Zespoły SOC (Security Operations Center) od lat zmagają się z tym samym problemem: alerty bezpieczeństwa są napisane językiem maszyny, nie człowieka. Izraelski startup Reco postanowił to zmienić, sięgając po modele językowe Claude od Anthropic, dostępne przez platformę Amazon Bedrock.
Jeśli chcesz otrzymać raport przed oficjalną premierą oraz zobaczyć nazwę swojej firmy wśród uczestników badania – zostaw adres email na końcu ankiety.
Alert to nie raport. Ale powinien nim być
Każdy, kto choć raz zajrzał do surowego alertu bezpieczeństwa, wie, jak wygląda ten widok. Kilometry JSONa, identyfikatory zasobów, znaczniki czasu, wskaźniki kompromitacji. Żeby wyciągnąć z tego sensowny wniosek, analityk musi mentalnie skleić dziesiątki rozproszonych danych w jedną spójną historię. I to pod presją czasu.
Reco, firma zajmująca się ochroną aplikacji SaaS, zidentyfikowała dokładnie ten punkt bólu. Wybudowała na nim produkt o nazwie Alert Story Generator, który przekształca surowe dane alertów w czytelne narracje, gotowe zarówno dla doświadczonego analityka, jak i dla menedżera, który nie zna się na cyberbezpieczeństwie.
Jak to działa pod maską
Serce rozwiązania to prompt engineering oparty na kilku filarach:
- Few-shot learning z precyzyjnie dobranymi przykładami, co znacznie poprawiło spójność generowanych odpowiedzi w porównaniu do podejścia zero-shot
- Prompt caching z Amazon Bedrock, który redukuje opóźnienia wnioskowania aż o 75%
- Kontekstowe prompty wzbogacone o metadane alertu i historyczne wzorce zachowań
Pipeline działa w chmurze AWS: mikrousługi na Amazon EKS, baza danych relacyjna na Amazon RDS for PostgreSQL, dostęp zabezpieczony przez AWS WAF, a całość serwowana przez Amazon CloudFront. Analityk klika alert w interfejsie, JSON trafia do systemu, a w odpowiedzi wraca gotowa „historia” incydentu wraz z sugestiami zapytań śledczych.
Model językowy, który obsługuje to wszystko, to Claude Sonnet od Anthropic, dostępny przez Amazon Bedrock.
Komentarz redaktora
To jest dokładnie ten typ zastosowania AI, który ma sens. Nie zastępowanie ludzi, lecz tłumaczenie danych maszynowych na język ludzki. Analityk SOC dostaje gotowy kontekst, a nie surowy JSON do rozgryzienia. Brzmi dobrze, ale warto też zadać trudniejsze pytania: co się dzieje, gdy model „opowie historię” alertu w sposób błędny? Jeśli AI zinterpretuje anomalię jako incydent niskiego ryzyka, a to okaże się poważny atak, mamy problem. Automatyzacja narracji to nie to samo co automatyzacja decyzji, ale granica między nimi w praktyce bywa płynna. Warto też zastanowić się, kto kontroluje jakość tych generowanych historii i jak wygląda process weryfikacji. Wyniki są imponujące, liczby robią wrażenie, ale diabeł zawsze tkwi w szczegółach wdrożenia.
Piotr Wolniewicz, Redaktor Naczelny AIPORT.pl
Liczby, które robią wrażenie
Reco podaje konkretne wyniki wdrożenia dla swoich klientów:
- 54% skrócenie czasu śledztwa dzięki automatycznie generowanym zapytaniom analitycznym
- 63% skrócenie czasu reakcji na incydenty poprzez gotowe rekomendacje remediacji
- Analitycy pierwszej linii wsparcia (tier 1) zaczęli samodzielnie obsługiwać szerszy zakres incydentów bez konieczności eskalacji do specjalistów
Ten ostatni punkt jest szczególnie interesujący z perspektywy organizacyjnej. Mniejsza zależność od ekspertów oznacza mniejsze koszty operacyjne i szybsze skalowanie operacji bezpieczeństwa.
Dlaczego akurat Amazon Bedrock?
Reco wybrało Bedrock z kilku powodów. Po pierwsze, dostęp do wielu modeli fundacyjnych od różnych dostawców w jednym miejscu. Po drugie, wbudowane mechanizmy bezpieczeństwa: szyfrowanie danych, integracja z VPC, zgodność z regulacjami branżowymi. Po trzecie, model płatności pay-per-use, który eliminuje koszty upfront i skaluje się automatycznie wraz z ruchem.
Dla firmy operującej w obszarze bezpieczeństwa danych klientów, kwestia tego, gdzie i jak są przetwarzane wrażliwe alerty, ma kluczowe znaczenie. Infrastruktura Bedrock daje tu konkretne gwarancje.
SaaS security w praktyce
Reco specjalizuje się w ochronie aplikacji SaaS, co samo w sobie jest rosnącym wyzwaniem. Organizacje korzystają dziś z dziesiątek, nierzadko setek narzędzi w chmurze, a każde z nich generuje własne logi i alerty. Spinanie tego wszystkiego w jeden obraz zagrożeń to zadanie z kategorii „łatwiej powiedzieć niż zrobić”.
Alert Story Generator to odpowiedź na konkretną lukę: nawet jeśli alerty docierają, analitycy nie nadążają z ich interpretacją. AI nie rozwiązuje problemu liczby alertów, ale pomaga wyciągnąć sens z tych, które już trafiły do kolejki.
Zastosowanie Claude w tym kontekście pokazuje też szerszy trend: modele językowe coraz częściej pełnią rolę warstwy tłumaczenia między surowym danymi a człowiekiem, który musi podjąć decyzję. Nie jako autonomiczne systemy decyzyjne, lecz jako narzędzia do budowania kontekstu. I to jest właśnie ta rola, w której sprawdzają się najlepiej.
