Liderzy opinii

Sztuczna inteligencja nie naprawi złamanego fundamentu bezpieczeństwa

mm
Opublikowano

Sztuczna inteligencja zwiększa widoczność, analizę i podejmowanie decyzji, ale jej skuteczność jest ograniczona przez jakość podstawowego środowiska

“Czy używa sztucznej inteligencji?” stało się domyślnym pytaniem w rozmowach o produktach zabezpieczeń, zadawanym przez liderów zabezpieczeń i powtarzanym w niemal każdej prezentacji sprzedażowej.

Problem polega na tym, że jest to złe pytanie. To, czy produkt używa sztucznej inteligencji, nie oznacza, że pomoże wzmocnić postawę zabezpieczeń organizacji. Sztuczna inteligencja nie jest lekarstwem na wszystkie problemy zabezpieczeń. Jej wartość zależy od tego, jak jest stosowana, co zaczyna się od jasnego określenia problemu, który chcemy rozwiązać.

Lepsze pytanie brzmi: “Jaki konkretny luk w zabezpieczeniach próbujemy zamknąć, i czy ta technologia wspomagana przez sztuczną inteligencję naprawdę pomaga go zamknąć?”

Czego sztuczna inteligencja jest w stanie zrobić dobrze

Sztuczna inteligencja dostarcza wartości w zabezpieczeniach w trzech kluczowych obszarach. Po pierwsze, wypełnia luki w danych. Zespoły zabezpieczeń pobierają dane z dziesiątek źródeł, w tym nieaktualnych inwentaryzacji aktywów, systemów tożsamości, które nie rejestrują wszystkich relacji dostępu, oraz telemetrycznych danych sieciowych, które pomijają pewne ruchy. Sztuczna inteligencja może wnioskować o kontekście z niepełnych zestawów danych, aby zbudować bardziej kompletny obraz aktywów, tożsamości, połączeń i zachowania obciążeń.

Sztuczna inteligencja również poprawia analizę na dużą skalę. Problem sygnału i szumu w operacjach zabezpieczeń jest poważny i pogarsza się. Sztuczna inteligencja może skorelować zdarzenia z wielu źródeł danych, przedstawić alerty, które wymagają uwagi, i wypchnąć niskopriorytetowy szum z pola widzenia analityka. To jest obszar, w którym większość dostawców zabezpieczeń skupiła swoje inwestycje w sztuczną inteligencję. Zespoły SOC spędzają mniej czasu na triażowaniu niskowartościowych alertów i więcej czasu na działaniach, które wymagają ludzkiej oceny.

Trzeci, gdy sztuczna inteligencja wzbogaci dane i przeanalizuje sygnały, może kierować działaniami, polecając następny krok, taki jak jaka zmiana polityki zmniejszy ryzyko, jaka akcja odpowiedzi pasuje do wzorca behawioralnego, lub gdzie konfiguracja wymaga zmiany.

Sztuczna inteligencja dostarcza najwięcej wartości, gdy poprawia kontekst, analizę i podejmowanie decyzji. Wzmacnia silne praktyki zabezpieczeń, ale nie może rekompensować brakujących.

Dlaczego słabe podstawy nadal zawodzą

Sztuczna inteligencja jest ograniczona przez dane wejściowe, które organizacja jej dostarcza. Te dane (np. telemetryczne, architektura, polityki, kontrola i istniejące narzędzia) definiują granice tego, co sztuczna inteligencja może zrobić. Zaostrzając te dane, sztuczna inteligencja produkuje ostrzejsze wyniki. Osłabiając je, wynik pogarsza się.

Bez kontekstu, aby zidentyfikować brak, sztuczna inteligencja nie ma sposobu, aby zgłosić go. Nie podejmie się samodzielnie badania środowiska i oznaczenia, co jest brakujące. Nie powie zespołowi zabezpieczeń, że sieć nie ma odpowiedniej segmentacji, że kontrola dostępu jest zbyt permissive, lub że luki widoczności pozostawiają całe segmenty środowiska bez nadzoru.

Sztuczna inteligencja nie ucieka od starego principu jakości danych, “śmieci na wejściu, śmieci na wyjściu”, raczej go wzmacnia. Słaba telemetria produkuje słabą analizę. Wadliwe kontrolki dają sztucznej inteligencji coś do zoptymalizowania w złym kierunku. Niepełna widoczność oznacza, że decyzje są podejmowane na podstawie niepełnego obrazu, a sztuczna inteligencja podejmuje te decyzje szybciej, nie bardziej dokładnie. Szybkość nie jest ulepszeniem, gdy podstawowe informacje są niewiarygodne.

