Spojte se s námi

Myšlenkové vůdce

Partnerství mezi člověkem a umělou inteligencí v EDR: Rozšíření týmů kybernetické bezpečnosti o umělou inteligenci

mm

Zveřejněno

10 měsíci

 on

Vzhledem k tomu, že kybernetické útoky jsou stále častější a složitější, společnosti se snaží udržet krok. Vysoce kvalifikované bezpečnostní týmy pracují ve dne v noci, aby odhalily a zastavily digitální vetřelce, ale často to vypadá jako prohraná bitva. Zdá se, že hackeři mají vždy výhodu.

Existuje však světlo na konci tunelu. Nová vlna technologie umělé inteligence by mohla posunout šance zpět ve prospěch obránců. Pomocí samoučících se programů jako digitálních spojenců mohou bezpečnostní analytici posílit své úsilí o ochranu firemních sítí a zařízení – aniž by museli utrácet tuny dalších zdrojů.

Jedním z odvětví kybernetické bezpečnosti, kde má umělá inteligence velký dopad, je detekce a reakce koncových bodů (EDR). To v podstatě funguje jako systém včasného varování před útoky, bedlivě sleduje počítače, telefony a další koncové body, zda se v nich nevyskytují jemné znaky kybernetického útoku. Kdykoli se zdá, že něco není v pořádku, EDR spustí poplach, aby to mohli lidští experti prozkoumat. Může dokonce provádět základní akce, jako je izolace napadených zařízení, aby získal čas.

Ale nahradí EDR poháněné umělou inteligencí zcela a neguje potřebu lidského zásahu? Jednoduchá odpověď je ne. Jak vidíme v mnoha aplikacích umělé inteligence, zdá se, že nejlepší výsledky přicházejí, když umělá inteligence a lidé spolupracují, nikoli jedna místo druhé. Pojďme si rozbalit, proč tomu tak je.

Příslib EDR s umělou inteligencí

EDR nástroje se staly životně důležitými zbraněmi pro identifikaci, analýzu a nápravu neustále se vyvíjejících útoků napříč obrovským počtem zařízení. Dnes mnoho předních platforem EDR využívá umělou inteligenci k rozšíření lidských schopností, zlepšení přesnosti a efektivity.

S kontrolovanými algoritmy strojového učení trénovanými na horách dat o hrozbách může EDR s umělou inteligencí:

  • Poznejte dosud nevídané vzorce útoků a chování. Analýzou systémových událostí a porovnáváním rozsáhlých datových souborů AI detekuje anomálie, které by lidským analytikům pravděpodobně uniklo. To umožňuje vašemu týmu identifikovat a zastavit kradmé útoky, které jiné nástroje nevidí.
  • Poskytněte kontext prostřednictvím automatizovaného vyšetřování. Umělá inteligence dokáže okamžitě zpětně vysledovat celý rozsah incidentu a hledat známky kompromisu ve vašem prostředí. To analytikům snižuje pracnost, aby pochopili základní příčiny.
  • Upřednostněte nejkritičtější incidenty. Ne všechny výstrahy vyžadují stejnou úroveň naléhavosti, ale rozlišení mezi triviálním a závažným může být náročné. Hodnocení umělé inteligence zdůrazňují nejnebezpečnější hrozby, aby zaměřily vzácnou lidskou pozornost.
  • Doporučte optimální reakce přizpůsobené každému útoku. Na základě specifik kmenů malwaru, využívaných zranitelností a dalších, AI navrhuje nejlepší opatření k omezení a nápravě k odstranění hrozby s chirurgickou přesností.

Rozšíření umělé inteligence umožňuje analytikům pracovat chytřeji a rychleji tím, že zvládají velkou část těžkého břemene v oblasti detekce hrozeb, vyšetřování a doporučení. Lidská odbornost a kritické myšlení však zůstávají zásadní pro propojení bodů.

