– IBM Watson for Cyber Security Watson – это разработанный IBM искусственный интеллект, который активно используется в сфере кибербезопасности. Благодаря Watson цифровой иммунитет может не только защищаться от известных угроз, но и адаптироваться к новым. Watson предлагает анализ огромных массивов данных о киберугрозах в режиме реального времени, предсказание новых угроз и предложения по автоматизированной защите, а также автоматизацию процесса реагирования на инциденты с использованием искусственного интеллекта.
Интеграция с существующими системами
DIS априори подразумевается интегрировать с существующими системами безопасности, такими как SIEM и IDS/IPS, чтобы обеспечить полноценное управление рисками и автоматическую защиту. Из важного следует отметить необходимость разграничения прав доступа, наличие планов на случай взлома самой DIS, ведь несмотря на то что это система безопасности, стоит помнить, что невзламываемых систем нет.
И раз выше мы затронули вопрос «экосистемности» подхода поставщиков программного обеспечения такого рода, предлагаю рассмотреть чуть ближе, в качестве примера, решение от Microsoft.
Microsoft Defender for Endpoint – одна из ведущих платформ для защиты конечных точек (EDR). Она активно используется для проактивного обнаружения, реагирования и автоматического восстановления после киберинцидентов.
Благодаря единой экосистеме Microsoft Defender может быстро реагировать на атаки и обеспечивать защиту данных и инфраструктуры на всех уровнях, что особенно важно для предприятий с гибридной и облачной инфраструктурой.
Этот продукт предоставляет большие возможности для защиты корпоративных устройств (IoT) от сложных угроз и автоматически восстанавливает их после атак, минимизируя вмешательство пользователя. Microsoft Defender использует поведенческий анализ и машинное обучение для выявления подозрительной активности в реальном времени. После обнаружения угрозы система автоматически изолирует скомпрометированное устройство или сервис, не нарушая работы всей сети. Производится автоматическое исправление конфигураций и откат системы до состояния до атаки с использованием снэпшотов и резервных копий.
Microsoft Defender поддерживает технологию Auto Investigation and Remediation – это функция автоматического расследования инцидентов и их устранения, которая позволяет без участия администратора восстанавливать нормальную работу системы после инцидента.
Что занимательно – и именно в контексте рассматриваемого примера, – так это наличие интеграции с Microsoft 365 и Azure. В мире Microsoft это самые базовые для базового же пользователя сервисы. Microsoft Defender тесно интегрируется с Microsoft 365 и Azure, что позволяет защищать облачные приложения и данные. То есть вот это вот все (биг-дата, дата-сайенс, искусственный интеллект в безопасности) входит в продукт, который можно подключить для пользователей «на местах» или B2C-сегмента, скажем, интегрировать в Word или Excel для условной секретарши Виктории Николаевны, купив подписку.
Важно обучить сотрудников новым методам работы с DIS-системами. Несмотря на автономность таких систем, специалисты должны понимать, как функционирует цифровой иммунитет и как он взаимодействует с другими компонентами безопасности, где его слабые и сильные стороны. Необходимо устраивать учения со сбоями и блек-джеком.