Dlatego jakość podstawy ma znaczenie przed wprowadzeniem jakiejkolwiek funkcjonalności sztucznej inteligencji. Silna podstawa obejmuje kontrolę tożsamości i dostępu, która egzekwuje znaczące granice, najmniejsze przywileje wśród użytkowników, mikrosegmentację, aby ograniczyć ruch boczny, oraz kompletną widoczność/obserwowalność w całym środowisku. Wymaga również niezawodnej telemetrii i jasnego zrozumienia, jak systemy łączą się i zależą od siebie.

Żadna z tych rzeczy nie jest nowa. Są to te same dyscypliny, o których zespoły zabezpieczeń dyskutowały przez lata, od przeniesienia do mobilności po przeniesienie do chmury. To, co się zmieniło, to koszt zaniedbania ich. Sztuczna inteligencja może wzmocnić silną podstawę zabezpieczeń, ale nie może jej zastąpić.

Sztuczna inteligencja, która zmienia równanie ryzyka

Zmiana nie polega na przejściu od braku sztucznej inteligencji do sztucznej inteligencji, ale od sztucznej inteligencji, która asystuje, do sztucznej inteligencji, która działa. Tradycyjna sztuczna inteligencja analizuje dane, przedstawia spostrzeżenia i rekomenduje następne kroki. Sztuczna inteligencja agencja wykonuje działania w systemach, danych i przepływach pracy bez oczekiwania na decyzję ludzką.

Wyobraź sobie to w ten sposób: wdrożenie 100 agentów sztucznej inteligencji w ciągu jednej nocy jest takie samo, jak zatrudnienie 100 nowych pracowników, którzy nigdy nie logują się, działają z prędkością maszyny i mają dostęp do wszelkich systemów, na które pozwala im ich uprawnienie. Ale w przeciwieństwie do ludzkich pracowników, ci agenci nie zatrzymują się, nie mają wątpliwości, ani nie stosują oceny, kiedy ten dostęp powinien być użyty. Wykonują działania ciągle, poruszając się po systemach i dotykając wielu aplikacji dokładnie tak, jak im na to pozwala.

To jest luka. Twój model dostępu zakłada ludzkie zachowanie (np. dyskretne działania, wolniejszy temp, i pewien poziom oceny). Agenci sztucznej inteligencji usuwają te ograniczenia. Jeśli uprawnienia są zbyt szerokie (lub niedokładne), nie tylko pozostają nie użyte lub są używane nieprawidłowo; są używane ciągle, na dużą skalę, we wszystkich systemach, do których mają dostęp.

Ryzyko kumuluje się, gdy organizacja przypisuje agentowi ten sam profil dostępu, co określonemu użytkownikowi, tworzy klon, a nie pomocnego proxy. Ten klon ma te same szerokie uprawnienia, co oryginał, działa ciągle i może narażać organizację na te same ryzyka, czy to zachowanie jest złe, czy tylko źle skonfigurowane.

W erze sztucznej inteligencji tożsamość, kontrola dostępu, najmniejsze przywileje, segmentacja i obserwowalność nie są już tylko najlepszymi praktykami – są one podstawowymi wymogami zabezpieczeń. Ostatnie sprawozdanie Cloud Security Alliance opracowane z SANS, OWASP Gen AI Security Project i społecznością praktyków, potwierdza, że sztuczna inteligencja agencja nie czyni tych podstawowych elementów przestarzałymi. Robi je niezbędnymi.

Co to jest bezpieczeństwo gotowe do sztucznej inteligencji

Traktowanie gotowości do sztucznej inteligencji jako pytania zakupowego i koncentrowanie się na tym, które narzędzia wspomagane sztuczną inteligencją wdrożyć, ignoruje fakt, że gotowość do sztucznej inteligencji jest kwestią architektury, zarządzania i kontroli. Pytanie nie brzmi, które narzędzia kupić, ale czy środowisko będzie wspierać działanie sztucznej inteligencji w sposób bezpieczny.

Zacznij od widoczności. Przed wdrożeniem jakiejkolwiek funkcjonalności sztucznej inteligencji zespoły zabezpieczeń potrzebują jasnego obrazu tego, co istnieje w środowisku: aktywów, obciążeń, tożsamości, aplikacji, danych, modeli sztucznej inteligencji, agentów i połączeń zewnętrznych. Ten inwentarz nie jest czymś, co sztuczna inteligencja może zbudować za Ciebie. Jest to punkt wyjścia, który sztuczna inteligencja potrzebuje, aby zrobić coś użytecznego.

