Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Threat hunting to proaktywne wyszukiwanie oznak kompromitacji w środowiskach IT, zanim incydent zostanie potwierdzony przez klasyczne alerty bezpieczeństwa. W praktyce jest to jeden z najbardziej wymagających obszarów operacji SOC, ponieważ wymaga szybkiej analizy ogromnych wolumenów danych telemetrycznych pochodzących z endpointów, sieci, chmury i systemów tożsamości.
Właśnie dlatego rośnie znaczenie platform, które łączą architektury data lake z mechanizmami sztucznej inteligencji. Celem takich rozwiązań jest skrócenie czasu dochodzeń, poprawa korelacji zdarzeń oraz odciążenie analityków odpowiedzialnych za wykrywanie i analizę zagrożeń.
W skrócie
Amerykański startup Scanner ogłosił pozyskanie 22 mln dolarów w rundzie finansowania serii A. Firma rozwija platformę do cloud-native threat huntingu i ciągłego wykrywania zagrożeń, wykorzystującą jeziora danych bezpieczeństwa oraz agentów AI.
Rozwiązanie ma integrować się z istniejącym stosem bezpieczeństwa, indeksować dane w miejscu ich przechowywania i przyspieszać analizy w porównaniu z tradycyjnymi modelami klasy SIEM. Samo finansowanie można traktować jako istotny sygnał, że rynek coraz mocniej stawia na połączenie zaawansowanej analityki danych i AI w cyberbezpieczeństwie.
Kontekst / historia
Scanner został założony w 2022 roku w San Francisco i działa w segmencie nowoczesnych platform bezpieczeństwa projektowanych natywnie pod środowiska chmurowe. To obszar, który rozwija się dynamicznie w odpowiedzi na ograniczenia klasycznych systemów SIEM, zwłaszcza w zakresie kosztów retencji danych, wydajności wyszukiwania oraz skalowania analiz.
W ostatnich latach organizacje coraz częściej odchodzą od modelu pełnej centralizacji telemetryki w jednym silniku analitycznym. Zamiast tego rośnie popularność architektur opartych na data lake, federacyjnym dostępie do danych oraz warstwach analitycznych uruchamianych bliżej miejsca przechowywania logów. W tym trendzie naturalnie pojawia się także AI, która ma wspierać analityków SOC w triage alertów, podsumowywaniu incydentów i tworzeniu reguł detekcyjnych.
Analiza techniczna
Według opisu rozwiązania Scanner rozwija chmurowo natywny data lake bezpieczeństwa przeznaczony do szybkiego threat huntingu oraz ciągłej detekcji i odpowiedzi. Kluczowym elementem tej architektury mają być odwrócone indeksy budowane już na etapie ingestu danych, co ma przyspieszać późniejsze zapytania analityczne i przeszukiwanie dużych zbiorów telemetrycznych.
Istotną cechą platformy jest indeksowanie danych bezpośrednio tam, gdzie są one przechowywane. Taki model może ograniczać konieczność kopiowania i duplikowania logów do osobnych repozytoriów analitycznych, a tym samym zmniejszać narzut operacyjny, opóźnienia i część kosztów związanych z analizą.
Scanner rozwija także warstwę łączącą agentów AI z firmowym data lake. Z technicznego punktu widzenia oznacza to stworzenie mechanizmu, który dostarcza modelom językowym kontekst z wielu źródeł danych, umożliwia korelację zdarzeń i wspiera analityków podczas interaktywnych dochodzeń.
Producent wskazuje trzy główne obszary zastosowania agentów AI:
- interaktywne dochodzenia i analiza incydentów,
- tworzenie oraz strojenie mechanizmów detekcyjnych,
- autonomiczne lub częściowo zautomatyzowane workflow reakcji.
Ważny jest również deklarowany model skalowania zasobów, w którym środowisko zwiększa moc obliczeniową podczas wykonywania zapytań, a ogranicza ją w okresach bezczynności. W architekturze cloud-native może to poprawiać relację między wydajnością a kosztami i stanowić przewagę nad starszymi wdrożeniami SIEM.
