Tankeledere

AI kan ikke fikse brudte sikkerhedsfundamenter

mm
Udgivet den

AI skærper synlighed, analyse og beslutningstagning, men dets effektivitet er begrænset af kvaliteten af den underliggende omgang

“Bruger det AI?” er blevet det standardspørgsmål i samtaler om sikkerhedsprodukter, stillet af sikkerhedsledere og gentaget i næsten hver enkelt vendors salgspræsentation.

Problemet er, at det er det forkerte spørgsmål. Om et produkt bruger AI, betyder det ikke, at det vil hjælpe med at styrke en organisations sikkerhedsposition. AI er ikke en universel løsning for alle sikkerhedsproblemer. Dets værdi afhænger af, hvordan det anvendes, hvilket starter med at definere problemet, man ønsker at løse.

Det bedre spørgsmål er: “Hvilket specifikt sikkerhedsproblem forsøger vi at løse, og hjælper denne AI-drevne teknologi med at løse det?”

Hvad AI gør godt

AI leverer værdi i sikkerhed på tre nøgleområder. Først udfylder det data-lukker. Sikkerhedsteams trækker data fra dusinvis af kilder, herunder forældede aktiv-inventarer, identitetssystemer, der ikke fanger alle adgangsforhold, og netværks-telemetri, der ikke fanger visse trafik. AI kan slutte kontekst fra ufuldstændige datasæt for at bygge et mere komplet billede af aktiver, identiteter, forbindelser og arbejdsmængde-adfærd.

AI forbedrer også analyse i stor skala. Signal-til-støj-problemet i sikkerhedsoperationer er alvorligt og forværres. AI kan korrelerer begivenheder på tværs af multiple datakilder, fremhæve de advarsler, der fortjener opmærksomhed, og skubbe lav-prioritets støj ud af analytikerenes synsfelt. Dette er, hvor de fleste sikkerhedsleverandører har fokuseret deres AI-investering. SOC-hold bruger mindre tid på at triage lav-værdi-advarsler og mere tid på aktiviteter, der kræver menneskelig dømmekraft.

Tredje, når AI har beriget data og analyseret signaler, kan det vejlede handling ved at anbefale næste skridt, såsom hvilken politikændring, der vil mindske risiko, hvilken respons-handling, der passer til adfærds-mønsteret, eller hvor en konfiguration behøver at ændres.

AI leverer mest værdi, når det forbedrer kontekst, analyse og beslutningstagning. Det forbedrer stærke sikkerhedspraksis, men det kan ikke kompensere for manglende.

Hvorfor svage fundamenter stadig fejler

AI er begrænset af de input, en organisation giver det. Disse input (f.eks. telemetri, arkitektur, politikker, kontroller og eksisterende værktøjer) definerer grænserne for, hvad AI kan gøre. Skærpe disse input, og AI producerer skarpere resultater. Svække dem, og outputtet forringes.

Uden kontekst til at identificere en fravær, har AI ingen måde at rapportere en på. Det vil ikke tage sig selv til at undersøge en omgang og flagre, hvad der mangler. Det vil ikke fortælle en sikkerhedsteam, at netværket mangler tilstrækkelig segmentering, at adgangskontroller er for tilladende, eller at synligheds-lukker efterlader hele segmenter af omgangen uovervåget.

AI undgår ikke det gamle data-kvalitets-princip, “skrald-ind, skrald-ud,” det forstærker det. Svag telemetri producerer svag analyse. Fejlkontroller giver AI noget at optimere i den forkerte retning. Ufuldstændig synlighed betyder, at beslutninger tages fra en delvis billed, og AI tager disse beslutninger hurtigere, ikke mere præcist. Hastighed er ikke en forbedring, når den underliggende information er upålidelig.

Det er derfor, kvaliteten af fundamenterne betyder, før nogen AI-funktion kommer i spil. Et stærkt fundament inkluderer identitet og adgangskontroller, der gennemtvinger meningsfulde grænser, mindst-privilegie på tværs af brugere, arbejdsmængder, applikationer, data, mikro-segmentering for at begrænse lateral bevægelse og omfattende synlighed/overvågning på tværs af omgangen. Det kræver også pålidelig telemetri og en klar forståelse af, hvordan systemer forbinder og afhænger af hinanden.

Ingen af dette er nyt. Disse er de samme discipliner, sikkerheds-hold har diskuteret i år, fra skiftet til mobile til flytningen til cloud. Hvad der er ændret, er omkostningerne ved at forsømme dem. AI kan forstærke et stærkt sikkerheds-fundament, men det kan ikke erstatte et.

Agentic AI ændrer risiko-ligningen

Skiftet ikke fra ingen AI til AI; det er fra AI, der assisterer, til AI, der handler. Traditionel AI analyserer data, fremhæver indsigt og anbefaler næste skridt. Agentic AI udfører på tværs af systemer, data og arbejdsgange uden at vente på en menneskelig beslutning.

