Spojte se s námi

Myšlenkové vůdce

Partnerství mezi člověkem a umělou inteligencí v EDR: Rozšíření týmů kybernetické bezpečnosti o umělou inteligenci

mm
Zveřejněno

Vzhledem k tomu, že kybernetické útoky jsou stále častější a složitější, společnosti se snaží udržet krok. Vysoce kvalifikované bezpečnostní týmy pracují ve dne v noci, aby odhalily a zastavily digitální vetřelce, ale často to vypadá jako prohraná bitva. Zdá se, že hackeři mají vždy výhodu.

Na konci tunelu se však objevuje světlo. Nová vlna technologií umělé inteligence by mohla obrátit šance ve prospěch obránců. Využitím samoučících se programů jako digitálních spojenců mohou bezpečnostní analytici posílit své úsilí o ochranu firemních sítí a zařízení – aniž by museli vynakládat spoustu dalších zdrojů.

Jedním z odvětví kybernetické bezpečnosti, kde má umělá inteligence velký dopad, je detekce a reakce koncových bodů (EDR). To v podstatě funguje jako systém včasného varování před útoky, bedlivě sleduje počítače, telefony a další koncové body, zda se v nich nevyskytují jemné znaky kybernetického útoku. Kdykoli se zdá, že něco není v pořádku, EDR spustí poplach, aby to mohli lidští experti prozkoumat. Může dokonce provádět základní akce, jako je izolace napadených zařízení, aby získal čas.

Ale nahradí EDR poháněné umělou inteligencí zcela a neguje potřebu lidského zásahu? Jednoduchá odpověď je ne. Jak vidíme v mnoha aplikacích umělé inteligence, zdá se, že nejlepší výsledky přicházejí, když umělá inteligence a lidé spolupracují, nikoli jedna místo druhé. Pojďme si rozbalit, proč tomu tak je.

Příslib EDR s umělou inteligencí

EDR nástroje se staly životně důležitými zbraněmi pro identifikaci, analýzu a nápravu neustále se vyvíjejících útoků napříč obrovským počtem zařízení. Dnes mnoho předních platforem EDR využívá umělou inteligenci k rozšíření lidských schopností, zlepšení přesnosti a efektivity.

S kontrolovanými algoritmy strojového učení trénovanými na horách dat o hrozbách může EDR s umělou inteligencí:

  • Poznejte dosud nevídané vzorce útoků a chování. Analýzou systémových událostí a porovnáváním rozsáhlých datových sad umělá inteligence detekuje anomálie, které by lidští analytici pravděpodobně přehlédli. To vašemu týmu umožňuje identifikovat a zastavit nenápadné útoky, které jiné nástroje nevidí.
  • Poskytněte kontext prostřednictvím automatizovaného vyšetřování. Umělá inteligence dokáže okamžitě zpětně vysledovat celý rozsah incidentu a hledat známky kompromisu ve vašem prostředí. To analytikům snižuje pracnost, aby pochopili základní příčiny.
  • Upřednostněte nejkritičtější incidenty. Ne všechny výstrahy vyžadují stejnou úroveň naléhavosti, ale rozlišení mezi triviálním a závažným může být náročné. Hodnocení umělé inteligence zdůrazňují nejnebezpečnější hrozby, aby zaměřily vzácnou lidskou pozornost.
  • Doporučte optimální reakce přizpůsobené každému útoku. Na základě specifik kmenů malwaru, využívaných zranitelností a dalších, AI navrhuje nejlepší opatření k omezení a nápravě k odstranění hrozby s chirurgickou přesností.

Rozšíření umělé inteligence umožňuje analytikům pracovat chytřeji a rychleji tím, že zvládají velkou část těžkého břemene v oblasti detekce hrozeb, vyšetřování a doporučení. Lidská odbornost a kritické myšlení však zůstávají zásadní pro propojení bodů.

