CrowdStrike的高管称,在今年的BlackHat会议期间,CrowdStrike向其Falcon平台引入了一种人工智能(AI)驱动的攻击指标(IoA),该平台接受了丰富的威胁情报培训,并与供应商的威胁搜寻团队进行了综合洞察。
这家安全供应商在十多年前推出了最初的IoA,以阻止基于一系列对手行为的违规行为,而不管指标如何容易改变,例如单个恶意软件变种。
“CrowdStrike开创了在EDR中使用IoA的概念,”CrowdStrike产品管理和端点安全副总裁BrianTrombley在给SDxCentral的电子邮件中写道。“IoA不是评估是否应将给定文件视为恶意文件,而是着眼于端点的整体行为,其中恶意行为者可能使用合法工具进行攻击。当您查看完整行为而不是评估单个文件的优点时,攻击更难隐藏。”
FalconOverWatch副总裁ParamSingh表示,CrowdStrike新推出的云威胁追踪服务使用这些基于云的IoA以及错误配置指标来帮助威胁追踪者确定警报是否为真警报并更快地检测到安全事件在CrowdStrike。
虽然IoA在历史上是由威胁猎手制作和调整的,而CrowdStrike使用机器学习(ML)来检测和预防威胁,但这一次,它将AI功能与IoA结合在一起,“这样IoA现在是我们专家人类之间的协作和机器,”Trombley说。
人工智能驱动的IoA还旨在更快地检测新类别的攻击和新兴技术。CrowdStrike声称它已经确定了20多种新的对手模式,这些模式已经过人类专家的验证,并在Falcon平台上用于自动检测和预防。
CrowdStrike利用威胁情报和以人为本的专业知识训练AI
CrowdStrike的安全云数据结构每天从其客户群收集超过一万亿个安全事件,这“让我们对威胁形势有了难以置信的可见性,”Trombley说。
“我们使用ML和我们的IoA将遥测数据关联起来,为我们所有的客户提供检测和预防,”他补充道。“我们支持的客户越多,我们就越能深入了解威胁形势,从而使我们能够以更有效的方式阻止违规行为。”
新的人工智能驱动的IoA建立在安全云和现有的威胁检测和响应能力之上。Trombley指出,面对复杂且资源丰富的对手,需要融合人工智能分析和威胁猎手和研究人员的人类专业知识。
由于CrowdStrike的FalconOverWatch分析师使用IoA进行威胁搜寻,供应商从团队中吸取了教训,“我们使用AI组合从我们每天收到的大量信号中找到攻击的‘种子’,然后将人类专业知识应用于这些过滤后的数据,”他指出。
“通过这些新的人工智能驱动的IoA,我们将云原生规模和计算的力量带到了IoA的创建中,一切都以机器速度进行,同时保持我们的专家在交付给我们的客户之前审查和批准它们的精度,”特隆布利说。