Lidský element: úsudek, kreativita, intuice

Zatímco umělá inteligence je skvělá v drcení dat, lidští analytici vnášejí do obrany koncových bodů klíčové přednosti, které strojům chybí. Lidé poskytují tři klíčové schopnosti:

Vyvážené hodnocení

Umělá inteligence může někdy označit neškodné události jako podezřelé, což způsobí falešné poplachy, nebo může přehlédnout skutečné hrozby. Lidští experti však mohou využít své zkušenosti a dobrý úsudek k vyhodnocení toho, co AI najde. Pokud například systém nesprávně označí běžnou aktualizaci softwaru jako škodlivou, analytik ji může zkontrolovat a opravit chybu, čímž se vyhne zbytečným přerušením. Toto vyvážené lidské hodnocení umožňuje přesnější detekci hrozeb.

Kreativní řešení problémů

Útočníci neustále upravují svůj malware, aby přelstili systémy umělé inteligence, které jsou často vyladěny tak, aby odhalily známé hrozby. Ale lidští analytici dokážou přemýšlet mimo rámec a identifikovat nové nebo nenápadné hrozby na základě malých zvláštností. Když hackeři změní svou taktiku, analytici mohou přijít s novými kreativními detekčními pravidly založenými na drobných anomáliích v kódu – poznatky, které by stroje jen těžko dokázaly zachytit.

Vidět větší obrázek

Ochrana složitých sítí znamená vzít v úvahu mnoho měnících se faktorů, které algoritmy nemohou plně zohlednit. Uprostřed sofistikovaného útoku se lidský úsudek stává kritickým pro uskutečnění vysokých hovorů – například zda izolovat systémy nebo vyjednat výkupné. I když umělá inteligence může navrhovat možnosti, k řízení reakce a minimalizaci dopadu na podnikání je stále zapotřebí lidský pohled.

Lidský vhled a umělá inteligence společně tvoří silnou obranu, která dokáže zachytit pokročilé kybernetické útoky, které by jiné systémy mohly minout. Umělá inteligence zpracovává data rychle, zatímco lidské uvažování zaplňuje mezery. Spolupráce lidí a AI posiluje ochranu koncových bodů.

Optimalizace týmu Human-AI Security Team

Zde je několik tipů, které vám pomohou co nejlépe využít vaše EDR vylepšené AI s týmy vedené lidmi:

  • Důvěřujte, ale prověřujte hodnocení AI. Využijte detekce AI k rychlému sledování incidentů, ale před zásahem ověřte nálezy pomocí ručního vyhledávání. Nevěřte slepě každému upozornění.
  • Pomocí umělé inteligence se zaměřte na lidské znalosti. Nechte umělou inteligenci zpracovávat opakující se úkoly, jako je monitorování koncových bodů a shromažďování podrobností o hrozbách, aby analytici mohli věnovat energii úsilí s vyšší hodnotou, jako je strategické plánování odezvy a proaktivní lov.
  • Poskytněte zpětnou vazbu ke zlepšení modelů AI v průběhu času. Přidání lidského ověření zpět do systému – potvrzování pravdivých/falešných pozitiv – umožňuje algoritmům samočinné opravy, aby byly přesnější. Umělá inteligence se postupem času učí z lidské moudrosti.
  • Spolupracujte s AI denně. Čím více analytiků a umělé inteligence spolupracují, tím více se obě strany učí, což zvyšuje dovednosti a výkon na obou stranách. Každodenní používání sdružuje znalosti.

Stejně jako kybernetičtí protivníci využívají automatizaci a AI k útokům, obránci se musí bránit pomocí arzenálu poháněného AI. Zabezpečení koncových bodů poháněné umělou i lidskou inteligencí poskytuje nejlepší naději na zabezpečení našeho digitálního světa.