Lidský element: úsudek, kreativita, intuice

Zatímco umělá inteligence je skvělá v drcení dat, lidští analytici vnášejí do obrany koncových bodů klíčové přednosti, které strojům chybí. Lidé poskytují tři klíčové schopnosti:

Vyvážené hodnocení

Umělá inteligence může někdy označit neškodné události jako podezřelé, což způsobí falešné poplachy, nebo může přehlédnout skutečné hrozby. Lidští experti však mohou využít své zkušenosti a dobrý úsudek k vyhodnocení toho, co AI najde. Pokud například systém nesprávně označí běžnou aktualizaci softwaru jako škodlivou, analytik ji může zkontrolovat a opravit chybu, čímž se vyhne zbytečným přerušením. Toto vyvážené lidské hodnocení umožňuje přesnější detekci hrozeb.

Kreativní řešení problémů

Útočníci neustále upravují svůj malware, aby přelstili systémy umělé inteligence, které jsou často vyladěny tak, aby odhalily známé hrozby. Ale lidští analytici dokážou přemýšlet mimo rámec a identifikovat nové nebo nenápadné hrozby na základě malých zvláštností. Když hackeři změní svou taktiku, analytici mohou přijít s novými kreativními detekčními pravidly založenými na drobných anomáliích v kódu – poznatky, které by stroje jen těžko dokázaly zachytit.

Vidět větší obrázek

Ochrana složitých sítí znamená zvážit mnoho měnících se faktorů, které algoritmy nedokážou plně zohlednit. Uprostřed sofistikovaného útoku se lidský úsudek stává klíčovým pro rozhodování o důležitých věcech – například zda izolovat systémy nebo vyjednávat o výkupném. I když umělá inteligence může navrhovat možnosti, lidský pohled je stále zapotřebí k vedení reakce a minimalizaci dopadu na podnikání.

Lidský vhled a umělá inteligence společně tvoří silnou obranu, která dokáže zachytit pokročilé kybernetické útoky, které by jiné systémy mohly minout. Umělá inteligence zpracovává data rychle, zatímco lidské uvažování zaplňuje mezery. Spolupráce lidí a AI posiluje ochranu koncových bodů.

Optimalizace týmu Human-AI Security Team

Zde je několik tipů, které vám pomohou co nejlépe využít vaše EDR vylepšené AI s týmy vedené lidmi:

  • Důvěřujte, ale prověřujte hodnocení AI. Využijte detekci umělé inteligence k rychlému vymezení incidentů, ale před zahájením akce ověřte zjištění manuálním vyhledáváním. Nedůvěřujte slepě každému upozornění.
  • Pomocí umělé inteligence se zaměřte na lidské znalosti. Nechte umělou inteligenci zpracovávat opakující se úkoly, jako je monitorování koncových bodů a shromažďování podrobností o hrozbách, aby analytici mohli věnovat energii úsilí s vyšší hodnotou, jako je strategické plánování odezvy a proaktivní lov.
  • Poskytněte zpětnou vazbu ke zlepšení modelů AI v průběhu času. Přidání lidského ověření zpět do systému – potvrzování pravdivých/falešných pozitiv – umožňuje algoritmům samočinné opravy, aby byly přesnější. Umělá inteligence se postupem času učí z lidské moudrosti.
  • Spolupracujte s AI denně. Čím více analytiků a umělé inteligence spolupracují, tím více se obě strany učí, což zvyšuje dovednosti a výkon na obou stranách. Každodenní používání sdružuje znalosti.

Stejně jako kybernetičtí protivníci využívají automatizaci a AI k útokům, obránci se musí bránit pomocí arzenálu poháněného AI. Zabezpečení koncových bodů poháněné umělou i lidskou inteligencí poskytuje nejlepší naději na zabezpečení našeho digitálního světa.

