От StackStorm к DeepTempo

Ландшафт кибербезопасности радикально изменился с момента основания StackStorm, платформы автоматизации, управляемой событиями. Изначально основное внимание уделялось управлению существующими оповещениями в контексте и с использованием предопределенных playbook'ов. Однако традиционные системы, основанные на сигнатурах, теперь с трудом справляются с эволюционирующими угрозами, поскольку большинство атак обходят их. Распространенность тактик «Living-off-the-Land» (использование легитимных инструментов для вредоносных целей) и вредоносных программ на основе искусственного интеллекта растет, что снижает эффективность традиционных методов. Атаки, использующие ИИ, являются главной проблемой для покупателей решений в области кибербезопасности, несмотря на рост центров безопасности (SOC), использующих ИИ, которые по-прежнему в основном работают в реактивном режиме. Решения на основе машинного обучения часто требуют длительного переобучения и дают много ложных срабатываний. Современные потребности в безопасности сосредоточены на достижении реальной защиты за счет улучшенного обнаружения угроз. Модель языка журналов (LogLM) может обнаруживать аномалии, связанные с различными атаками, с высокой точностью и минимальной донастройкой. Активное обучение дополнительно совершенствует LogLM, адаптируя ее к изменениям данных и повышая показатели обнаружения. Автор ищет отзывы о необходимости более эффективных, адаптируемых индикаторов с низким уровнем ложных срабатываний для противодействия современным киберугрозам.