CrowdStrike Giảm 40 Giờ Đau Đầu cho Trung Tâm Điều Hành An Ninh Mạng (SOC): Họ Đã Làm Như Thế Nào?

Giới thiệu về Tối Ưu Hóa SOC với CrowdStrike Charlotte AI

Các trung tâm điều hành an ninh mạng (SOC) đang phải vật lộn với khối lượng cảnh báo ngày càng tăng.
CrowdStrike đã giới thiệu Charlotte AI Detection Triage, một giải pháp tự động đánh giá
cảnh báo với độ chính xác trên 98%, giúp giảm hơn 40 giờ xử lý thủ công mỗi tuần mà vẫn duy trì
khả năng kiểm soát và độ chính xác.

Giải pháp cho các thách thức SOC hiện nay

Chúng tôi không thể làm được điều này nếu không có đội ngũ Falcon Complete, Elia Zaitsev, CTO của
CrowdStrike, chia sẻ với VentureBeat. Họ thực hiện phân loại như một phần trong quy trình
làm việc của mình, xử lý thủ công hàng triệu phát hiện. Bộ dữ liệu được chú thích bởi con người chất
lượng cao này là yếu tố làm nên độ chính xác trên 98%.

Ông tiếp tục: Chúng tôi nhận thấy rằng đối thủ ngày càng tận dụng AI để tăng tốc các cuộc tấn công.
Với Charlotte AI, chúng tôi mang đến cho người phòng thủ một nền tảng tương đương – khuếch đại hiệu
quả của họ và đảm bảo họ có thể theo kịp những kẻ tấn công trong thời gian thực.

Charlotte AI Detection Triage Mang Lại Quy Mô và Tốc Độ Lớn Hơn Cho SOC Như Thế Nào?

Các đội SOC đang chạy đua với thời gian mỗi ngày, đặc biệt là khi ngăn chặn thời gian đột phá. Báo
cáo mối đe dọa toàn cầu gần đây của CrowdStrike cho thấy rằng đối thủ hiện nay đột phá
trong vòng 2 phút 7 giây sau khi có được quyền truy cập ban đầu.

Cốt lõi trong các mục tiêu kiến trúc của Charlotte AI Detection Triage là tự động hóa việc phân loại
SOC và giảm khối lượng công việc thủ công trong khi vẫn duy trì độ chính xác trên 98% trong việc
đánh giá mối đe dọa. CrowdStrike báo cáo con số chính xác này dựa trên dữ liệu thực tế
liên tục từ môi trường Falcon Complete, nơi xử lý hàng triệu quyết định phân loại hàng tháng.

Được thiết kế để tích hợp vào các quy trình làm việc bảo mật hiện có và liên tục thích ứng với các
mối đe dọa đang phát triển, nền tảng này cho phép các đội SOC hoạt động hiệu quả hơn và ứng phó với
các sự cố quan trọng nhanh hơn.

Các tính năng chính bao gồm:

• Phân loại tự động và đóng cảnh báo rủi ro thấp: Lọc bỏ các kết quả dương tính giả
  và đóng các cảnh báo rủi ro thấp, cho phép các nhà phân tích tập trung vào các mối đe dọa thực
  sự. Quá trình này làm giảm nhiễu và cho phép các đội SOC ưu tiên các sự cố có tác động cao trong
  khi giảm thiểu tình trạng mệt mỏi do cảnh báo.
• Tích hợp Falcon Fusion để phản ứng tự động: Kết hợp nền tảng điều phối, tự động
  hóa và phản ứng bảo mật (SOAR) của CrowdStrike để hợp lý hóa việc phân loại phát hiện
  và tự động hóa quy trình làm việc phản ứng. Chúng dựa trên các ngưỡng tin cậy và giảm thời gian
  phản hồi trung bình (MTTR) và đảm bảo các nhà phân tích chỉ nhận được các phát hiện có độ trung
  thực cao và phù hợp nhất.

Trong các lần lặp AI trước đây, một nhà phân tích phải gọi Charlotte theo cách thủ công, Elia
Zaitsev, CTO của CrowdStrike, nói với VentureBeat. Giờ đây, thông qua Fusion, nó có thể
chạy tự động – phân loại hàng ngàn cảnh báo tự động và thậm chí kích hoạt phản ứng khi độ tin cậy
cao. Quy mô đó là điều khiến tôi hào hứng nhất.

