Purple AI – wzmocnienie cyberbezpieczeństwa dzięki sztucznej inteligencji na najwyższym poziomie

Rynek EDR/XDR ewoluuje w sposób dynamiczny i nieustanny. Dowodem tego jest Purple AI czyli nowa funkcjonalność od SentinelOne, która jest generatywną sztuczną inteligencją przeznaczoną do polowania, analizy i reagowania na zagrożenia. Purple AI wykorzystuje różne modele, zarówno open source, jak i zastrzeżone. Ma na celu zwiększenie wydajności organizacji poprzez doposażenie analityków bezpieczeństwa w silnik AI, który może pomóc w identyfikacji, analizie i łagodzeniu zagrożeń za pomocą podpowiedzi i interaktywnego dialogu.

W tym poście wyjaśniamy, w jaki sposób Purple AI to wykonuje posługując się rzeczywistymi przykładami.

Uproszczone polowanie na zagrożenia dzięki sztucznej inteligencji

Samo wyszukiwanie zagrożeń oraz tworzenie właściwych zapytań w celu uzyskania skutecznych wyników nie jest łatwym zadaniem. Wymaga to od analityka zrozumienia, jakich wzorców należy szukać i znajomości składni zapytania, aby przetłumaczyć pozornie proste pytanie na coś, co system może zrozumieć. Dzięki Purple AI analitycy mogą teraz uzyskać szybkie, dokładne i szczegółowe odpowiedzi na dowolne pytanie, w dowolnym języku, które w przeciwnym razie wymagałyby wielu godzin badań i zapytań – nie wspominając o latach doświadczenia analityków – aby uzyskać odpowiedź.

Znane zagrożenia

Purple AI pozwala łowcom zagrożeń zadawać pytania dotyczące konkretnych, znanych zagrożeń i uzyskiwać szybkie odpowiedzi bez konieczności ręcznego tworzenia zapytań dotyczących wskaźników zagrożenia. Na przykład analityk może użyć monitu, takiego jak “Czy moje środowisko jest zainfekowane poprzez SmoothOperator?” lub “Czy mam jakieś wskaźniki SmoothOperator na moich punktach końcowych?”, aby wyszukać określone zagrożenie.

W odpowiedzi Purple AI dostarcza tabelę wyników wraz z kontekstowymi spostrzeżeniami opartymi na zaobserwowanych zachowaniach i zidentyfikowanych anomaliach w zwróconych danych. Sugerowane są również dalsze pytania i następne działania. W przypadku przykładu SmoothOperator, łowca może na przykład otrzymać następujące podsumowanie: „Analiza wyników pokazuje, że wykryto trzy punkty końcowe ze złośliwym oprogramowaniem SmoothOperator, wszystkie z tej samej witryny firmy. Dane pokazują, że złośliwe oprogramowanie zainfekowało zarówno punkty końcowe komputerów stacjonarnych, jak i serwerów. Wskazuje to, że może być przeprowadzany atak na większą skalę i ważne jest dalsze badanie w celu określenia zakresu infekcji. Dane pokazują, że złośliwe oprogramowanie zostało wykryte wiele razy na niektórych zainfekowanych urządzeniach. Na przykład złośliwe oprogramowanie zostało wykryte dwadzieścia dwa razy na punkcie końcowym o nazwie “TheEnterprise”, gdzie ostatnio zaobserwowano je kilka godzin temu. Sugeruje to, że złośliwe oprogramowanie jest trwałe i od pewnego czasu jest aktywne na zainfekowanych urządzeniach”. Łowca może następnie zadać dodatkowe pytania sugerowane przez Purple AI lub ręcznie wpisane przez użytkownika, takie jak: “Czy na punkcie końcowym ‘TheEnterprise’ wystąpiły jakieś trwałe zdarzenia?”. “Czy istnieją jakieś znane luki w zabezpieczeniach na zaatakowanych maszynach?” “Pokaż mi użytkowników, którzy są aktywni na zaatkowanych maszynach, sprawdź ich dane Okta pod kątem udanych logowań i uwzględnij lokalizację, w której nastąpiło logowanie”. Następnie system automatycznie zwróci wyniki wraz z podsumowaniem zidentyfikowanego zachowania i zaleci kolejne pytania badawcze i działania w odpowiedzi. W powyższych przykładach ostatnie pytanie mogło skutkować sugestią uruchomienia jednej lub więcej kombinacji działań, takich jak “wyczyść sesję użytkownika”, “zawieś konto Okta użytkownika”, “wymuś reset hasła”, “poddaj kwarantannie sieciowej wszystkie dotknięte punkty końcowe”, “utwórz regułę powiadamiania użytkowników o podobnej aktywności zidentyfikowanej na innych punktach końcowych”, “zbieraj ostatnie dzienniki bezpieczeństwa z dotkniętych maszyn” i nie tylko. Za pomocą jednego kliknięcia przycisku, analityk może następnie uruchomić jedną lub wiele akcji, kontynuując rozmowę i analizę z Purple AI.

