في السحابة، الوقت هو الخصم الحقيقي. أعباء العمل سريعة الزوال، وتدور، وتنفذ التعليمات البرمجية، وتختفي في دقائق.
بالنسبة لفرق SecOps، هذا يغير كل شيء. يعمل نموذج الطب الشرعي التقليدي – عزل الخادم، وسحب محرك الأقراص، وتحليله شيئا فشيئا – بالسرعة البشرية. تعمل السحابة بسرعة الآلة. عندما تعيش الحاوية لمدة دقائق فقط، فإن انتظار رد فعل الإنسان يعني أن الدليل قد اختفى بالفعل.
نهج متدرج لرؤية الطب الشرعي
في Wiz، نعتقد أن سد الفجوة بين الكشف والتحقيق يتطلب اتباع نهج تكيفي مع الطب الشرعي. نحن نفكر في رؤية الطب الشرعي كطيف متدرج. تتوفر مراقبة خط الأساس وتحليل اللقطات الكاملة في النظام الأساسي اليوم، مع التقاط الأدلة الجنائية المدركة للسياق في المعاينة العامة اعتبارًا من اليوم.
مراقبة خط الأساس
بالنسبة لمعظم البيئات، يستخدم Wiz أسلوبًا خفيف الوزن بدون وكيل. يتم التقاط سجلات الجهاز تلقائيًا أثناء عمليات الفحص الروتينية وإتاحتها على الفور، مباشرة داخل النظام الأساسي.
التقاط الأدلة الجنائية المدركة للسياق
عندما يتم اكتشاف تهديدات محددة، مما يشير إلى نشاط مشبوه محتمل، يلتقط Wiz Sensor الأدلة المستهدفة ذات السياق الكامل من الحاوية المتضررة والمضيف الأساسي دون تكلفة أو احتكاك تصوير القرص بالكامل. هذه الميزة قيد المعاينة العامة اعتبارًا من اليوم
تحليل لقطة كاملة
بالنسبة للحوادث المؤكدة عالية الخطورة، يمكن للفرق التقاط لقطات كاملة مباشرة من النظام الأساسي إلى حساب الطب الشرعي السحابي الذي تم تكوينه مسبقًا، مما يتيح إجراء تحقيق أعمق عندما يكون الأمر أكثر أهمية.
يحافظ هذا النموذج على التحاليل الجنائية متناسبة وسريعة وعملية على نطاق السحابة.
مجموعة سياقية ومؤتمتة، مدعومة بالذكاء الاصطناعي
إن التحاليل الجنائية المدركة للسياق، والتي تم التقاطها بواسطة Wiz Sensor والمدعومة بالذكاء الاصطناعي، أصبحت الآن قيد المعاينة العامة، وتضفي الحيوية على نهج التحاليل الجنائية الخاص بنا في وقت التشغيل. في السحابة، تختفي الأدلة بسبب تصميم المهاجم، وتزيد البنية التحتية التقليدية من صعوبة استرداد الأدلة التي تحتاجها الفرق. ما زال، محللو SOC لا تزال بحاجة إلى اتخاذ قرار سريع بشأن ما إذا كان التنبيه حقيقيًا أم لا DFIR ولا تزال الفرق بحاجة إلى الأدلة الصحيحة للتحقيق فيها، حتى مع أن هذه المهام أصبحت أكثر تعقيدًا. تم تصميم هذه الوظيفة لمساعدتهم على مواجهة هذا التحدي.
عندما يكتشف Wiz Sensor سلوكًا مشبوهًا، مثل أشجار العمليات الشاذة، أو الثنائيات غير المتوقعة، أو نشاط الشبكة غير المعتاد، فإنه يلتقط تلقائيًا حزمة الأدلة الجنائية المركزة. يتم جمع الملفات والبرامج النصية والثنائيات وسياق التنفيذ ذات الصلة ونسبتها إلى حجم العمل والعملية المعنية.
لكن التقاط البيانات ليس سوى الخطوة الأولى. التحدي الحقيقي هو تحويل الأدلة إلى إجابات بسرعة. وهنا يأتي دور الذكاء الاصطناعي لتحليل بيانات الطب الشرعي الأولية وتقديم استنتاجات واضحة. تغذي هذه الرؤى مباشرة التحقيق في تهديدات الذكاء الاصطناعي، مما يحسن دقة الحكم، ويعزز قواعد الارتباط السحابي، ويقلل الوقت اللازم للتحقيق في الهجمات المعقدة.
