контроль до масштаба. Поскольку агентские системы ИИ принимают более автономные решения, наиболее дисциплинированные команды установили четкие ограничения. Это включает в себя закодированные правила взаимодействия, определенные скалолазные дороги и полные аудио -дорожки. Человеческий обзор не является планом резервного копирования, и он является частью плана управления.
Ссылка ИИ приводит к показателям, которые имеют значение. Наиболее стратегические команды выравнивают свои усилия по ИИ с KPI, которые резонируют за пределы SOC: снижение ложных срабатываний, более быстрый MTTR и улучшенный поток анализа. Они не только оптимизируют модели; Они настраиваются в рабочих процессах, чтобы превратить необработанную телеметрию в эксплуатационные рычаги.
Сегодняшние оппоненты работают на скорости машины и защищаются от них, требуют системы, которые могут соответствовать этой скорости. То, что имело значение в удалении датского языка, не было общим искусственным интеллектом. Это был активный ИИ, применяемый с хирургической точностью, встроенный в рабочий процесс и отвечал за дизайн.
Source link
