NightBeacon от Binary Defense: искусственный интеллект на страже SOC
Компания Binary Defense представила NightBeacon — платформу для операций безопасности на базе искусственного интеллекта, интегрированную непосредственно в её центр мониторинга и реагирования (SOC).
NightBeacon служит интеллектуальной основой для управляемой службы обнаружения и реагирования (MDR) от Binary Defense, поддерживая каждую смену аналитиков, каждое обнаружение и расследование в SOC. Клиенты получают сокращение среднего времени на устранение угроз примерно на 30%, ускорение составления сводок об инцидентах на 46% и увеличение на 24–26% количества инцидентов, которые аналитики SOC могут обработать за смену.
«NightBeacon AI — это моё детище, созданное вместе с нашей командой в Binary Defense не ради следования трендам, а для решения проблемы, с которой индустрия безопасности боролась годами, — заявил Дэвид Кеннеди, главный хакер-офицер Binary Defense. — Команды безопасности тонут в данных и информационном шуме, и NightBeacon был создан с нуля, чтобы это изменить. Это не очередная функция ИИ, прикрученная к существующему продукту, — это система, разработанная практиками для практиков. Наши аналитики полагаются на неё каждый день, и она олицетворяет то, как должен выглядеть по-настоящему современный SOC с поддержкой ИИ».
Запуск платформы происходит в условиях, когда команды безопасности сталкиваются с растущим операционным разрывом. Время на проникновение злоумышленников продолжает сокращаться, в то время как объём оповещений и сложность инфраструктуры растут. При этом многие инструменты безопасности на базе ИИ не смогли доказать свою операционную ценность, часто выдавая непрозрачные вердикты или вызывая вопросы управления в отношении использования данных клиентов.
Binary Defense разрабатывала NightBeacon в условиях реального SOC, основываясь на философии, ориентированной на злоумышленника: обнаружение и расследование должны начинаться с понимания того, как действуют противники на самом деле.
Команды SOC отстают в скорости, но не в классе
Центры мониторинга и реагирования сталкиваются с фундаментальным несоответствием между скоростью атакующего и возможностями аналитика. Среднее время на проникновение злоумышленника сократилось до менее 29 минут, в то время как поток оповещений растёт, а опытных аналитиков по-прежнему не хватает.
Многие организации пытались закрыть этот разрыв с помощью инструментов на базе ИИ. Однако эти решения часто работают вне основного рабочего процесса SOC и обеспечивают ограниченную прозрачность в принятии решений по безопасности.
NightBeacon ускоряет задачи расследования и первоначальной оценки с машинной скоростью, сохраняя при этом человеческий контроль. Платформа выполняет масштабный анализ оповещений, журналов, файлов и активности командной строки, позволяя аналитикам изучать результаты с уже собранным полным контекстом расследования.
Разработка детектов, основанная на реальном поведении противника
NightBeacon работает в соответствии с методологией Threat-Informed Detection Engineering (TIDE) от Binary Defense, разработанной исследовательской группой ARC Labs и инженерами по детектированию компании.
TIDE рассматривает создание детектов как дисциплинированную инженерную практику, а не как традиционное написание правил. Каждый детект начинается с модели угрозы, основанной на реальном поведении противника, соотнесенной с фреймворком MITRE ATT&CK и проверенной с помощью эмуляции действий злоумышленника перед развертыванием через автоматизированные конвейеры.
По мере появления новых техник, архитектура Detection-as-Code в TIDE позволяет переводить детекты из стадии исследований в промышленную эксплуатацию менее чем за 10 минут вместо недель. Результатом является постоянно развивающаяся библиотека детектов, основанная на данных разведки угроз, обратной связи аналитиков и реальной атакующей активности.
Два компонента обеспечивают работу платформы NightBeacon
NightBeacon поставляется в виде двух интегрированных компонентов.
NightBeaconAI — это движок анализа угроз, работающий внутри SOC Binary Defense. Он анализирует журналы, оповещения, файлы, электронные письма и активность командной строки в различных форматах и формирует подтвержденные доказательствами выводы еще до начала расследования аналитиками.
Система сочетает проприетарную модель глубокого обучения Binary Defense с анализом вредоносного ПО, деобфускацией PowerShell, более чем 8700 правил YARA, перекрестными проверками по более чем 80 источникам разведки угроз и тысячами правил детектирования для формирования объяснимых выводов с оценкой достоверности и точностью свыше 99%, соотнесенных с фреймворком MITRE ATT&CK.
NightBeacon Command — это интерфейс для клиентов, через который организации взаимодействуют с MDR-сервисом Binary Defense. Руководители служб безопасности получают видимость хода расследований, покрытия детектами и ответных действий в реальном времени, что позволяет им понимать, как угрозы выявляются и обрабатываются в их среде.
Вместе эти возможности обеспечивают анализ с машинной скоростью, сохраняя при этом необходимые для современных операций безопасности подотчетность и прозрачность.
“Руководители служб безопасности испытывают давление, стремясь показать совету директоров, что ИИ работает на них, а не просто числится в их технологическом стеке. То, что мы создали с NightBeacon, — это ответ на этот вопрос”, — заявил Деннис Хон, генеральный директор Binary Defense. “NightBeaconAI дает командам SOC скорость и точность для реагирования на угрозы, с которыми просто не справиться при ручном анализе. NightBeacon Command предоставляет нашим клиентам полную прозрачность, позволяя видеть каждое решение и быть уверенным в каждом результате. Это ИИ как основа того, как мы предоставляем услуги управляемого обнаружения и реагирования.”
ИИ, созданный внутри SOC, а не добавленный как дополнение
Binary Defense разработала NightBeacon внутри своего операционного центра безопасности, а не добавила его как отдельную функцию продукта.
NightBeacon — это платформа, созданная аналитиками, охотниками за угрозами и инженерами по обнаружению, которые используют ее ежедневно. Это позволяет анализу на основе ИИ напрямую интегрироваться в рабочие процессы расследования, а не работать как отдельный инструмент.
Инфраструктура NightBeacon также включает строгие меры защиты данных. Телеметрия клиентов не используется для обучения общих моделей ИИ. Вместо этого обратная связь аналитиков преобразуется в синтетические обучающие примеры, сохраняющие конфиденциальность, что позволяет системе совершенствоваться без хранения или передачи данных клиентов.