加入我们的每日和每周信息选票,以获取人工智能领先的行业照明中的最新更新和独家内容。了解更多
最近的Danabot Teikdown,俄罗斯恶意软件,负责感染30万多个系统并应用超过5000万美元,强调AI代理如何决定网络安全操作。 根据最近的帖子,Lumen Technologies,Danabot每天平均支持150个活动C2服务器,每天约1000个 40多个国家的受害者。
上周,美国司法部印刷了对洛杉矶的联邦起诉,针对16名被告Danabot,俄罗斯业务POSS以及该服务(MAAS),负责组织大规模欺诈计划,这使勒索可以攻击并应用数千万美元的金融损失。
Danabot首次出现在2018年作为银行特洛伊木马(Banking Trojan)出现,但很快就变成了一个通用的网络犯罪工具包,能够进行勒索运动,间谍活动和分布式运动(DDOS)。该仪器对关键基础设施进行准确攻击的能力使它成为了最喜欢的俄罗斯对手国家,目前针对乌克兰电力,电力和供水的网络行动。
Danabot的选择与俄罗斯情报直接相关,说明了以财务动机的网络犯罪和国家间谍赞助的合并之间的界限。 Danabota操作员Scully Spider面临着俄罗斯当局的内部压力,这增加了人们对克里姆林宫遭受的苦难或将其活动用作网络 – 二氧化碳的怀疑。
如下图所示,Danabot的操作基础架构包括复杂和动态取代机器人,代理,装载机和C2服务器,这使传统的手动分析不切实际。
Danabot展示了为什么AI代理是针对自动威胁的新前线
AI代理在拆除Danabot,组织建模预测威胁,实时的相关性,基础设施分析以及对自主异常的检测中起着核心作用。这些机会反映了领先的网络安全供应商稳定的研发和工程投资的多年,这些供应商稳步发展了基于静态方法的规则,以完全自主的防御系统。
“ Danabot是Ecrime生态系统中的一系列恶意软件,其使用俄罗斯 – 尼克斯演员在间谍活动中使用了俄罗斯考试与赞助的网络运营之间的界限,”最近解释中的CrowdStrike运营部负责人Adam Meyers说。 “ Scully Spider对俄罗斯的明显不受惩罚的行为,这使您可以摧毁竞选活动,避免,避免内部执法。这种费用对于增加对手的运营成本至关重要。”
跟踪Danabot确认了Agent AI安全中心命令(SOC),在几周内减少了手动法医分析的月份。所有这些额外的时间都使执法机构很快确定和拆除Danabot的广泛数字存在所需的时间。
Tamun Danabota表示SOC中使用Agent AI的使用发生了重大转变。 SOC分析师终于获得了他们所需的工具来自动地和规模自动地进行威胁,在战争中与对抗性AI的战争达到了更大的平衡。
Danabot因此,Downs证明SOC应该在静态规则的范围内发展到代理人人工智能的限制
Danabota基础设施由Lumen的黑色莲花和黑色实验室筛选,显示了对抗性AI的焦虑速度和致命的准确性。 Danabot每天工作150多个主动指挥和控制服务器,每天威胁到40多个国家,包括美国和墨西哥,每天约有1000名受害者。他的保密性很棒。只有25%的C2服务器在病毒上注册,避免了传统保护。
Danabot是作为多层模块化机器人租赁到分支机构的多层模块化的,迅速适应和扩展的,这可以根据规则(包括过时的暹粒和内部检测系统)进行静态SOC保护,这是没有用的。
思科高级副总裁汤姆·吉利斯(Tom Gillis)在最近接受VentureBeat采访时明确强调了这种风险。 “我们谈论的是对反对者,他们不断地测试,重写和更新其攻击。静态保护无法跟上。他们几乎立即不超过。”
目的是从警告中减轻疲劳并加速对事件的反应
AI代理直接解决了一个长期存在的问题,从警告中疲劳开始。传统的SIEM分析师负担高达40%的假阳性率。
相反,由AI控制的代理平台可大大减少使用自动排序,相关性和上下文分析的警告。这些平台包括:Cisco Security Cloud,CrowdStrike Falcon,Google Chronicle操作,IBM Security Qradar Suite,Microsoft Security Copilot,Palo Networks Cortex XSiam,Sentinelone Purple AI和Trelix Helix。每个平台根据风险使用改进的AI和优先级,以优化分析师的工作过程,确保在最小化虚假工作而与通知业务无关的情况下,快速识别和对关键威胁的反应。
微软的研究通过将AI Gen Gen IN纳入SOC工作流程并将事件的解决方案减少近三分之一来提高这一优势。 Gartner的预测强调了代理AI的转变潜力,评估SOC命令的性能提高约40%,该命令到2026年通过了AI。
“当今网络攻击的速度要求安全团队迅速分析大量数据,以更快地进行检测,调查和响应。责任记录使记录保持了两分钟以上的突破性时间,没有延迟的余地。
SOC领导者如何将AI代理变成运营优势
拆卸Danabot表示更广泛的转变:SOC从对菜肴的反应性迫害到智力的表现。在此轮班的中心是AI代理。收到这一点的SOC领导人是正确的,不要开玩笑。他们使用故意的方法,这是固定在指标上的第一批建筑师,并且在许多情况下都是业务的风险和结果。
关于SOC领导者如何将AI代理变成运营优势的关键结论包括:
开始小。为此目的扩展。 高性能的SOC不会尝试一次自动化所有内容。它们针对的是高道,重复的任务,通常包括网络钓鱼分类,有害程序的爆炸,杂志的常规相关性以及在早期阶段证明价值。结果:可衡量的投资盈利能力,警告疲劳的减少和分析师被重新分配到更高的威胁。
集成遥测作为基础,而不是终点线。 该目标不会收集更多数据,这使遥测变得重要。这意味着在终点,标识,网络和云中结合信号,以提供他需要的AI上下文。没有这个相关层,即使是最好的模型也是不够的。
安装管理进行扩展。 由于AI的代理系统正在做出更自主的决定 – 制定最受纪律的团队现在正在建立明确的界限。这包括编纂的互动规则,某些升级路径和完整的审核路径。人类监督不是备份计划,这是控制平面的一部分。
将AI的结果与重要的指标联系起来。 最战略的团队与KPI保持一致,KPI在SOC之外产生了共鸣:虚假作品的减少,更快的MTTR并改善了分析师的吞吐量。他们不仅优化模型;他们设置了工作流程,以将未加工的遥测变成操作杠杆。
当今的对手以机器的速度工作,对它们的保护需要可能与此速度相对应的系统。在撤销的Danabot中至关重要的不是一种常见的人工智能。这是一种具有手术精度的AI代理,内置在工作流程中,并在设计中负责。
Source link