• Học hỏi liên tục từ bộ dữ liệu SOC lớn nhất trong ngành: Bằng cách liên tục học
  hỏi từ hàng triệu quyết định phân loại được gắn nhãn bởi các chuyên gia trong Falcon Complete,
  Charlotte AI Detection Triage thích ứng với các kỹ thuật tấn công mới nổi trong thời gian thực.
  Không giống như các mô hình AI chung chung, dựa trên các bộ dữ liệu tĩnh, nó tinh chỉnh độ chính
  xác của mình dựa trên dữ liệu SOC thực tế, đảm bảo độ chính xác ngay cả khi đối thủ phát triển các
  chiến thuật của họ.

Điều thực sự khiến tôi phấn khích hơn là [khách hàng của chúng tôi] có thể kết nối nó vào tự động
hóa của nền tảng và chỉ cần để nó tự động phân loại tất cả các phát hiện, Zaitsev nói. Không chỉ
phân loại tất cả các phát hiện, mà chúng ta có thể lấy đầu ra bằng Fusion và sử dụng nó để thúc đẩy
việc ra quyết định bổ sung.

Ông giải thích: Ví dụ, Charlotte nói đó là một kết quả dương tính thực sự với độ tin cậy cao, lấy
bản tóm tắt và mở một trường hợp hỗ trợ hoặc một vé, chuyển nó cho nhóm, nhóm này thực hiện một
hành động tự động như chứa hệ thống. Tất cả điều này đang xảy ra ở một khối lượng và quy mô cao hơn
nhiều, đó là phần khác thực sự khiến tôi phấn khích về khả năng này.

CrowdStrike Ra Mắt Kiến Trúc Đa AI Triển Khai Droids Để Giải Quyết Các Thách Thức SOC

Bản chất của các mối đe dọa mà SOC phải đối mặt đang thay đổi nhanh hơn so với nhiều phương pháp thủ
công có thể theo kịp, đôi khi áp đảo các hệ thống tự động. Những thách thức ngày càng tăng của khối
lượng cảnh báo cao và hạn chế về nguồn lực đang trở thành một trường hợp sử dụng hấp dẫn để triển khai
nhiều tác nhân AI chuyên biệt.

CrowdStrike gọi kiến trúc đa AI của mình là phương pháp triển khai droids, trong đó mỗi
tác nhân chuyên biệt hoặc droid được đào tạo cho các nhiệm vụ cụ thể. Thay vì dựa vào một mô hình AI
duy nhất, Charlotte AI phối hợp nhiều tác nhân AI chuyên biệt, mỗi tác nhân được đào tạo cho các
nhiệm vụ cụ thể. Các tác nhân AI này làm việc cùng nhau để phân tích, diễn giải và ứng phó với các
sự cố bảo mật, cải thiện độ chính xác và giảm gánh nặng cho các nhà phân tích.

Như Marian Radu của CrowdStrike trình bày chi tiết trong Triển khai droids: Tối ưu
hóa hiệu suất của Charlotte AI với kiến trúc đa AI, hệ thống này tích hợp những tiến bộ trong
nghiên cứu AI tổng quát, bộ dữ liệu thông tin tình báo về mối đe dọa phong phú của
CrowdStrike và đo từ xa đa miền bao gồm hơn một thập kỷ dữ liệu bảo mật được gắn nhãn bởi
các chuyên gia. Bằng cách chọn động loạt các tác nhân AI tốt nhất cho mỗi nhiệm vụ, Charlotte AI cải
thiện khả năng phát hiện và ứng phó với mối đe dọa, giảm các kết quả dương tính giả và hợp lý hóa
quy trình làm việc của SOC.

Sơ đồ dưới đây minh họa cách các tác nhân AI dành riêng cho nhiệm vụ của Charlotte AI hoạt động, chia
nhỏ từng bước trong quy trình. Cách tiếp cận dựa trên AI có cấu trúc này cho phép các đội SOC làm
việc hiệu quả hơn mà không làm giảm độ chính xác hoặc khả năng kiểm soát.

Charlotte AI xử lý các truy vấn của người dùng thông qua một hệ thống phối hợp của các tác nhân AI
chuyên biệt. Mỗi tác nhân được gán một vai trò riêng biệt, từ làm phong phú thực thể và lập kế
hoạch trả lời đến xác thực và tóm tắt, đảm bảo phản hồi chính xác và hiệu quả cho các đội SOC.

Agentic AI Là DNA Mới Của An Ninh SOC

Khảo sát Tình Trạng AI Trong An Ninh Mạng gần đây của CrowdStrike dựa trên các cuộc
phỏng vấn với hơn 1.000 chuyên gia an ninh mạng và nêu bật các động lực quan trọng của việc áp dụng
AI trong SOC.