Tænk på det på denne måde: at udrulle 100 AI-agenter over nat er effektivt som at ansætte 100 nye medarbejdere, der aldrig logger af, opererer med maskine-hastighed og har adgang til hvilke systemer deres tilladelser tillader. Men til forskel fra menneskelige medarbejdere, stopper disse agenter ikke, stiller ikke spørgsmål eller anvender dømmekraft om, når adgangen skal bruges. De udfører kontinuerligt, flytter på tværs af systemer og berører multiple applikationer præcis, som de er tilladt.

Risikoen forværres, når en organisation tildeler en agent den samme adgangsprofil som en bestemt bruger, de skaber en klon, ikke en hjælpsom proxy. Denne klon har de samme brede tilladelser som originalen, kører kontinuerligt og kan udsætte organisationen for de samme risici, uanset om adfærden er ondsindet eller kun miskonfigureret.

I AI-alderen er identitet, adgangskontrol, mindst-privilegie, segmentering og overvågning ikke længere kun bedste praksis – de er grundlæggende sikkerheds-krav. En nylig Cloud Security Alliance briefing udviklet med SANS, OWASP Gen AI Security Project og en samling af praktikere, forstærker pointen, at agentic AI ikke gør disse fundamentale principper forældede. Det gør dem ikke-forhandelbare.

Hvad AI-klar sikkerhed ligner

At behandle AI-klarhed som et indkøbsspørgsmål og fokusere på, hvilke AI-aktiverede værktøjer at implementere, ignorerer, at AI-klarhed er en arkitektur-, styre- og kontrollerings-sag. Spørgsmålet er ikke, hvilke værktøjer at købe, men om omgangen vil støtte AI, der opererer sikkert.

Start med synlighed. Før udrulning af nogen AI-funktion, har sikkerheds-hold brug for et klart billede af, hvad der findes i omgangen: aktiver, arbejdsmængder, identiteter, applikationer, data, AI-modeller, agenter og tredjeparts-forbindelser. Denne inventar er ikke noget, AI kan bygge for dig. Det er startpunktet, AI har brug for for at gøre noget nyttigt.

Derefter definer problemet. Identificer kontrollukket eller det specifikke risiko først. Beslut, hvilken udkomst behøver at forbedres. Så spørg, om AI kan hjælpe med at lukke det lukket bedre end andre tilgange. Organisationer, der omvender denne rækkefølge ved at starte med et AI-værktøj og derefter lede efter et problem at anvende det på, tenderer til at generere aktivitet uden at forbedre sikkerheden.

At anvende zero-trust-principper til AI-agenter er, hvor dette bliver operationelt. Instinktet er ofte at definere, hvad agenter ikke skal gøre, men den liste vil altid være ufuldstændig. En mere pålidelig tilgang er at være preskriptiv om, hvad hver agent kan gøre, give det kun den adgang, en defineret opgave kræver, og gennemtvinge disse grænser på tværs af hver lag af stakken. Segmentér systemerne, agenterne kan nå, så hvis en af dem opfører sig på måder uden for dens definerede grænser eller en angriber misbruger det, forbliver skaden indhegnet.

Til sidst er en stigning i aktivitet ikke en succes-målepind. AI vil øge mængden af handlinger, et sikkerheds-hold tager, men det betyder ikke, at det forbedrer sikkerheden. En dashboard, der præsenterer en masse aktivitet, signalerer ikke, at AI leverer værdi.

Mål udkomster, såsom om advarsels-volumener falder på måder, der afspejler ægte signal, og niveauet af risiko falder hurtigere i de områder, der tæller mest. Sørg for, at politik-anbefalinger styrker kontroller, giver sikkerheds-holdet mulighed for at indeholde uheld hurtigere og giver SOC-analytikere mulighed for at bruge mere tid på arbejde, der kræver menneskelig dømmekraft.

Fundamentet kommer først

AI er ikke fundamentet for en stærk sikkerheds-position. Det er en multiplikator, og som enhver multiplikator, afhænger dets værdi helt af, hvad man anvender det på.

Organisationer, der har bygget solide arkitekturer med klar synlighed, gennemtvinget mindst-privilegie, segmentering og stærke identitets-kontroller, kan bruge AI til at skærpe deres kontekst, accelerere analyse og handle på bedre information. De, der ikke har, vil finde, at AI flytter dem hurtigere i den forkerte retning, optimerer fejlkontroller og fremhæver indsigt fra en ufuldstændig billed.

Spørgsmålet, der må stilles, før nogen AI-investering, er det samme, der skal drive hver sikkerheds-beslutning: Hvad er problemet, vi forsøger at løse? Hvis svaret er klart, og arkitekturen til at støtte det er på plads, så kan AI gøre løsningen mere effektiv. Hvis svaret er vagt eller fundamentet er svagt, så vil tilføjelse af AI ikke ændre det. Det vil blot gøre lukket hårdere at se.

AI vil ikke fikse et brudt fundament. Det vil blot gøre revnerne synlige hurtigere.

mm

Raghu Nandakumara er Vice President of Industry Strategy i Illumio, det brech containment-selskab. Med base i London, UK, hjælper han kunder og potentielle kunder på tværs af mange brancher med at bygge resilience og accelerere Zero Trust-resultater med Illumio Segmentation.