Když člověk a stroj spojí své síly a využijí doplňkové schopnosti k přemýšlení a překonání jakéhokoli protivníka, neexistuje žádný limit pro to, čeho můžeme společně dosáhnout. Budoucnost kybernetické bezpečnosti nastala – a je to partnerství člověka a AI.

Výzvy při přijímání EDR rozšířené o umělou inteligenci

Implementace AI pro monitorování zabezpečení zní teoreticky skvěle. Ale pro týmy, které jsou již natažené, může být v praxi zprovoznění nepořádku. Lidé se při zavádění této pokročilé technologie potýkají se všemi druhy překážek, od pochopení toho, jak nástroje myslí, až po zastavení 

vyhoření alarmu.

Složitost

Bezpečnostní analytici, kteří denně používají nástroje EDR, nejsou vždycky inženýři. Takže očekávat, že intuitivně pochopí intervaly spolehlivosti, míry přesnosti, optimalizaci modelů a další myšlenky strojového učení? To je těžký úkol. Bez srozumitelného školení k demystifikaci těchto konceptů se funkce umělé inteligence nikdy nevyužijí k odhalení pachatelů.

Utápění ve falešných pozitivech

Zejména v prvních dnech některé nástroje umělé inteligence překračovaly značkování hrozeb. Najednou se analytici začali každý týden topit pod stovkami nedůvěryhodných výstrah – mnoho z nich falešných. To pohřbilo kritické signály v šumu. Mnoho týmů, které se cítí ohromeni, může skončit tak, že výstrahy úplně ignorují. Nástroje je potřeba optimalizovat a vyladit tak, aby byla v citlivosti rovnováha.

Nástroje Black Box

Neuronové sítě fungují jako neproniknutelné černé skříňky. Vzhledem k tomu, že zdůvodnění skóre rizik a doporučení zůstávají neprůhledné, mají zaměstnanci potíže s důvěrou v automatizovaný systém. Aby si umělá inteligence získala důvěryhodnost u svých lidských spolupracovníků, musí je nechat nakouknout pod pokličku natolik, aby pochopili její uvažování – ale to není se současnými technologiemi vždy možné.

Více než kouzelná kulka

Samotné zavedení nových nástrojů umělé inteligence nestačí. Aby bezpečnostní týmy mohly technologii plně využít, musí zlepšit své procesy, dovednosti, zásady, metriky a dokonce i kulturní normy, aby se s ní přizpůsobily. Nasazení umělé inteligence jako komplexního balíčku bez skutečného rozvoje organizace veškerý tento revoluční potenciál nadobro ztratí.

Final Word

AI přináší širokou škálu vzrušujících nástrojů a obrany proti hrozbám kybernetické bezpečnosti. I když je to dobrá zpráva, většina z nich zůstane potenciálem, dokud AI a lidské týmy nebudou moci spolupracovat v harmonii a vzájemně si hrát na své silné stránky. EDR je jednou z oblastí kybernetické bezpečnosti, která se zejména opírá o hladké partnerství mezi inteligentními stroji a lidskými znalostmi.

Samozřejmě existuje křivka učení, která jde oběma směry. Systémy umělé inteligence musí lépe zprostředkovat svou vnitřní logiku lidským spoluhráčům v transparentních termínech, které mohou intuitivně vnímat a jednat podle nich. Odstranění problému mezi signálem a šumem v systémech včasného varování také pomůže předejít únavě analytiků a vyladit se.

Související témata:
mm

David Balaban je výzkumník v oblasti počítačové bezpečnosti s více než 17 lety zkušeností s analýzou malwaru a hodnocením antivirového softwaru. David běží MacSecurity.net si Privacy-PC.com projekty, které prezentují expertní názory na současné záležitosti bezpečnosti informací, včetně sociálního inženýrství, malwaru, penetračního testování, zpravodajství o hrozbách, online soukromí a white hat hackingu. David má silné zázemí pro odstraňování malwaru a v poslední době se zaměřuje na protiopatření ransomwaru.