84 / 5 000 Amex GBT ставит ИИ в центр автоматизации SOC, моделирования угроз и реагирования на инциденты

Как ведущая глобальная платформа для путешествий B2B, American Express Global Business Travel (Amex GBT) и ее команда по безопасности делают именно это, активно противостоя этой проблеме, уделяя двойное внимание инновациям в области кибербезопасности и управлению. Имея глубокие корни в банковском холдинге, Amex GBT поддерживает самые высокие стандарты конфиденциальности данных, соответствия требованиям безопасности и управления рисками. Это делает безопасное, масштабируемое внедрение ИИ критически важным приоритетом. Директор по информационной безопасности Amex GBT Дэвид Левин возглавляет эти усилия. Он создает кросс-функциональную структуру управления ИИ, внедряя безопасность на каждом этапе развертывания ИИ и управляя ростом теневого ИИ, не подавляя инновации. Его подход предлагает план для организаций, ориентирующихся на пересечении высоких ставок развития ИИ и киберзащиты.

Ниже приведены выдержки из интервью Левина с VentureBeat:

VentureBeat: Как Amex GBT использует ИИ для модернизации обнаружения угроз и операций SOC?

Дэвид Левин: Мы интегрируем ИИ в наши рабочие процессы обнаружения и реагирования на угрозы. Что касается обнаружения, мы используем модели машинного обучения (ML) в наших инструментах SIEM и EDR, чтобы быстрее выявлять вредоносное поведение и с меньшим количеством ложных срабатываний. Это само по себе ускоряет расследование оповещений. В SOC автоматизация на основе ИИ обогащает оповещения контекстными данными в момент их появления. Аналитики открывают тикет и уже видят критически важные детали; больше нет необходимости переключаться между несколькими инструментами для получения базовой информации.

ИИ также помогает расставить приоритеты, какие оповещения, скорее всего, срочные. Затем наши аналитики тратят свое время на проблемы с наивысшим риском, а не на просеивание шума. Это огромный рост эффективности. Мы можем реагировать со скоростью машины, когда это имеет смысл, и позволить нашим опытным инженерам по безопасности сосредоточиться на сложных инцидентах. В конечном счете, ИИ помогает нам точнее обнаруживать угрозы и быстрее реагировать.

VentureBeat: Вы также работаете с партнерами по управляемой безопасности, такими как CrowdStrike OverWatch. Как ИИ служит усилителем силы как для внутренних, так и для внешних команд SOC?

Левин: ИИ усиливает наши возможности двумя способами. Во-первых, CrowdStrike OverWatch обеспечивает нам круглосуточный поиск угроз, дополненный передовым машинным обучением. Они постоянно сканируют нашу среду на предмет едва заметных признаков атаки, включая то, что мы могли бы пропустить, если бы положились только на ручную проверку. Это означает, что у нас есть высококлассная команда по анализу угроз, которая использует ИИ для фильтрации событий с низким уровнем риска и выделения реальных угроз.

Во-вторых, ИИ повышает эффективность наших внутренних аналитиков SOC. Раньше мы вручную сортировали гораздо больше оповещений. Теперь эту первоначальную фильтрацию выполняет механизм ИИ. Он может быстро отличать подозрительные от безопасных, поэтому аналитики видят только те события, которые требуют человеческого суждения. Это похоже на добавление умного виртуального товарища по команде. Наши сотрудники могут обрабатывать больше инцидентов, сосредоточиться на поиске угроз и проводить расширенные расследования. Эта синергия — человеческий опыт плюс поддержка ИИ — дает лучшие результаты, чем по отдельности

VentureBeat: Вы возглавляете структуру управления ИИ в GBT, основанную на принципах NIST. Как это выглядит и как вы реализуете ее кросс-функционально?

Левин: Мы опирались на структуру управления рисками ИИ NIST, которая помогает нам систематически оценивать и снижать риски, связанные с ИИ, в отношении безопасности, конфиденциальности, предвзятости и т. д. Мы сформировали кросс-функциональный комитет по управлению с представителями служб безопасности, права, конфиденциальности, соответствия, кадровых служб и ИТ. Эта команда координирует политики ИИ и обеспечивает соответствие новых проектов нашим стандартам перед запуском.

Наша структура охватывает весь жизненный цикл ИИ. На раннем этапе каждый вариант использования сопоставляется с потенциальными рисками, такими как дрейф модели или раскрытие данных, и мы определяем элементы управления для их устранения. Мы измеряем производительность с помощью тестирования и состязательного моделирования, чтобы гарантировать, что ИИ нелегко обмануть. Мы также настаиваем на хотя бы некотором уровне объяснимости. Если ИИ сигнализирует об инциденте, мы хотим знать, почему. Затем, как только системы запускаются в эксплуатацию, мы отслеживаем их, чтобы убедиться, что они по-прежнему соответствуют нашим требованиям безопасности и соответствия. Интегрируя эти шаги в нашу более широкую программу рисков, ИИ становится частью нашего общего управления, а не второстепенной мыслью.

VentureBeat: Как вы справляетесь с теневым ИИ и обеспечиваете соблюдение сотрудниками этих политик?

Левин: Теневой ИИ появился в тот момент, когда появились общедоступные инструменты генеративного ИИ. Наш подход начинается с четких политик: сотрудники не должны передавать конфиденциальные или конфиденциальные данные во внешние службы ИИ без одобрения. Мы описываем допустимое использование, потенциальные риски и процесс проверки новых инструментов.

С технической стороны, мы блокируем несанкционированные платформы ИИ на границе нашей сети и используем инструменты предотвращения потери данных (DLP), чтобы предотвратить загрузку конфиденциального контента. Если кто-то пытается использовать несанкционированный сайт ИИ, он получает уведомление и направляется на одобренную альтернативу. Мы также в значительной степени полагаемся на обучение. Мы делимся реальными предостерегающими историями — например, о передаче патентованного документа случайному чат-боту. Это, как правило, запоминается людьми.