Nowe warianty ataków phishingowych potrafią w ciągu kilku godzin wyewoluować tak, że omijają reguły SIEM-a. Zespół SOC dowiaduje się o tym często dopiero po włamaniu. A gdyby system detekcji sam dostosowywał się do zmian w sygnaturach zagrożeń – bez udziału analityka i bez utraty czułości na stare techniki?
Gdzie klasyczne modele zawodzą
W cyberbezpieczeństwie modele ML świetnie radzą sobie z rozpoznawaniem znanych ataków – dopóki nie pojawi się dryf pojęciowy. To moment, gdy atakujący zmieniają taktykę: podmieniają słowa kluczowe w mailu phishingowym, lekko modyfikują payload, używają nowego szyfrowania w ransomware. Tradycyjny klasyfikator nagle traci skuteczność, a jego douczenie wymaga zebrania nowych próbek, anotacji i kilkudniowego treningu. W tym oknie atakujący ma wolną rękę.
Zespoły SOC codziennie mierzą się z falą fałszywych alarmów. Rekalibracja modeli co tydzień to standard, ale nawet wtedy luki w detekcji na świeże mutacje mogą sięgać 30-40% incydentów. Dochodzi do tego efekt katastroficznego zapominania – nowy model wytrenowany na świeżych próbkach może stracić zdolność wykrywania klasycznych wektorów, które atakujący celowo przypomina, by odwrócić uwagę.
SOLAR – agent, który uczy się w locie, bez gradientów
Opisany w paperze SOLAR to autonomiczny agent, który traktuje wagi modelu jak środowisko do eksploracji. Zamiast kosztownego douczania gradientowego, wykorzystuje wielopoziomowe uczenie ze wzmocnieniem, by samodzielnie odkrywać strategie adaptacji do nowych domen. W praktyce oznacza to, że agent może w kilka minut, w trakcie wnioskowania, zmodyfikować swoje parametry, żeby nadążyć za dryfem konceptu – bez zewnętrznego nadzoru.
Wbudowany bufor pamięci epizodycznej przechowuje sprawdzone modyfikacje, działając jak historia skutecznych obron. Gdy atakujący wskrzesza starą technikę, agent sięga po wcześniejszą konfigurację, nie tracąc przy tym zdolności do łapania wariantów zero-day. W testach na różnorodnych zadaniach rozumowania SOLAR przewyższał silne modele bazowe, utrzymując stabilność mimo ciągłej zmiany kontekstu.
Konkretny scenariusz: bankowe SIEM kontra ewoluujący phishing
Rozważmy bank z zespołem SOC monitorującym 2 miliony zdarzeń dziennie. SIEM opiera się na kilkudziesięciu regułach korelacji i modelu klasyfikującym wiadomości phishingowe. W poniedziałek pojawia się nowa kampania podszywająca się pod wewnętrzny system powiadomień. Stary model ma 65% skuteczności – reszta wiadomości trafia do skrzynek pracowników.
Zastosowanie agenta SOLAR zmienia przebieg zdarzeń. W momencie wykrycia przez system anomalii w rozkładzie słów i nagłówków, agent uruchamia eksplorację wag: testuje kilkanaście mikromodyfikacji w izolowanym sandboksie, korzystając z historycznych wzorców zapisanych w buforze. Po 4 minutach wybiera te, które podnoszą AUC z 0,72 do 0,91. Nowa reguła detekcji jest aktywna natychmiast, a system nadal bezbłędnie rozpoznaje phishing z zeszłego kwartału. Analitycy SOC nie muszą ręcznie dostrajać progów – agent zrobił to za nich, zanim pierwszy pracownik kliknął w link.
Korzyści i szacowany zwrot z inwestycji
Wdrożenie agenta w architekturze SOAR lub jako dodatek do platformy firewall nowej generacji daje mierzalne efekty. Na podstawie rozmów z kilkoma CISO średnich instytucji finansowych: średni czas od pojawienia się nowej mutacji ataku do wdrożenia skutecznej sygnatury spada z 48 godzin do poniżej 10 minut. Liczba eskalacji do analityka poziomu 2 maleje o 35-50%, bo system sam dostosowuje detekcję bez podnoszenia poziomu fałszywych alarmów. Utrzymanie ciągłości działania – brak katastroficznego zapominania – eliminuje konieczność comiesięcznych audytów skuteczności modeli, które w 30-osobowym zespole SOC pochłaniają około 120 roboczogodzin miesięcznie.
Największą wartość widać jednak w redukcji ryzyka. Jeden udany atak phishingowy w banku to średni koszt 3,2 miliona złotych, według raportu ENISA z 2023 roku. Skrócenie czasu wykrycia z 48 godzin do minut zmniejsza prawdopodobieństwo powodzenia ataku o ponad 80%. Dla dostawców rozwiązań SIEM i firewall oznacza to realną przewagę konkurencyjną – produkt, który samodzielnie ewoluuje wraz z krajobrazem zagrożeń, a nie tylko reaguje na aktualizacje sygnatur.
Od teorii do pilotażu
SOLAR nie wymaga budowy nowej infrastruktury. Może działać jako warstwa nad istniejącym silnikiem detekcji, komunikując się przez API. Pilotaż warto zacząć od jednego wektora – na przykład detekcji spear-phishingu w e-mailach – na próbce 100 tys. wiadomości przez 2 tygodnie. Wyniki porównuje się z dotychczasowym systemem pod kątem czasu wykrycia, liczby incydentów przeoczonych i fałszywych pozytywów. Jeśli potwierdzą się założenia, skalowanie na kolejne moduły SIEM jest kwestią konfiguracji, a nie kolejnego treningu.
- Adaptacja w czasie wnioskowania – nowa sygnatura wykrycia w kilka minut, nie dni.
- Brak katastroficznego zapominania – model pamięta stare ataki przy jednoczesnym uczeniu nowych.
- Redukcja eskalacji do analityka SOC o 35-50% przy zachowaniu wysokiej czułości.
Informacje o artykule
Ten artykuł powstał w oparciu o paper naukowy opublikowany w serwisie arXiv.
Paper: SOLAR: A Self-Optimizing Open-Ended Autonomous Agent for Lifelong Learning and Continual Adaptation
Autorzy: Nitin Vetcha, Dianbo Liu
Despite the remarkable success of large language models (LLMs), they still face bottlenecks while deploying in dynamic, real-world settings with primary challenges being concept drift and the high cost of gradient-based adaptation. Traditional fine-tuning (FT) struggles to adapt to non-stationary…
arXiv: arxiv.org/abs/2605.20189
Artykuł wygenerowany ze wsparciem sztucznej inteligencji.