Następnie określ problem. Zidentyfikuj lukę w kontroli lub konkretny ryzyko. Zdecyduj, jaki wynik musi się poprawić. Następnie zapytaj, czy sztuczna inteligencja może pomóc w zamknięciu tej luki lepiej niż inne podejścia. Organizacje, które odwracają ten porządek, zaczynając od narzędzia sztucznej inteligencji, a następnie szukając problemu, którym mogą je zastosować, mają tendencję do generowania aktywności bez poprawy zabezpieczeń.

Stosowanie zasad zaufania zero do agentów sztucznej inteligencji jest tutaj operacyjne. Instynktownie często określa się, czego agenci nie powinni robić, ale ta lista zawsze będzie niekompletna. Bardziej niezawodne podejście polega na tym, aby być przepisowym co do tego, co każdy agent może zrobić, dać mu tylko dostęp, który jest wymagany do określonego zadania, i egzekwować te limity we wszystkich warstwach stosu. Zsegreguj systemy, do których agenci mają dostęp, aby w przypadku, gdy jeden z nich zachowuje się poza określonymi granicami lub atakujący wykorzystuje go, szkoda pozostała w ograniczonym zakresie.

Wreszcie, wzrost aktywności nie jest miernikiem sukcesu. Sztuczna inteligencja zwiększy objętość działań, które podejmuje zespół zabezpieczeń, ale to nie oznacza, że poprawia zabezpieczenia. Pulpit, który prezentuje dużo aktywności, nie sygnalizuje, że sztuczna inteligencja dostarcza wartości.

Mierzą wyniki, takie jak czy objętość alertów maleje w sposób, który odzwierciedla prawdziwy sygnał, a poziom ryzyka spada szybciej w obszarach, które mają największe znaczenie. Upewnij się, że rekomendacje polityki wzmacniają kontrolę, umożliwiają zespołowi zabezpieczeń szybsze ograniczanie incydentów i pozwalają analitykom SOC spędzać więcej czasu na pracy, która wymaga ludzkiej oceny.

Podstawa jest najważniejsza

Sztuczna inteligencja nie jest podstawą silnej postawy zabezpieczeń. Jest mnożnikiem siły, a jak każdy mnożnik, jej wartość zależy całkowicie od tego, do czego ją stosuje.

Organizacje, które zbudowały solidną architekturę z klarowną widocznością, egzekwowaną najmniejszą przywilejami, segmentacją i silnymi kontrolami tożsamości, mogą użyć sztucznej inteligencji, aby zwiększyć swój kontekst, przyspieszyć analizę i działać na podstawie lepszych informacji. Ci, którzy tego nie zrobili, odkryją, że sztuczna inteligencja porusza się szybciej w złym kierunku, optymalizując wadliwe kontrolki i prezentując spostrzeżenia z niepełnego obrazu.

Pytanie, które musi być zadane przed podjęciem jakiejkolwiek inwestycji w sztuczną inteligencję, jest takie samo, jak to, które powinno naprowadzać każdą decyzję zabezpieczającą: Jaki problem próbujemy rozwiązać? Jeśli odpowiedź jest jasna, a architektura, która ją wspiera, jest na miejscu, wtedy sztuczna inteligencja może uczynić rozwiązanie bardziej skutecznym. Jeśli odpowiedź jest niejasna lub podstawa jest słaba, dodanie sztucznej inteligencji nie zmieni tego. Zmieni tylko to, że luka stanie się trudniejsza do zobaczenia.

Sztuczna inteligencja nie naprawi złamanego fundamentu. Zmieni tylko to, że pęknięcia staną się widoczne szybciej.

mm

Raghu Nandakumara jest wiceprezesem ds. strategii branżowej w Illumio, firmie zajmującej się zawężaniem luk w zabezpieczeniach. Z siedzibą w Londynie, UK, pomaga klientom i potencjalnym klientom z różnych branż budować odporność i przyspieszać osiąganie wyników Zero Trust za pomocą segmentacji Illumio.

Wcześniej Raghu spędził 15 lat w Citibank, gdzie pełnił szereg ról w dziale operacji i inżynierii bezpieczeństwa sieci. Ostatnio pełnił funkcję starszego wiceprezesa, gdzie był odpowiedzialny za definiowanie strategii, inżynierii i dostarczania rozwiązań w celu zabezpieczenia prywatnych, publicznych i hybrydowych środowisk chmury Citi. Raghu posiada tytuł licencjata z matematyki i informatyki na Uniwersytecie w Cambridge oraz tytuł magistra zaawansowanego przetwarzania informacji na Imperial College London.