为什么人工智能和行为分析是 Gartner 端点 MQ 的隐形优势

阅读量31440

发布时间 : 2024-02-05 10:47:22

它们是端点提供商赖以增强其武器库并为下一次网络攻击做好准备的无声力量。人工智能和行为分析是领先端点提供商 DNA 的核心,包括思科、CrowdStrike、ESET、Fortinet、微软和Palo Alto Networks。

这些端点提供商都首先将网络安全视为数据问题,并多年来一直投资于人工智能和行为分析。事实证明,这一决定是有先见之明的,因为强大的人工智能和行为分析能力使每个人都有能力代表客户推动快速整合战略。

CISO 要求整合其网络安全技术堆栈并减少支出,同时提高可见性,这是当今每个端点提供商在销售周期中面临的现实。从 2023 年底到 2024 年,网络安全预算不断削减,迫使 IT 和网络安全领导者重新评估预算中的每个项目。端点提供商早在 2022 年就看到了整合的迹象。CrowdStrike 将销售整合作为一种增长策略,在整个端点平台市场上启动了该策略,Palo Alto Networks和其他公司纷纷效仿。

Gartner在今年的端点保护平台魔力象限 (MQ) 中写道,“端点保护平台 (EPP) 市场不再受到仅提供 EPP 和端点检测与响应 (EDR) 功能的供应商的限制,买家越来越多地寻求更少的供应商提供更广泛的功能。” 报告继续说道,“电子邮件安全、身份威胁检测和响应以及扩展检测和响应 (XDR) 越来越成为购买决策的一部分。”

领导者重视人工智能和行为分析

顶级端点提供商吸取的人工智能和行为分析经验教训,使他们能够在关键指标上取得优异的表现,包括 Gartner 用于对供应商进行排名的指标。Gartner 上月底发布的 EPP MQ 将六家端点平台提供商列为领导者。其中包括 CrowdStrike、Microsoft、SentinelOne、TrendMicro、Palo Alto Networks 和 Sophos。

Gartner 的方法论对每家公司进行了审查,他们的分析反映了这些公司强大的研发、工程、产品管理、专业服务和高级管理团队在严峻市场中的表现。这些公司的另一个共同点是在人工智能和行为分析方面表现出色。虽然 Gartner 没有将人工智能和行为分析纳入今年的 MQ,但每位领导者在将这些新技术集成到其平台、推动新的销售增长并增加对现有客户的追加销售方面都有着良好的记录。

资料来源:Gartner,端点保护平台魔力象限,2023 年 12 月 31 日,Evgeny Mirolyubov、Max Taggett、Franz Hinner、Nikul Patel

MQ 中提到的 16 家端点提供商中的每一家都已宣布或目前正在提供基于人工智能的网络安全。其中包括 Bitdefender、Broadcom、Broadcom (VMware)、Check Point Software Technologies、Cisco、CrowdStrike、Cybereason、ESET、Fortinet、Microsoft、Palo Alto Networks、 SentinelOne、Sophos、Trellix、趋势科技和 WithSecure。

人工智能军备竞赛步伐加快

今年 MQ 上的每个端点提供商的路线图上都包含先进的人工智能和行为分析,包括生成式人工智能。Gartner 提到,他们跟踪的许多供应商也在 2024 年试验或宣布生成人工智能引导的调查功能。

在去年的RSAC 2023上  ,基于 ChatGPT 的副驾驶主导了整个活动。  Google Security AI Workbench、Microsoft Security Co-pilot(在展会前推出)、Recorded Future、Security Scorecard和SentinelOne等众多推出 ChatGPT 解决方案的供应商。从那时起,又推出了更多产品,其中最值得注意的是BigID 的 CoPilot、CrowdStrike 的Charlotte AI、Fortinet Advisor和ConductorOne 的身份治理 Co-pilot 。

VentureBeat 通过与端点提供商的一系列简报了解到,他们的路线图包括一系列新的人工智能应用程序和工具,以及将于今年晚些时候推出的新行为分析应用程序和套件。常见的设计目标包括寻找新的方法来缩小攻击者希望利用的不断扩大的身份端点差距。端点蔓延和分配给端点的身份数量不断增加相结合,造成了攻击者不断寻找利用方法的漏洞。

攻击指标 (IOA) 和妥协指标也是今年路线图的高度优先事项。IOA 专注于检测攻击者的意图并尝试识别他们的目标,而不管攻击中使用的恶意软件或漏洞如何。相反, 妥协指标 (IOC) 提供了所需的取证,作为网络上发生的违规行为的证据。IOA 必须实现自动化,以提供有关攻击尝试的准确、实时数据,以便更好地了解攻击者的意图并阻止任何入侵尝试。

CrowdStrike、Cyberreason、DarkTrace、Deep Instinct、Fortinet、ThreatConnect 和 Orca Security 是使用 AI 和 ML 简化 IOC 的领导者。“CrowdStrike 凭借我们业界领先的攻击能力指标,在阻止最复杂的攻击方面处于领先地位,这彻底改变了安全团队根据对手行为(而不是轻易改变的指标)预防威胁的方式,”接受采访时的 Amol Kulkarni 说道。是 CrowdStrike 的首席产品和工程官。VentureBeat 在发表这篇报道后发现,Kulkarni 已离职,CrowdStrike 的长期员工 Elia Zaitsev 已接任该职位。

“2013 年,CrowdStrike 通过 Falcon 平台彻底改变了威胁检测,使用攻击指标 (IoAs) 和人工智能进行行为分析。这种方法可以检测新出现的威胁并预测对抗模式。2022 年,我们推出了人工智能驱动的 IOA,提高了检测速度并减少了误报。”CrowdStrike 首席技术官 Zaitsev 在 1 月 31 日接受采访时表示。

CrowdStrike 的人工智能 IOA 的一项显着成就是识别了 20 多种以前从未见过的对手模式。这些模式是在测试过程中发现的,并将其实施到 Falcon 平台中以进行自动检测和预防。

更多行为分析支持即将推出

根据定义,基于人工智能的行为分析通过识别异常并采取行动来提供有关潜在恶意活动的实时数据。正确进行行为分析始于行为机器学习模型。虽然每个端点提供商都采取不同的方法,但所有提供商的目标都是让他们的模型接受 TB 级高分辨率行为和上下文数据的训练,使他们的数据科学家能够微调模型以进行威胁检测和预防。

目标是实现行为活动的实时评估,识别微妙的行为模式,检测威胁,并协助事件后调查。将行为分析集成到 EDR 和 XDR 平台中的情况很常见。

端点提供商告诉 VentureBeat,在行为分析方面,EDR 和 XDR 的目标是记录和存储端点系统级行为,然后使用数据分析技术来识别端点行为中的异常情况。采取这些步骤可以实时了解端点上发生的所有活动。领先的提供商包括 Broadcom、CrowdStrike、CyberArk、Cybereason、Ivanti、SentinelOne、Microsoft、McAfee、Sophos 和 VMWare Carbon Black。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66