Kontakt z nami

Liderzy myśli

Przyszłość cyberbezpieczeństwa: sztuczna inteligencja, automatyzacja i czynnik ludzki

mm
Zaktualizowano on

W ciągu ostatniej dekady, wraz z gwałtownym rozwojem technologii informatycznych, w 2013 r ciemna rzeczywistość zagrożeń cyberbezpieczeństwa również ewoluowała radykalnie. Cyberataki, niegdyś przeprowadzane głównie przez złośliwych hakerów szukających rozgłosu lub zysków finansowych, stały się znacznie bardziej wyrafinowane i ukierunkowane. Od szpiegostwa sponsorowanego przez państwo po kradzież firm i tożsamości – motywy stojące za cyberprzestępczością są coraz bardziej złowrogie i niebezpieczne. Chociaż zysk finansowy pozostaje ważnym powodem cyberprzestępczości, został on przyćmiony przez bardziej nikczemne cele, polegające na kradzieży kluczowych danych i zasobów. Cyberatakujący szeroko wykorzystują najnowocześniejsze technologie, w tym sztuczną inteligencję, do infiltrowania systemów i przeprowadzania szkodliwych działań. W USA Federalne Biuro Śledcze (FBI) zgłaszane Według Internet Crime Complaint Center działającego przy tym biurze w 800,000 r. złożono ponad 2022 10 skarg związanych z cyberprzestępczością, a łączne straty przekroczyły 2021 miliardów dolarów, co przekreśla łączną kwotę 6.9 miliarda dolarów w XNUMX roku.

Ponieważ krajobraz zagrożeń szybko się zmienia, nadszedł czas, aby organizacje przyjęły wielotorowe podejście do cyberbezpieczeństwa. Podejście powinno polegać na zajęciu się sposobem, w jaki atakujący uzyskują dostęp; zapobiec początkowemu kompromisowi; szybko wykrywaj włamania; oraz umożliwić szybką reakcję i naprawę. Ochrona zasobów cyfrowych wymaga wykorzystania mocy sztucznej inteligencji i automatyzacji, przy jednoczesnym zapewnieniu, że wykwalifikowani analitycy pozostaną integralną częścią stanu bezpieczeństwa.

Ochrona organizacji wymaga wielowarstwowej strategii, która uwzględnia różnorodne punkty wejścia i wektory ataków stosowane przez przeciwników. Ogólnie rzecz biorąc, można je podzielić na cztery główne kategorie: 1) ataki internetowe i sieciowe; 2) Zachowanie użytkowników i ataki oparte na tożsamości; 3) Ataki jednostkowe wymierzone w środowiska chmurowe i hybrydowe; oraz 4) złośliwe oprogramowanie, w tym oprogramowanie ransomware, zaawansowane, trwałe zagrożenia i inny złośliwy kod.

Wykorzystanie sztucznej inteligencji i automatyzacji

Wdrażanie modeli sztucznej inteligencji i uczenia maszynowego (ML) dostosowanych do każdej z tych klas ataków ma kluczowe znaczenie dla proaktywnego wykrywania zagrożeń i zapobiegania im. W przypadku ataków internetowych i sieciowych modele muszą identyfikować w czasie rzeczywistym zagrożenia, takie jak phishing, wykorzystanie przeglądarki i ataki typu rozproszona odmowa usługi (DDoS). Analityka zachowań użytkowników i podmiotów wykorzystująca sztuczną inteligencję może wykryć nietypowe działania wskazujące na włamanie na konto lub niewłaściwe wykorzystanie zasobów i danych systemowych. Wreszcie analiza złośliwego oprogramowania oparta na sztucznej inteligencji może szybko zidentyfikować nowe odmiany, wskazać złośliwe zachowania i złagodzić wpływ zagrożeń opartych na plikach. Wdrażając modele sztucznej inteligencji i uczenia maszynowego w całym spektrum powierzchni ataku, organizacje mogą znacznie zwiększyć swoją zdolność do autonomicznej identyfikacji ataków na najwcześniejszych etapach, zanim przerodzą się w pełnowymiarowe incydenty.

Gdy modele AI/ML zidentyfikują potencjalne zagrożenia w ramach różnych wektorów ataków, organizacje stają przed kolejnym kluczowym wyzwaniem — zrozumieniem częstych alertów i oddzieleniem krytycznych incydentów od szumu. Przy tak dużej liczbie wygenerowanych punktów danych i wykryć, zastosowanie kolejnej warstwy sztucznej inteligencji/ML w celu korelowania i ustalania priorytetów najpoważniejszych alertów, które wymagają dalszego badania i reakcji, staje się kluczowe. Zmęczenie czujnością jest coraz poważniejszym problemem wymagającym rozwiązania.

