Firma Broadcom ogłosiła wdrożenie sztucznej inteligencji do programu SYMANTEC Endpoint Security Complete.
AI na pierwszej linii obrony w cyberbezpieczeństwie
SymantecAI to rozwiązanie bezpieczeństwa od firmy Broadcom, integrujące technologie sztucznej inteligencji (AI) i uczenia maszynowego (ML) — głównie w kontekście ochrony punktów końcowych, analizy zagrożeń i automatyzacji reakcji.
Symantec wykorzystuje teraz modele Google Gemini 2.5 Flash w celu automatyzacji analizy zagrożeń, uruchamiania narzędzi wewnętrznych i mapowania ataków w całym portfolio bezpieczeństwa Broadcom.
Dzięki nowym funkcjom analitycy otrzymują:
- inteligentne podsumowania incydentów – redukujące zmęczenie alertami i pokazujące jasny opis zagrożenia, powiązania z MITRE ATT&CK i gotowe kroki reakcji,
- zaawansowaną klasyfikację skryptów w Cloud Sandbox, która skuteczniej wykrywa próby ataków typu Living-off-the-Land,
- lepsze zarządzanie fałszywymi alarmami w Carbon Black Cloud – AI analizuje zgłoszenia, filtruje fałszywe pozytywy i uczy modele ML redukując liczbę niepotrzebnych alertów,
- naturalny język w dochodzeniach – możliwość zadawania pytań w zwykłej formie i automatycznego generowania precyzyjnych zapytań Lucene.
Agentic AI – analityk, którego nie trzeba szkolić
Nowa wersja SymantecAI w ramach Symantec Endpoint Security Complete działa w pełni agentowo – korzysta z wielu agentów jednocześnie, aby odpowiedzieć na zapytanie analityka. Czerpie dane z baz reputacyjnych, biuletynów, API, dokumentacji technicznej czy wskaźników podatności.
Dzięki temu potrafi nie tylko opisać zagrożenie i jego charakter, ale też zmapować je na wszystkie dostępne mechanizmy ochrony w Symantec i Carbon Black. Efekt? Analityk natychmiast wie, które rozwiązania w środowisku wykrywają i blokują dane zagrożenie.
Kluczowe aspekty działania SymantecAI
| Obszar | Opis/Funkcja |
| Chatbot wsparcia / wirtualny agent | W ramach rozwiązania Symantec Endpoint Security (SES), SymantecAI pełni rolę chatbota generatywnego, dostępnego 24/7 w portalu SES. Wspiera użytkowników, odpowiadając na pytania i prowadząc ich krok po kroku przez dokumentację |
| Integracja z Google Vertex AI | SymantecAI został „wzbogacony” o możliwości Google Vertex AI, wykorzystując duże modele i infrastrukturę chmurową do przetwarzania oraz generowania odpowiedzi |
| Wykrywanie i prognozowanie ataków (Incident Prediction) | Wykorzystując katalog 500 000 łańcuchów ataków, system potrafi z dużym prawdopodobieństwem przewidzieć kolejne ruchy cyberprzestępcy (np. etapy ataku typu living off the land) i automatycznie zastosować blokady lub przywrócić środowisko do stanu bezpiecznego |
| Uczenie maszynowe w ochronie punktów końcowych | Symantec używa technik ML w kilku warstwach ochrony m.in.: w “Download Insight”, w analizie behawioralnej (SONAR), w skanowaniu plików i ich reputacji |
| Zaawansowana ochrona i automatyczne dostosowanie polityk | System potrafi adaptacyjnie dostosowywać reguły ochrony (np. polityki punktów końcowych) w zależności od obserwowanych anomalii i wzorców zagrożeń |
| Deception, oszukiwanie atakujących (honey tokens itp.) | W niektórych konfiguracjach Symantec stosuje techniki dezinformacyjne — np. podstawia fałszywe pliki, kredencjały czy zasoby sieciowe — aby zwabić atakującego i zarejestrować jego działania |
| Reakcja i remediacja | Po wykryciu zagrożenia SymantecAI/SES może podjąć działania, takie jak izolacja hosta, usuwanie plików, blokowanie procesu, cofanie zmian (revert) itp. |
| Utrzymanie kontekstu i dialogu | W obszarze chatbota, SymantecAI pamięta kontekst rozmowy, co pozwala zadawać pytania uzupełniające i uzyskiwać odpowiedzi w ramach tej samej sesji. |
Poniżej uproszczony przebieg, jak może działać SymantecAI / elementy AI w systemie ochrony:
- Zbieranie telemetrii i danych
Agent na urządzeniu (endpoint) gromadzi dane: działania procesów, połączenia sieciowe, uruchamianie plików, zachowania aplikacji itd. - Analiza w czasie rzeczywistym
Mechanizmy ML/AI analizują dane, porównują z modelami zagrożeń, wzorcami ataków i historią, by wykryć anomalie lub podejrzane działania. - Detekcja i sygnalizacja
Jeśli coś wygląda podejrzanie — system generuje alert, identyfikuje, które działania wydają się najbardziej niebezpieczne. - Prognoza kolejnych ruchów (jeśli dostępna)
W przypadku funkcji takich jak Incident Prediction, system określa kolejne prawdopodobne działania atakującego (np. jakie pliki zostaną uruchomione, jakie procesy uruchomione itp.). - Zastosowanie blokad, remediacja
Na podstawie prognozy lub alertu, system może automatycznie blokować określone działania, izolować maszynę lub odwrócić zmiany (revert). Może też skonsultować się z administratorem lub analitykiem. - Ulepszanie modeli i uczenie na bieżąco
Nowe dane, obserwacje ataków i skuteczność reakcji są wykorzystywane do usprawnienia modeli uczenia maszynowego, by lepiej reagować w przyszłości. - Wsparcie użytkownika / administratora przez AI (chatbot)
Gdy ktoś potrzebuje informacji — użytkownik wpisuje pytanie do chatbota. Ten korzysta z bazy dokumentacji, artykułów technicznych, kontekstu sesji i generuje odpowiedź.
AI, które naprawdę oszczędza czas
Nowe rozwiązania Symantec zbudowane na Google Gemini skracają czas analizy i reakcji z godzin czy dni do zaledwie minut. To nie tylko wygoda – to realne wzmocnienie bezpieczeństwa i lepsze wykorzystanie zasobów SOC.
AI weszło na dobre do cyberbezpieczeństwa – i tym razem nie jest to tylko marketing. To rewolucja w sposobie pracy zespołów bezpieczeństwa.
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
