На выставке RSAC 2024 компания CrowdStrike представила усовершенствованный SIEM для создания искусственного интеллекта SOC

Всего две минуты и семь секунд требуется злоумышленнику для перемещения внутри системы после получения доступа, и всего 31 секунда - для загрузки набора инструментов и начала разведывательных операций на взломанной системе. Эти данные привел Джордж Курц, президент, генеральный директор и соучредитель компании CrowdStrike. Он привел статистику во время своего выступления на конференции RSAC 2024 «Next-Gen SIEM: объединение данных, безопасности, ИТ, автоматизации рабочих процессов и искусственного интеллекта». «Скорость современных кибератак требует от команд безопасности быстрого анализа огромных объемов данных, чтобы быстрее обнаруживать, расследовать и реагировать на угрозы. В этом и заключается несостоятельность обещаний SIEM [управление информацией о безопасности и событиями]. Клиенты жаждут лучшей технологии, которая обеспечит мгновенное время выхода на рынок и расширенную функциональность при более низкой совокупной стоимости владения", - сказал Курц в своем выступлении. «Подавляющее большинство критически важных данных о безопасности уже хранится в платформе Falcon, что избавляет от необходимости тратить время и средства на передачу данных в устаревшую SIEM. Наша одноагентная, одноплатформенная архитектура объединяет собственные и сторонние данные с искусственным интеллектом и автоматизацией рабочих процессов, что позволяет реализовать обещание AI-native SOC", - сказал он. Злоумышленники становятся все более искусными в поиске пробелов между защитой конечных точек и идентификационных данных. Данные о конечных точках часто содержат бесценные сведения, которые, агрегированные во времени, могут предсказать попытки вторжения и взлома. «Одна из главных проблем в сфере безопасности - проблема данных, и это одна из причин, по которой я основал CrowdStrike. Именно поэтому я создал ту архитектуру, которая у нас есть, и командам SOC невероятно сложно разобраться в этом огромном количестве данных и объемов, чтобы найти угрозы", - сказал Курц аудитории.

Устаревшие SIEM быстро становятся скорее обузой, чем активом для полагающихся на них SOC-команд. Аналитики SOC уже давно называют необходимость использования нескольких противоречащих друг другу систем «интеграцией на вращающемся стуле». Необходимость переходить от одного экрана к другому и сравнивать данные об инцидентах отнимает драгоценное время, а системы часто выдают противоречивые данные. Затем SOC-аналитикам приходится прогонять каждый источник данных через инструменты, чтобы проверить, совпадают ли оценки риска. Устаревшие SIEM также известны тем, что имеют низкую скорость поиска и ограниченные возможности визуализации.