DXC Technology patrí medzi globálnych poskytovateľov spravovaných bezpečnostných služieb a opiera sa o bezpečnostné operačné centrá (SOC) po celom svete. Prednáška ukázala, ako sa SOC posúvajú od jednoduchého zberu logov k automatizácii a AI a čo to znamená pre zákazníkov aj analytikov. Prinášame zhrnutie kľúčových bodov aj stručný príklad zásahu.
DXC Technology v číslach a na mape
Spoločnosť má približne 130 000 zamestnancov a v bezpečnosti pôsobí okolo 3 200 profesionálov, ktorí obsluhujú stovky zákazníkov a desiatky partnerstiev. Prevádzkuje 13 bezpečnostných centier fungujúcich v šiestich jazykoch, pričom niektoré pracujú bilingválne (napríklad taliančina a angličtina či francúzština a angličtina). Pokrytie siaha od Severnej Ameriky cez Európu (Poľsko, Dánsko, Spojené kráľovstvo, Taliansko, Španielsko) a severnú Afriku (Maroko) až po Áziu (India, Filipíny, Malajzia, vrátane podpory japončiny). Austráliu a Nový Zéland obsluhuje SOC v Sydney, španielčina je žiadaná najmä pre Latinskú Ameriku.
Od logov k rozhodovaniu: päť stupňov zrelosti SOC
Pred každým onboardingom DXC hodnotí zrelosť prostredia, pretože bez poriadku v dátach, správy životného cyklu zariadení a kvalitného patchovania vznikajú „slepé miesta“ a reakcie zlyhávajú. Základom bol kedysi jednoduchý ingest z koncových bodov (napr. EDR), čo sa ukázalo ako nedostatočné. Nasledoval MXDR s pridaním sieťových dát, ktoré priniesli oveľa viac udalostí a potrebu potláčať šum a lepšie chápať kontext. Kľúčové bolo obohatenie internými informáciami: úloha zamestnanca, oddelenie, projekt či cestovanie menia vyhodnotenie rizika a priorít. Potom prichádza SOAR – automatizácia a playbooky skracujú čas od detekcie po reakciu, a finálnym smerom je AI SOC, kde jazykové modely urýchľujú a spresňujú vyšetrovanie aj rozhodovanie.
AI v praxi a čo to znamená pre ľudí
V praxi môže SOC prijímať alerty alebo už zložené incidenty z rôznych zdrojov a AI sa postará o kategorizáciu, obohatenie a triáž. Pri incidente typu „High Risk Okta používateľ“ SIEM nahlási pripojenie z podozrivej IP adresy a AI do niekoľkých minút zhrnie situáciu: pôvod IP, jej reputáciu a kontext. Overí informácie v zdrojoch, ako sú EDR, hrozbové spravodajstvo či reputačné databázy, a rozhodne o ďalšom kroku. Výsledkom môže byť automatické API volanie do Okty a dočasná deaktivácia konta, s notifikáciou používateľa a jeho manažéra.
Obavy, že AI nahradí analytikov, prednášajúci nepovažuje za opodstatnené. AI je nástroj, ktorý odoberá rutinné a časovo náročné úlohy, aby ľudia riešili to podstatné a riadili samotnú automatizáciu. Zmyslom je posunúť rolu špecialistu od manuálnej reakcie k tvorbe a kontrole „digitálnych pomocníkov“ – a tým zrýchliť aj skvalitniť obranu.
