DanaBot 下架展示了代理 AI 如何将数月的 SoC 分析时间缩短到数周

快速阅读: 《VentureBeat 公司》消息，“达娜机器人”恶意软件导致超30万台设备感染，造成5000万美元损失。其摧毁展示了代理人工智能在网络安全中的核心作用，显著提升了SOC团队的响应效率和生产力。未来，SOC需借助代理人工智能实现情报驱动的安全运营。

加入我们的每日和每周简报，获取行业领先的AI最新动态和独家内容。了解更多最近捣毁的“达娜机器人”（DanaBot）凸显了代理人工智能如何重新定义网络安全操作的方式。

“达娜机器人”是一个俄罗斯恶意软件平台，感染了超过30万台系统，并造成了超过5000万美元的损失。根据Lumen Technologies最近的文章，“达娜机器人”每天平均维持150个活跃的指挥与控制（C2）服务器，大约有1000名来自超过40个国家的受害者。上周，美国司法部在洛杉矶对“达娜机器人”的16名被告提起了一项联邦指控。“达娜机器人”是一个基于俄罗斯的恶意软件即服务（MaaS）操作，策划大规模欺诈活动，启用勒索软件攻击，并给受害者造成数千万美元的经济损失。

“达娜机器人”最初作为一个银行木马现身，但很快演变成一个多功能的网络犯罪工具包，能够实施勒索软件、间谍活动以及分布式拒绝服务（DDoS）攻击。该工具包能够对关键基础设施进行精确攻击的能力，使其成为持续针对乌克兰电力、能源和水力设施的俄罗斯国家支持对手的首选工具。

“达娜机器人”的操作基础设施涉及复杂且动态变化的多层机器人、代理、加载器和C2服务器，使得传统的人工分析变得不切实际。其管道和管理基础设施概述显示了这种复杂的结构。

“达娜机器人”展示了为什么代理人工智能是应对自动化威胁的新前线。代理人工智能在摧毁“达娜机器人”的过程中发挥了核心作用，包括预测威胁建模、实时遥测关联、基础设施分析和自主异常检测。这些能力反映了领先网络安全提供商多年的持续研发和工程投资，他们已经从静态规则驱动的方法稳步演变为完全自主的防御系统。

“达娜机器人”展示了为什么代理人工智能是应对自动化威胁的新前线。“‘达娜机器人’是在网络犯罪生态系统中一个多产的恶意软件即服务平台，其被俄罗斯关联行为者用于间谍活动，模糊了俄罗斯网络犯罪和国家支持的网络行动之间的界限。”CrowdStrike的反对手行动负责人亚当·迈尔斯（Adam Meyers）在最近的一次采访中告诉VentureBeat。“SCULLY SPIDER似乎在俄罗斯境内肆无忌惮地运作，使破坏性活动得以进行，同时避免了国内执法。像这样的打击对于提高对手的运营成本至关重要。”

摧毁“达娜机器人”通过将数月的手动取证分析缩短至几周，验证了代理人工智能对安全运营中心（SOC）团队的价值。所有额外的时间给了执法部门他们需要的时间，迅速识别并拆除“达娜机器人”庞大的数字存在。

“达娜机器人”的摧毁标志着SOC中代理人工智能使用的重大转变。SOC分析师终于获得了所需的工具，自主检测、分析和响应威胁，从而在对抗敌对人工智能的斗争中获得更大的主动权。

“达娜机器人”的摧毁证明SOC必须超越静态规则，发展为代理人工智能。“达娜机器人”的摧毁标志着SOC中代理人工智能使用的重大转变。SOC分析师终于获得了所需的工具，自主检测、分析和响应威胁，从而在对抗敌对人工智能的斗争中获得更大的主动权。

由Lumen的Black Lotus实验室剖析的“达娜机器人”基础设施揭示了敌对人工智能惊人的速度和致命的精准度。每天在超过40个国家，包括美国和墨西哥，“达娜机器人”运营超过150个活跃的指挥与控制服务器，约有1000名受害者。它的隐蔽性令人印象深刻，仅有25%的C2服务器在VirusTotal上注册，轻松逃避传统防御。