Purple AI działa na każdej informacji w ramach SentinelOne Security DataLake i umożliwia odpowiedź jednym kliknięciem za pośrednictwem różnych integracji SentinelOne XDR. Każde pytanie zadane przez analityka jest wykonywane w odniesieniu do właściwego źródła lub kombinacji wielu źródeł, bez konieczności znajomości przez użytkownika różnych źródeł danych lub sposobu, w jaki ich dane są pozyskiwane. Na przykład analitycy mogą zapytać: “Czy są jakieś instancje ec2 z uruchomionym xmrig?” “Czy w mojej sieci znajdują się odłączone maszyny linuksowe typu serwer lub dowolny węzeł kubernetes?”. Analityk może następnie uruchomić działania EDR/XDR, takie jak poniższe: “Przeskanuj wszystkie dotknięte instancje EC2, aby potwierdzić, że żadne artefakty nie pozostały na żadnej z instancji, które były zaangażowane w incydent”. Lub “Dodaj wykryte oprogramowanie coinminer do listy blokad SentinelOne, uniemożliwiając jego ponowne pobranie lub uruchomienie na innych punktach końcowych”.

Nieznane zagrożenia

W innych przypadkach łowcy zagrożeń mogą jednak nie wiedzieć, czego szukają. Wykorzystując możliwości i szybkość Purple AI do inteligentnego wykorzystania zasobów wewnętrznych i zewnętrznych, administratorzy mogą zadawać pytania dotyczące podejrzanych działań, których sami nie byli w stanie zdefiniować. Na przykład, mogą poprosić Purple AI o: “Wyszukaj wszystkie przypadki procesów próbujących uzyskać dostęp do poufnych danych lub plików i zbadaj źródło tych prób dostępu”. Lub “Wyszukaj wszystkie narzędzia wiersza poleceń powszechnie używane przez atakujących i sprawdź, czy są one używane w podejrzany sposób”.  Analitycy mogą również wykorzystać Purple AI do zadawania pytań typu “jak mogę zidentyfikować xyz”? Na przykład: “Jak szukać możliwego webshella?”. Lub “Jak mogę wyszukać LOLBins?”.

Uproszczona analiza zagrożeń

Powszechnie wiadomo, że ilość oraz złożoność alertów jest jednym z największych wyzwań stojących przed nowoczesnym centrum operacji bezpieczeństwa (SOC). Większość zespołów ds. bezpieczeństwa otrzymuje więcej alertów, niż jest w stanie zbadać i rozwiązać. Sprawa jest jasna: problem bezpieczeństwa to problem danych. Informacje stają się wartościowe dopiero wtedy, gdy zastosujemy znaczące powiązania między wieloma punktami informacji, łącząc kontekstowe dane w przydatne wyniki. Purple AI, oprócz tego, że pomaga zespołom ds. bezpieczeństwa zadawać złożone pytania dotyczące zagrożeń i uruchamiać polecenia operacyjne w celu zarządzania całym środowiskiem przedsiębiorstwa za pomocą języka naturalnego, znacznie upraszcza również proces badania zagrożeń. Umiejętność rozumienia przez Purple AI pozyskiwanych danych, pozwala mu szybko określić łańcuch zdarzeń, a następnie podsumować potencjalnie złożoną sytuację dla analityka. Potężne połączenie opatentowanej przez SentinelOne technologii Storylines i sztucznej inteligencji Purple AI pozwala analitykom nie tylko szybko znaleźć wszystkie zdarzenia związane z daną aktywnością, ale także błyskawicznie uzyskać podsumowanie tych zdarzeń i ich poziomu zagrożenia. W ciągu kilku sekund Purple AI zapewni wgląd w zidentyfikowane zachowanie wraz z zaleceniami, zmniejszając w ten sposób potrzebę ręcznej analizy i łączenia różnych zdarzeń w jedną kontekstową historię. Znacznie poprawia to wydajność analityków, umożliwiając im badanie i selekcję znacznie większej liczby alertów w znacznie krótszym czasie.

