Budoucnost kybernetické bezpečnosti: AI, automatizace a lidský faktor

V posledních deseti letech, spolu s explozivním růstem informačních technologií, se tmavá realita kybernetických hrozeb dramaticky vyvinula. Kybernetické útoky, které byly dříve poháněny především zlomyslnými hackery hledajícími publicitu nebo finanční zisk, se staly mnohem sofistikovanějšími a cílenými. Od státem sponzorované špionáže po firemní a krádež identity, motivy za kyberzločinem jsou stále více zlověstné a nebezpečné. I když finanční zisk zůstává důležitým důvodem pro kyberzločin, byl zastíněn více zlověstými cíli krádeže kritických dat a aktiv. Kybernetičtí útočníci široce využívají pokročilé technologie, včetně umělé inteligence, k proniknutí do systémů a provedení škodlivých aktivit. V USA 報ol Federal Bureau of Investigation (FBI) více než 800 000 stížností souvisejících s kyberzločinem v roce 2022, s celkovými ztrátami přesahujícími 10 miliard dolarů, což překonalo celkovou výši 6,9 miliardy dolarů v roce 2021, podle Internet Crime Complaint Center.

S rychlou evolucí hrozeb je čas pro organizace přijmout vícesměrný přístup ke kybernetické bezpečnosti. Tento přístup by měl řešit, jak útočníci získávají přístup; zabránit počátečnímu ohrožení; rychle detekovat proniknutí; a umožnit rychlou reakci a nápravu. Ochrana digitálních aktiv vyžaduje využití síly AI a automatizace, zatímco zajišťuje, že zkušení lidské analytici zůstávají integrovaní do bezpečnostní pozice.

Ochrana organizace vyžaduje vícevrstvou strategii, která zohledňuje různé body vstupu a útočné vektory používané protivníky. Široce lze tyto rozdělit do čtyř hlavních kategorií: 1) Útoky na web a síť; 2) Útoky založené na chování uživatelů a identitě; 3) Útoky na entity zaměřené na cloud a hybridní prostředí; a 4) Malware, včetně ransomwaru, pokročilých trvalých hrozeb a jiného škodlivého kódu.

Využití AI a automatizace

Nasazení AI a modelů strojového učení (ML) přizpůsobených každé z těchto tříd útoků je kritické pro proaktivní detekci hrozeb a prevenci. Pro útoky na web a síť musí modely identifikovat hrozby, jako je phishing, explozice prohlížeče a distribuované útoky na odepření služby (DDoS) v reálném čase. Analýza chování uživatelů a entit pomocí AI může detekovat anomální aktivity, které naznačují ohrožení účtu nebo zneužití systémových zdrojů a dat. Nakonec může AI poháněná analýza malwaru rychle triážovat nové kmeny, identifikovat škodlivé chování a zmírnit dopad souborových hrozeb. Implementací AI a ML modelů napříč tímto spektrem útočných ploch mohou organizace výrazně zlepšit svou schopnost autonomně identifikovat útoky v nejranějších fázích, než se vyvinou v plnohodnotné incidenty.

Jakmile AI/ML modely identifikují potenciální hrozbu aktivity napříč různými útočnými vektory, organizace čelí dalšímu klíčovému výzvě – dávat smysl častým výstrahám a oddělovat kritické incidenty od hluku. S tak mnoha datovými body a detekcemi generovanými se stává aplikací další vrstvy AI/ML pro korelaci a priorizaci nejzávažnějších výstrah, které vyžadují další vyšetřování a reakci, zásadním problémem. Únavu z výstrah je třeba řešit.

AI může sehrát zásadní roli v tomto procesu triáže výstrah tím, že bude přijímat a analyzovat velké objemy bezpečnostních telemetrických údajů, slučovat poznatky z více zdrojů detekce, včetně hrozeb, a pouze nejzávažnější incidenty pro reakci. To snižuje zátěž na lidské analytiky, kteří by jinak byli zahlceni širokými falešnými pozitivy a nízkofidelityními výstrahami, které postrádají dostatečný kontext pro určení závažnosti a dalších kroků.

Ačkoli útočníci aktivně nasazují AI pro útoky, jako jsou DDoS, cílený phishing a ransomware, defenzivní strana zaostávala v adopci AI. Nicméně se toto rychle mění, protože bezpečnostní dodavatelé závodí ve vývoji pokročilých AI/ML modelů schopných detekovat a blokovat tyto AI poháněné hrozby.

Budoucnost defenzivní AI spočívá v nasazení specializovaných malých jazykových modelů přizpůsobených konkrétním typům útoků a případům použití, spíše než spoléhání se pouze na velké generativní AI modely. Velké jazykové modely naopak slibují více pro kybernetické operace, jako je automatizace help desk funkcí, načítání standardních operačních postupů a pomoc lidským analytikům. Těžká práce přesné detekce hrozeb a prevence bude nejlépe zajištěna vysoce specializovanými malými AI/ML modely.