作为一个多层次的模块化僵尸网络出租给附属机构，“达娜机器人”快速适应和扩展，使传统的基于静态规则的SOC防御，包括遗留的SIEM和入侵检测系统变得无用。思科高级副总裁汤姆·吉利斯（Tom Gillis）在最近的一次VentureBeat采访中清晰地强调了这一风险：“我们谈论的是对手不断测试、重写和升级他们的攻击自主性。静态防御无法跟上步伐，几乎立刻过时。”

目标是减轻警报疲劳并加速事件响应。代理人工智能直接应对长期存在的挑战，首先是警报疲劳。传统的SIEM平台使分析师承受高达40%的误报率。相比之下，由代理人工智能驱动的平台通过自动化分类、关联和上下文感知分析显著减轻了警报疲劳。这些平台包括思科安全云、CrowdStrike Charlotte AI、Google Chronicle安全运营、IBM Security QRadar套件、微软安全Copilot、Palo Alto Networks Cortex XSIAM、SentinelOne Purple AI和Trellix Helix。每个平台都利用先进的AI技术和基于风险的优先级划分来简化分析师的工作流程，实现对关键威胁的快速识别和响应，同时最大限度地减少误报和无关警报。

微软的研究强化了这一优势，将生成式AI融入SOC工作流程，将事件解决时间缩短了近三分之一。Gartner的预测突显了代理人工智能的变革潜力，预计到2026年采用AI的SOC团队生产力将提升约40%。“今天的网络攻击速度要求安全团队迅速分析大量数据以更快地检测、调查和响应。对手正在创造记录，突破时间仅为两分多钟，不留任何延迟空间。”CrowdStrike总裁、首席执行官兼联合创始人乔治·库尔茨（George Kurtz）在最近的一次采访中告诉VentureBeat。

SOC领导者如何将代理人工智能转化为运营优势

“达娜机器人”的摧毁信号着一个更广泛的转变正在进行：SOC正从被动的警报追逐转向以情报驱动的执行。在这个转变的核心是代理人工智能。正确掌握这一点的SOC领导者并没有陷入炒作。他们采取了有目的的、以架构为主导的方法，这些方法以指标为基础，并在许多情况下以风险和业务成果为导向。

SOC领导者如何将代理人工智能转化为运营优势的关键要点包括以下几点：

– 从小处着手，有目的地扩大规模。高性能的SOC并不是试图一次性自动化所有事情。他们专注于高容量、重复性的任务，通常包括钓鱼分类、恶意软件引爆、例行的日志关联，并尽早证明价值。结果是可衡量的投资回报率、减少警报疲劳，并将分析人员重新分配到更高层次的威胁。

– 将遥测技术作为基础，而不是终点。目标不是收集更多的数据，而是使遥测有意义。这意味着在端点、身份、网络和云之间统一信号，以便AI获得它所需的情境。如果没有这个关联层，即使是最优秀的模型也会表现不佳。

– 在扩大规模之前建立治理。随着代理人工智能系统的自主决策能力增强，最自律的团队现在正在明确设定界限。这包括制定明确的参与规则、定义的升级路径和完整的审计跟踪。人类监督不是备份计划，它是控制平面的一部分。

– 将AI结果与重要的指标挂钩。最具战略性的团队将其AI努力与超出SOC范围的KPI对齐：减少误报、加快MTTR和改善分析师吞吐量。他们不仅优化模型，还调整工作流程，将原始遥测转化为操作杠杆。

今天的对手以机器速度运作，防御他们需要能够匹配这种速度的系统。在摧毁“达娜机器人”的过程中起到决定性作用的不是通用AI，而是经过精心设计、嵌入工作流程并按设计问责的代理AI。

关于商业用例的每日洞察与VB每日

如果你想给老板留下深刻印象，VB每日会为你提供帮助。我们将告诉你公司如何使用生成式AI，从监管变化到实际部署，这样你就可以分享见解以获得最大ROI。立即订阅阅读我们的隐私政策感谢订阅。查看更多VB新闻通讯。发生错误。

(以上内容均由Ai生成)