تم تصميم قدراتنا في مجال الطب الشرعي لمساعدة فرق SOC وDFIR على العمل بشكل أسرع وبثقة. من خلال الطب الشرعي على منصة Wiz، يمكن لفرق SOC فرز التنبيهات بشكل أفضل باستخدام أدلة شاملة، في حين يمكن لفرق DFIR الإجابة على أسئلة التحقيق بوضوح وبسرعة مع تكاليف تشغيلية أقل. والنتيجة هي أقل ذهابا وإيابا، وأوقات استجابة أقصر، وقرارات واضحة قائمة على الأدلة والتي تصمد تحت الضغط.
دعونا نرى ذلك في العمل
دعونا نفكر في سيناريو حيث يستخدم المهاجم، كجزء من الهجوم السحابي، تقنية هجوم التنفيذ بدون ملفات في الحاوية.
في البيئات السحابية الأصلية، قد تعمل الحاويات لمدة دقائق ولا تترك سوى القليل. بحلول الوقت الذي يتم فيه إطلاق التنبيه التقليدي، تكون حمولات الذاكرة فقط قد اختفت، وقد تكون ملفات النظام قد تم تعديلها بالفعل، وتترك الفرق تجمع الإشارات غير المكتملة معًا.
مع الطب الشرعي ويز، القصة تبدو مختلفة:
1. اكتشف المستشعر عملية تنفيذ بدون ملفات. منذ أن تم تثبيت Wiz Sensor على الجهاز الافتراضي، تم تشغيل مجموعة الأدلة الجنائية المدركة للحاويات تلقائيًا في وقت التشغيل بناءً على الاكتشاف.
2. حافظت حزمة الطب الشرعي على نص الحمولة والتنفيذ في الذاكرة، مما يكشف عن نص مشفر لجمع بيانات الاعتماد مصمم لتجنب الكشف
3. قام أعضاء فريق SOC بفرز التهديد ذي الصلة بسرعة، وفهموا على الفور النية الخبيثة للنص الذي تم تنفيذه وتحديد التهديد ذي الصلة باعتباره تهديدًا إيجابيًا حقيقيًا. وقد أدى تحليل الطب الشرعي القائم على الذكاء الاصطناعي إلى زيادة ثقة المحللين في التقييم وتسريع عملية الفرز.
4. بعد الفرز السريع، استخدم أعضاء فريق DFIR حمولة الذاكرة فقط والحزمة الشاملة من وقت الكشف لإعادة بناء الهجوم وتأكيد النوايا الخبيثة المنسقة.
ومع التقاط هذا السياق تلقائيًا، أصبح ما كان يمكن أن يكون تهديدًا غامضًا حادثًا واضحًا وشديد الخطورة، وتم التحقيق فيه بشكل أسرع وبثقة.
ماذا يأتي بعد ذلك؟
يضيف هذا الإطلاق إمكانات جديدة، ولكن الأهم من ذلك أنه يعكس الطريقة التي نعتقد أنه يجب أن تعمل بها التحاليل الجنائية السحابية: مدفوعة بالسياق، ومتناسبة مع المخاطر، ومعززة من خلال منظمة العفو الدولية.
وبالنظر إلى المستقبل، فإننا نعمل على تحقيق المزيد من الاستقلالية. تخيل عميل الذكاء الاصطناعي الذي لا يقوم بتحليل الأدلة فحسب، بل يتكيف معها. إذا تم اكتشاف مسارات أو عمليات ملفات جديدة أثناء التحليل، فيمكن للوكيل أن يقرر تشغيل مجموعة إضافية واتخاذ القرارات والتحقيق بشكل استباقي، مما يعزز سير عمل فرق SecOps.
وظيفة الطب الشرعي الجديدة لدينا متاحة الآن للمعاينة العامة. يمكنك التسجيل من خلال Preview Hub (يلزم تسجيل الدخول) لتجربته ومعرفة ما سيأتي بعد ذلك.