Konsekwencje / ryzyko
Pozyskanie finansowania przez Scanner nie oznacza nowego incydentu bezpieczeństwa, ale jest ważnym sygnałem dla rynku. Pokazuje, że inwestorzy i klienci coraz wyraźniej dostrzegają wartość w architekturach łączących data lake, wysokowydajne indeksowanie i agentową AI dla zespołów bezpieczeństwa.
Dla organizacji może to oznaczać szybsze wyszukiwanie śladów ataku, lepszą korelację danych z wielu domen oraz możliwość objęcia analizą większej części dostępnej telemetryki. To szczególnie istotne tam, gdzie ograniczenia kosztowe powodowały dotąd analizowanie jedynie fragmentu logów.
Jednocześnie pojawiają się nowe ryzyka związane z wykorzystaniem AI w środowiskach bezpieczeństwa. Najważniejsze z nich to jakość danych wejściowych, kontrola uprawnień, możliwość generowania błędnych wniosków przez modele oraz ryzyko zbyt szerokiej automatyzacji działań reakcyjnych.
- AI może przyspieszać analizę, ale nie gwarantuje poprawności wniosków.
- Niepełny kontekst danych może prowadzić do fałszywych korelacji.
- Autonomiczna reakcja wymaga silnych mechanizmów audytu i kontroli.
- Błędna decyzja modelu może przełożyć się na realne zakłócenia operacyjne.
Rekomendacje
Organizacje zainteresowane podobnymi platformami powinny najpierw ocenić własną architekturę telemetryczną. Kluczowe pytania dotyczą tego, gdzie przechowywane są dane, ile kosztuje ich retencja, jak szybko można prowadzić dochodzenia oraz czy obecny model analityczny faktycznie wspiera pełną widoczność zagrożeń.
Przed wdrożeniem warto sprawdzić, czy rozwiązanie:
- integruje się natywnie z istniejącym stosem bezpieczeństwa,
- zapewnia pełny audyt działań agentów AI,
- umożliwia ograniczanie uprawnień modeli do minimum,
- wspiera walidację wyników przez analityka,
- pozwala bezpiecznie sterować workflow automatycznej reakcji,
- oferuje przewidywalny model kosztowy przy dużej skali danych.
Z perspektywy SOC najlepszym podejściem pozostaje etapowe wdrażanie AI. Najpierw warto wykorzystać ją do zadań wspierających analityka, takich jak podsumowania incydentów, wzbogacanie kontekstu czy pomoc w tworzeniu zapytań. Dopiero później można rozszerzać zakres na detection engineering i częściową automatyzację reakcji.
Niezbędne jest także wdrożenie governance dla AI w cyberbezpieczeństwie. Obejmuje to polityki dostępu do danych, rejestrowanie promptów i odpowiedzi, testy odporności na nadużycia oraz regularną ocenę jakości rekomendacji generowanych przez modele.
Podsumowanie
Runda finansowania o wartości 22 mln dolarów dla Scanner potwierdza rosnące znaczenie rozwiązań łączących data lake, skalowalne indeksowanie i agentową AI w operacjach bezpieczeństwa. Firma rozwija platformę, która ma przyspieszać threat hunting, wspierać ciągłą detekcję oraz ułatwiać dochodzenia prowadzone przez zespoły SOC.
Dla rynku cyberbezpieczeństwa to kolejny dowód na odchodzenie od kosztownych, sztywnych modeli SIEM na rzecz bardziej elastycznych architektur cloud-native. Kluczowe pozostaje jednak to, by AI była wdrażana w sposób kontrolowany, audytowalny i osadzony w dojrzałym modelu zarządzania danymi.
Źródła
- https://www.securityweek.com/scanner-raises-22-million-for-ai-powered-threat-hunting/
- https://scanner.dev