Role lidského odbornictví

Je zásadní využívat AI/ML spolu s automatizací procesů, aby bylo možné rychle reagovat a omezit ověřené hrozby. V této fázi, vybavené vysokou důvěrou incidenty, mohou systémy AI spustit automatizované playbook reakce přizpůsobené každému konkrétnímu typu útoku – blokování škodlivých IP, izolaci ohrožených hostitelů, vynucování adaptivních politik a další. Nicméně lidské odbornictví zůstává integrované, validační výstupy AI, aplikující kritické myšlení a dohled nad autonomními reakčními akcemi, aby se zajistila ochrana bez obchodního přerušení.

Nuancovaná理解 je to, co lidé přinášejí na stůl. Kromě toho vyžaduje analýza nových a komplexních malwarových hrozeb kreativitu a řešení problémů, které mohou být mimo dosah strojů.

Lidské odbornictví je nezbytné v několika klíčových oblastech:

• Validace a kontextualizace: AI systémy, navzdory své sofistikovanosti, mohou někdy generovat falešné pozitivy nebo nesprávně interpretovat data. Lidské analytici jsou potřební k validaci výstupů AI a poskytnutí nezbytného kontextu, který AI může přehlédnout. To zajišťuje, že reakce jsou vhodné a proporcionální k skutečné hrozbě.
• Složitá vyšetřování hrozeb: Některé hrozby jsou příliš složité pro AI, aby je zvládly samostatně. Lidský expert může hluboce proniknout do těchto incidentů, využívající své zkušenosti a intuici k odhalení skrytých aspektů hrozby, které AI může přehlédnout. Tento lidský vhled je kritický pro pochopení plného rozsahu sofistikovaných útoků a vypracování účinných protiopatření.
• Strategické rozhodování: Zatímco AI může zvládnout rutinní úkoly a zpracování dat, strategická rozhodnutí o celkové bezpečnostní pozici a dlouhodobých defenzivních strategiích vyžadují lidský úsudek. Odborníci mohou interpretovat AI generované poznatky, aby učinili informovaná rozhodnutí o alokaci zdrojů, změnách politik a strategických iniciativách.
• Průběžné zlepšování: Lidský analytici přispívají k průběžnému zlepšování AI systémů, poskytují zpětnou vazbu a tréninková data. Jejich poznatky pomáhají vylepšovat AI algoritmy, dělají je přesnějšími a účinnějšími s časem. Tento symbiotický vztah mezi lidským odbornictvím a AI zajišťuje, že obě strany se vyvíjejí společně, aby řešily vznikající hrozby.

Optimalizované lidsko-strojové týmování

Podkladem této transformace je potřeba AI systémů, které mohou se učit z historických dat (dozorované učení) a kontinuálně přizpůsobovat se detekovat nové útoky prostřednictvím nesupervizovaných / posilovacího učení. Kombinace těchto metod bude klíčová pro to, aby se útočníci vyvinuli v jejich rostoucích AI schopnostech.

Celkově bude AI zásadní pro obránce, aby rozšířili své detekční a reakční schopnosti. Lidské odbornictví musí zůstat těsně integrované, aby vyšetřilo komplexní hrozby, auditovalo výstupy AI systému a vedlo strategické defenzivní strategie. Optimalizovaný model lidsko-strojového týmování je ideální pro budoucnost.

Jak se hromadí obrovské objemy bezpečnostních dat, organizace mohou aplikovat AI analytiku na tyto zásoby telemetrických údajů, aby získaly poznatky pro proaktivní lov hrozeb a zpevnění obrany. Průběžné učení z předchozích incidentů umožňuje prediktivní modelování nových útočných vzorců. Jak se AI schopnosti vyvíjejí, role malých a specializovaných jazykových modelů přizpůsobených konkrétním bezpečnostním případům použití poroste. Tyto modely mohou pomoci dále snížit “únavu z výstrah” přesně triážováním nejzákladnějších výstrah pro lidskou analýzu. Autonomní reakce, poháněná AI, může také expandovat, aby zvládla více bezpečnostních úkolů Tier 1.

Nicméně lidský úsudek a kritické myšlení zůstanou nepostradatelné, zejména pro incidenty s vysokou závažností. Nepochybně je budoucnost jedna z optimalizovaného lidsko-strojového týmování, kde AI zpracovává objemná data a rutinní úkoly, umožňující lidským expertům soustředit se na vyšetřování komplexních hrozeb a vysokou úroveň bezpečnostní strategie.