Các hiểu biết chính bao gồm:

• Ưu tiên nền tảng khi áp dụng AI: 80% số người được hỏi thích AI tổng quát được
  tích hợp vào một nền tảng an ninh mạng hơn là một công cụ độc lập.
• AI được xây dựng cho mục đích bảo mật: 76% tin rằng AI tổng quát phải được thiết
  kế đặc biệt cho an ninh mạng, đòi hỏi kiến thức chuyên sâu về bảo mật.
• Lo ngại về vi phạm thúc đẩy nhu cầu về AI: 74% số người được hỏi đã bị vi phạm
  trong 12 đến 18 tháng qua hoặc lo sợ bị tổn thương, củng cố tính cấp thiết của tự động hóa bảo mật
  dựa trên AI.
• ROI hơn chi phí: Các CISO ưu tiên các giải pháp AI giúp cải thiện đáng kể tốc độ
  phát hiện và ứng phó hơn là chỉ tập trung vào giá cả.
• Bảo mật và quản trị quan trọng: Việc áp dụng AI phụ thuộc vào các cấu trúc an
  toàn, quyền riêng tư và quản trị rõ ràng.

Các đội bảo mật muốn các công cụ AI tổng quát được xây dựng cho an ninh mạng bởi các chuyên gia an
ninh mạng, báo cáo viết. Các tổ chức sẽ đánh giá các khoản đầu tư AI của họ dựa trên các kết quả
hữu hình: thời gian phản hồi nhanh hơn, ra quyết định nâng cao và ROI đo lường được thông qua các
hoạt động bảo mật được hợp lý hóa.

Bảo Vệ AI Thông Qua Quyền Tự Chủ Có Giới Hạn: CrowdStrike Hướng Dẫn Việc Áp Dụng Charlotte Có Trách Nhiệm Như Thế Nào?

Khảo sát của CrowdStrike cho thấy rằng 87% các nhà lãnh đạo bảo mật đã triển khai hoặc
đang phát triển các chính sách mới để quản lý việc áp dụng AI, do lo ngại về việc lộ dữ liệu, các
cuộc tấn công đối nghịch và ảo giác tạo ra những hiểu biết sai lệch.

Những thách thức này đặc biệt phù hợp với Charlotte AI Detection Triage, công cụ tận dụng AI ở quy
mô lớn để tự động hóa quy trình làm việc của SOC.

Trong Năm Câu Hỏi Các Đội Bảo Mật Cần Đặt Ra Để Sử Dụng AI Tổng Quát Một Cách Có Trách Nhiệm,
Mike Petronaci và Ted Driggs lưu ý rằng AI tổng quát làm giảm các rào cản đối với những kẻ tấn công,
cho phép các mối đe dọa tinh vi hơn.

CrowdStrike giảm thiểu những rủi ro này với một khái niệm mà Zaitsev mô tả là quyền tự
chủ có giới hạn – trao cho khách hàng quyền kiểm soát mức độ ủy quyền mà AI có trong việc phân loại
và ứng phó.

Như Zaitsev giải thích: Các tổ chức khác nhau sẽ có các mức độ hoài nghi khác nhau và các mức độ chấp
nhận rủi ro khác nhau… Một trong những điều tuyệt vời, vì cách chúng tôi đã tích hợp [Charlotte AI]
với hệ thống tự động hóa, là khách hàng của chúng tôi thực sự được xác định, bằng cách tận dụng tích
hợp Fusion này, nơi, khi nào và làm thế nào bạn tin tưởng hệ thống… Cuối cùng, chúng tôi đang trao
cho khách hàng của mình quyền kiểm soát để quyết định chính xác cách thức và nơi họ muốn tự động hóa
đó. Hoài nghi chỉ là một cách phản ánh mức độ chấp nhận rủi ro của bạn.

Bằng cách liên tục học hỏi từ dữ liệu SOC thực tế trong Falcon Complete, Charlotte AI Detection
Triage thích ứng với các mối đe dọa đang phát triển trong khi giảm tình trạng mệt mỏi do cảnh báo.
Thông qua quyền tự chủ có giới hạn, các đội bảo mật khai thác tốc độ và hiệu quả của việc phân loại
dựa trên AI trong khi vẫn giữ các biện pháp bảo vệ cần thiết cho việc áp dụng thực tế có trách
nhiệm.