Purple AI w akcji

Poniżej znajduje się przykładowe podsumowanie stworzone dla zagrożenia zidentyfikowanego przez platformę SentinelOne Singularity. Analiza tego zdarzenia sugeruje, że potencjalnie złośliwa aktywność wystąpiła na punkcie końcowym o nazwie “TheBorg” działającym na serwerze Windows w witrynie SF East Bay Corp. Podejrzana aktywność została zainicjowana przez proces “ResistanceIsFutile.exe”, który jest niepodpisany i znajduje się na pulpicie użytkownika. Proces ten uruchomił inny proces, “powershell.exe”, który jest podpisany przez Microsoft Windows i znajduje się w folderze SysWOW64. Zauważmy, że Purple AI najpierw wskazuje, czy zaobserwowano jakąkolwiek złośliwą aktywność i gdzie. Jest to ważne dla analityka, aby zrozumieć, jak powszechny jest atak. W tym przykładzie cała złośliwa aktywność została zidentyfikowana w jednej witrynie. Administratpr może następnie przejść dalej, aby w razie potrzeby uzyskać szczegółową analizę zidentyfikowanej aktywności. Purple AI następnie zapewnia szczegółową analizę zdarzeń, wskazując zachowania, które sprawiły, że SentinelOne sklasyfikował zachowanie jako złośliwe. Proces PowerShell wykonał polecenie wymuszające aktualizację zasad grupy na wszystkich komputerach usługi Active Directory w domenie “starfleet.corp”. Z poleceniem tym powiązana była duża liczba wskaźników, w tym 127 wskaźników rozpoznania (Reconnaissance), 16 wskaźników unikania (Evasion)  i 136 wskaźników ogólnych. Duża liczba wskaźników sugeruje, że polecenie PowerShell mogło zostać użyte do złośliwych celów, takich jak zbieranie informacji o sieci lub próba uniknięcia wykrycia. W tym przypadku proces PowerShell wymusił aktualizację zasad grupy, co wywołało różne wskaźniki, takie jak rozpoznanie i unikanie. Purple AI przedstawia następnie agregacje aktywności wykonanej przez podejrzany proces: Proces PowerShell wykonał również kilka operacji na plikach, w tym utworzył 4 pliki, zmodyfikował 11 plików i usunął 4 pliki. Ponadto proces wykonał 6 żądań DNS i nawiązał 15 wychodzących połączeń sieciowych z adresem IP 192.168.192.22 na porcie 49667. Połączenia sieciowe zakończyły się powodzeniem, a zdarzenie zostało sklasyfikowane jako “IP Connect” z liczbą powtórzeń równą 2. Następnie Purple AI przekaże dodatkowe informacje na temat podmiotów powiązanych ze złośliwym procesem, takich jak użytkownicy lub pliki. Podkreślone zostaną również podejrzane zachowania lub atrybuty powiązane z tymi podmiotami. Użytkownik “STARFLEET\jeanluc” był powiązany zarówno z procesem “ResistanceIsFutile.exe”, jak i procesem PowerShell. Z procesem PowerShell powiązany był niepodpisany plik z aktywną zawartością, który znajdował się na nieznanym urządzeniu i w nieznanej ścieżce pliku. To dodatkowo budzi podejrzenia co do charakteru aktywności. Na koniec Purple AI podsumowuje aktywność, podkreślając zaangażowane złośliwe podmioty i przedstawia wnioski wraz z zalecanymi kolejnymi krokami. Podsumowując, dane zdarzeń sugerują, że proces “ResistanceIsFutile.exe” zainicjował potencjalnie złośliwe polecenie PowerShell w celu wymuszenia aktualizacji zasad grupy na wszystkich komputerach Active Directory w domenie “starfleet.corp”. Duża liczba wskaźników, operacji na plikach i połączeń sieciowych powiązanych z procesem PowerShell, a także niepodpisany plik zawartości aktywnej wskazują, że aktywność ta powinna być dalej badana przez analityków cyberbezpieczeństwa”.

Podsumowanie

Purple AI to zintegrowana generatywna sztuczna inteligencja, która pozwala łowcom zagrożeń i analitykom zespołu SOC wykorzystać moc LLM (dużych modeli językowych) z poziomu konsoli SentinelOne do szybszej i łatwiejszej identyfikacji ataków i reagowania na nie. Korzystając z podpowiedzi i odpowiedzi w języku naturalnym, nawet mniej doświadczone lub dysponujące mniejszymi zasobami zespoły ds. bezpieczeństwa mogą szybko ujawnić podejrzane i złośliwe zachowania, które do tej pory były możliwe do wykrycia tylko przez wysoko wykwalifikowanych analityków poświęcających wiele godzin pracy.

Zobacz artykuł:

Sprawdź 5 sposobów, które pozwolą usprawnić proces zarządzania bezpieczeństwem urządzeń końcowych