ИИ в SOC: заменим аналитика?

Делимся опытом оптимального применения ИИ-моделей в SOC нашего сервиса Kaspersky MDR.

Эффективное внедрение ИИ для оптимизации работы аналитиков SOC

Хотя искусственный интеллект можно применять в ИБ-сфере разными способами, от детектирования угроз до упрощения написания отчетов об инцидентах, наиболее эффективными будут применения, которые значительно снижают нагрузку на человека и при этом не требуют постоянных крупных вложений в поддержание актуальности и работоспособности моделей машинного обучения.

В предыдущей статье мы разобрались, как сложно и трудоемко поддерживать баланс между надежным детектированием киберугроз и низким уровнем ложноположительных срабатываний ИИ-моделей. Поэтому на вопрос из заголовка ответить очень легко — ИИ не может заменить экспертов, но способен снять с них часть нагрузки при обработке «простых» случаев. Причем, по мере обучения модели, номенклатура «простых» случаев будет со временем расти. Для реальной экономии времени ИБ-специалистов надо найти участки работ, на которых изменения происходят более медленно, чем в «лобовом» детектировании киберугроз. Многообещающим кандидатом на автоматизацию является обработка подозрительных событий (триаж).

Воронка детектирования

Чтобы иметь достаточно данных для обнаружения сложных угроз, современная организация в рамках своего SOC вынуждена ежедневно собирать миллионы событий с сенсоров в сети и на подключенных устройствах. После группировки и первичной фильтрации алгоритмами SIEM эти события дистиллируются в тысячи предупреждений о потенциально вредоносной активности. Изучать предупреждения обычно приходится уже людям, но реальные угрозы стоят далеко не за каждым таким сообщением. По данным сервиса Kaspersky MDR за 2023 год, инфраструктура клиентов генерировала миллиарды событий ежедневно, при этом за весь год из них было выделено 431 512 предупреждений о потенциально вредоносной активности. Но лишь 32 294 предупреждения оказались связаны с настоящими инцидентами ИБ. То есть машины эффективно просеяли сотни миллиардов событий и лишь ничтожный процент из них отдали на просмотр людям, но от 30 до 70% этого объема сразу помечаются аналитиками как ложные срабатывания, и около 13% после более глубокого расследования оказываются подтвержденными инцидентами.

Роль «автоаналитика» в SOC

В команде Kaspersky MDR для первичной фильтрации предупреждений разработали «автоаналитика», систему машинного обучения на размеченных данных (Supervised Learning), которая обучается на предупреждениях (Alerts) из системы SIEM в сочетании с вердиктом SOC по каждому предупреждению. Цель обучения— уверенно опознавать ложноположительные срабатывания (False Positive) детектирующих правил. Поскольку их порождает легитимная активность в сети, применить машинное обучение к ней проще — эта область менее динамична, чем детектирование угроз.

Машинное обучение построено на базе CatBoost, популярной библиотеке градиентного бустинга. Обученный «автоаналитик» фильтрует предупреждения и отдает на проверку людям только те, по которым вероятность настоящего инцидента выше заданного порога, зависящего от вероятности допустимой ошибки. В результате примерно 30% предупреждений обрабатываются «автоаналитиком», разгружая команду SOC для решения более сложных задач.

Практические нюансы работы «автоаналитика»

В работе SOC первоочередную роль играют процессы, и вокруг новых технологий их нужно адаптировать или выстраивать с нуля. Для ИИ-систем таких процессов несколько.

  • Контроль обучающей выборки. Чтобы робот учился на корректном наборе данных, ее нужно заранее перепроверить, убедившись, что вердикты аналитиков в обучающей выборке были верны.
  • Приоритизация входящей информации. Каждое предупреждение имеет множество полей с информацией, но их важность отличается — частью обучения является назначение «весов» разным полям. Вектор признаков, с которым оперирует ML-модель, основан на отобранных экспертами полях из предупреждений SIEM, список полей зависит от типа конкретного предупреждения. Следует отметить, что подобную приоритизацию признаков модель может выполнить самостоятельно, но результат желательно контролировать.
  • Выборочная проверка результатов. Около 10% вердиктов, вынесенных «автоаналитиком», перепроверяет команда аналитиков SOC, чтобы убедиться, что робот не допускает ошибок (в первую очередь False Negative). Если такие ошибки возникают и их количество превышает определенный порог (например, более 2% вердиктов), нужно провести дообучение. Кстати, выборочные перепроверки в SOC проводят и с вердиктами команды аналитиков, потому что люди тоже нередко ошибаются.
  • Интерпретируемость результатов. ML-модель должна быть снабжена инструментами интерпретации, чтобы можно было понять, почему она выносит тот или иной вердикт, какой из факторов на него повлиял. Это помогает корректировать обучающую выборку и веса входных данных. Например, потребовал такой корректировки случай, когда «автоаналитик» стал выносить вердикты о «подозрительности» сетевых коммуникаций без учета поля «IP-адрес источника». Анализ работы ML-модели с помощью этого инструмента является неотъемлемой частью выборочной проверки.
  • Процесс исключения ИИ-анализа. Некоторые детектирующие правила настолько важны, что нельзя допускать даже небольшого шанса, что «автоаналитик» отфильтрует их срабатывание. Для таких случаев должны быть предусмотрены флаги в правиле «исключить из обработки «автоаналитика» и процесс приоритетной обработки срабатываний.
  • Оптимизация фильтрации. Еще один периодический процесс, необходимый для эффективной работы ИИ-аналитика в SOC — поиск похожих срабатываний. Если ИИ-аналитик забраковал несколько десятков однотипных предупреждений, нужен процесс, по которому эти вердикты «апгрейдятся» до фильтрующих правил в SIEM. Оптимально сам ИИ-аналитик генерирует запрос на создание фильтрующего правила, а затем его просматривает и утверждает ответственный аналитик SOC.

Для эффективного противодействия киберугрозам организациям требуется приобретать все больше экспертизы в различных технологических областях, включая хранение огромных массивов данных, их анализ, а теперь еще и машинное обучение. Тем, кто хочет быстро компенсировать имеющийся дефицит квалифицированных кадров или иных ресурсов, рекомендуется получить эту экспертизу в готовом виде, используя сервис Kaspersky Managed Detection and Response. Он обеспечит непрерывный поиск, обнаружение и устранение угроз, направленных на организацию.

Советы