Když člověk a stroj spojí své síly a využijí doplňkové schopnosti k přemýšlení a překonání jakéhokoli protivníka, neexistuje žádný limit pro to, čeho můžeme společně dosáhnout. Budoucnost kybernetické bezpečnosti nastala – a je to partnerství člověka a AI.

Výzvy při přijímání EDR rozšířené o umělou inteligenci

Implementace AI pro monitorování zabezpečení zní teoreticky skvěle. Ale pro týmy, které jsou již natažené, může být v praxi zprovoznění nepořádku. Lidé se při zavádění této pokročilé technologie potýkají se všemi druhy překážek, od pochopení toho, jak nástroje myslí, až po zastavení 

vyhoření alarmu.

Složitost

Bezpečnostní analytici, kteří denně používají nástroje EDR, nejsou vždy inženýři. Takže očekávat, že intuitivně pochopí intervaly spolehlivosti, míry přesnosti, optimalizaci modelu a další nápady na strojové učení? To je velký úkol. Bez tréninku prosté řeči k demystifikaci pojmů se zvonky a píšťalky AI nikdy nepoužijí při chytání špatných herců.

Utápění ve falešných pozitivech

Zejména v prvních dnech některé nástroje umělé inteligence překračovaly značkování hrozeb. Najednou se analytici začali každý týden topit pod stovkami nedůvěryhodných výstrah – mnoho z nich falešných. To pohřbilo kritické signály v šumu. Mnoho týmů, které se cítí ohromeni, může skončit tak, že výstrahy úplně ignorují. Nástroje je potřeba optimalizovat a vyladit tak, aby byla v citlivosti rovnováha.

Nástroje Black Box

Neuronové sítě fungují jako neproniknutelné černé skříňky. Vzhledem k tomu, že zdůvodnění skóre rizik a doporučení zůstávají neprůhledné, mají zaměstnanci potíže s důvěrou v automatizovaný systém. Aby si umělá inteligence získala důvěryhodnost u svých lidských spolupracovníků, musí je nechat nakouknout pod pokličku natolik, aby pochopili její uvažování – ale to není se současnými technologiemi vždy možné.

Více než kouzelná kulka

Samotné nasazení nových nástrojů umělé inteligence to nezvládne. Aby mohly bezpečnostní týmy technologii plně využít, musí zlepšit své procesy, sady dovedností, zásady, metriky a dokonce i kulturní normy, aby se s ní přizpůsobily. Nasazení umělé inteligence jako balíčku na klíč bez skutečného vývoje organizace nadobro uzamkne veškerý potenciál, který změní hru.

Final Word

AI přináší širokou škálu vzrušujících nástrojů a obrany proti hrozbám kybernetické bezpečnosti. I když je to dobrá zpráva, většina z nich zůstane potenciálem, dokud AI a lidské týmy nebudou moci spolupracovat v harmonii a vzájemně si hrát na své silné stránky. EDR je jednou z oblastí kybernetické bezpečnosti, která se zejména opírá o hladké partnerství mezi inteligentními stroji a lidskými znalostmi.

Samozřejmě existuje křivka učení, která jde oběma směry. Systémy umělé inteligence musí lépe zprostředkovat svou vnitřní logiku lidským spoluhráčům v transparentních termínech, které mohou intuitivně vnímat a jednat podle nich. Odstranění problému mezi signálem a šumem v systémech včasného varování také pomůže předejít únavě analytiků a vyladit se.

Související témata:
mm

David Balaban je výzkumník v oblasti počítačové bezpečnosti s více než 17 lety zkušeností s analýzou malwaru a hodnocením antivirového softwaru. David běží MacSecurity.net si Privacy-PC.com projekty, které prezentují expertní názory na současné záležitosti bezpečnosti informací, včetně sociálního inženýrství, malwaru, penetračního testování, zpravodajství o hrozbách, online soukromí a white hat hackingu. David má silné zázemí pro odstraňování malwaru a v poslední době se zaměřuje na protiopatření ransomwaru.