Využitie generatívnej AI v SOC nástrojoch

Umelá inteligencia sa rýchlo stáva novým nástrojom v bezpečnostných operačných centrách (SOC). Prednáška Juraja Belka ukázala, ako veľké jazykové modely dokážu sprístupniť zložité nástroje, zrýchliť analýzu incidentov a dotiahnuť automatizované reakcie až do praxe. Popri prínosoch zazneli aj obavy o dáta a regulácie – a aj odpovede, ako ich riešiť.

SOC bez záhad: od zberu signálov k automatizácii

SOC – Security Operations Center – je „riadiaca veža“ kyberbezpečnosti, ktorá zhromažďuje a vyhodnocuje udalosti z celej infraštruktúry. Do jednej zbernice sa lejú dáta z koncových staníc, serverov, e-mailov a sietí, no aj z cloudov, OT prostredí a aplikačnej prevádzky. Nad týmto základom stojí nástroj na koreláciu a prehľad a cieľom je dostať sa k automatizácii, kde sa detekcia a reakcia dejú čo najviac bez zásahu človeka. Prepojenie s helpdeskom a informáciami o identitách zvyšuje rýchlosť zásahu, no platí, že kvalita vyhodnotenia stojí na kvalitných a zmysluplných dátach a threat intelligence.

Kto potrebuje SOC a kedy to bolí najviac

Belko rozlišuje viacero typov organizácií: tie, ktoré ešte incident nezažili, proaktívnych, „po incidente“, „po audite“ a tých, ktorým velia regulácie ako zákon o kybernetickej bezpečnosti či NIS2. Najrýchlejšie napredujú tí po incidente – majú motiváciu a vedia sa rozhodovať, zatiaľ čo „po audite“ riešia skôr to, čo im niekto označil ako problém. Bežná realita však je, že organizácia kúpi drahé nástroje a pri prvom pohľade na množstvo dashboardov nevie, kde začať. Vtedy nastupujú improvizované dotazy do GPT a hľadanie odpovedí „za jazdy“ – čo funguje, ale dá sa to urobiť systematickejšie.

AI v SOC: rozumie otázke, pripraví report a urobí zásah

Príkladom je nasadenie asistenta vo FortiAnalyzeri, kde analytik jednoducho povie, že v top kategórii vidí kompromitovaný host a pýta si súvislosti. Systém automaticky doplní IP adresu, zhrnie situáciu do prehľadného reportu a na požiadanie rozpitvá najviac zaťažené procesy či podozrivé komunikačné kanály. Ak sa podozrenie potvrdí, analytik priamo z rozhrania prikáže bezpečnostnému agentovi (EDR) ukončiť proces a stroj pre istotu zadržať v karanténe. Podobne v prostredí automatizácie vie asistent k alertu vygenerovať zrozumiteľné zhrnutie a pripraviť šablónu odovzdávky pre ďalšieho kolegu.

Kľúčové je, že otázka používateľa sa pred odoslaním do LLM (či už OpenAI, Bard alebo vlastného modelu) obohatí o interné znalosti a očistí o nepodstatné údaje, aby odpoveď bola presná a bezpečná. Dáta zostávajú v privátnom tenantovi a nepoužívajú sa na tréning modelov, čo adresuje najčastejšie obavy. Asistent už rozumie slovenčine, hoci odpoveď môže prísť v angličtine, a k dispozícii má aj navrhované doplňujúce otázky, ktoré analytika vedú správnym smerom. Riešenie je otvorené integráciám s nástrojmi iných výrobcov, takže AI vie priniesť pridanú hodnotu aj v heterogénnom prostredí.

Čítať viac

Prezentácia na stiahnutie (353kB)