Sztuczna inteligencja może odegrać kluczową rolę w procesie selekcji alertów, przetwarzając i analizując duże ilości danych telemetrycznych dotyczących bezpieczeństwa, łącząc wnioski z wielu źródeł wykrywania, w tym analizy zagrożeń, i ujawniając w celu reakcji wyłącznie zdarzenia o najwyższej wierności. Zmniejsza to obciążenie analityków, którzy w przeciwnym razie byliby zasypywani powszechnymi fałszywymi alarmami i alertami o niskiej wiarygodności, pozbawionymi odpowiedniego kontekstu umożliwiającego określenie wagi i kolejnych kroków.

Chociaż podmioty zagrażające aktywnie wdrażają sztuczną inteligencję do wspomagania ataków, takich jak DDoS, ukierunkowany phishing i oprogramowanie ransomware, strona defensywna ma opóźnienia we wdrażaniu sztucznej inteligencji. Jednak sytuacja szybko się zmienia, ponieważ dostawcy zabezpieczeń ścigają się w opracowywaniu zaawansowanych modeli AI/ML zdolnych do wykrywania i blokowania zagrożeń wykorzystujących sztuczną inteligencję.

Przyszłość defensywnej sztucznej inteligencji leży we wdrażaniu wyspecjalizowanych modeli małego języka dostosowanych do konkretnych typów ataków i przypadków użycia, zamiast polegać wyłącznie na dużych, generatywnych modelach sztucznej inteligencji. Z kolei modele wielkojęzykowe są bardziej obiecujące w przypadku operacji związanych z cyberbezpieczeństwem, takich jak automatyzacja funkcji pomocy technicznej, odzyskiwanie standardowych procedur operacyjnych i wspomaganie analityków. Ciężkie prace związane z precyzyjnym wykrywaniem zagrożeń i zapobieganiem im najlepiej poradzą sobie wysoce wyspecjalizowane małe modele AI/ML.

Rola wiedzy specjalistycznej

Kluczowe znaczenie ma wykorzystanie sztucznej inteligencji/ML w połączeniu z automatyzacją procesów, aby umożliwić szybkie usuwanie i powstrzymywanie zweryfikowanych zagrożeń. Na tym etapie, wyposażone w zdarzenia o wysokim stopniu pewności, systemy sztucznej inteligencji mogą uruchamiać zautomatyzowane reakcje dostosowane do każdego konkretnego typu ataku — blokowanie złośliwych adresów IP [protokół internetowy], izolowanie zainfekowanych hostów, egzekwowanie zasad adaptacyjnych i nie tylko. Jednak ludzka wiedza pozostaje integralną częścią, weryfikując wyniki sztucznej inteligencji, stosując krytyczne myślenie i nadzorując autonomiczne działania w celu zapewnienia ochrony bez zakłóceń w działalności.

Zniuansowane zrozumienie jest tym, co ludzie wnoszą do stołu. Ponadto analizowanie nowych i złożonych zagrożeń złośliwym oprogramowaniem wymaga kreatywności i umiejętności rozwiązywania problemów, które mogą być poza zasięgiem maszyn.

Ludzka wiedza jest niezbędna w kilku kluczowych obszarach:

  • Walidacja i kontekstualizacja: systemy sztucznej inteligencji, pomimo swojego wyrafinowania, mogą czasami generować fałszywe alarmy lub błędnie interpretować dane. Analitycy ludzcy są potrzebni do sprawdzania wyników sztucznej inteligencji i zapewniania niezbędnego kontekstu, który sztuczna inteligencja może przeoczyć. Gwarantuje to, że reakcje będą odpowiednie i proporcjonalne do rzeczywistego zagrożenia.
  • Złożone badanie zagrożeń: niektóre zagrożenia są zbyt złożone, aby sztuczna inteligencja mogła sobie z nimi poradzić samodzielnie. Eksperci-ludzie mogą głębiej zagłębić się w te incydenty, wykorzystując swoje doświadczenie i intuicję, aby odkryć ukryte aspekty zagrożenia, które sztuczna inteligencja może przeoczyć. Ta ludzka wiedza ma kluczowe znaczenie dla zrozumienia pełnego zakresu wyrafinowanych ataków i opracowania skutecznych środków zaradczych.
  • Podejmowanie decyzji strategicznych: chociaż sztuczna inteligencja może obsługiwać rutynowe zadania i przetwarzanie danych, strategiczne decyzje dotyczące ogólnego stanu bezpieczeństwa i długoterminowych strategii obronnych wymagają ludzkiej oceny. Eksperci mogą interpretować spostrzeżenia wygenerowane przez sztuczną inteligencję, aby podejmować świadome decyzje dotyczące alokacji zasobów, zmian polityki i inicjatyw strategicznych.
  • Ciągłe doskonalenie: analitycy ludzcy przyczyniają się do ciągłego doskonalenia systemów sztucznej inteligencji, dostarczając informacji zwrotnych i danych szkoleniowych. Ich spostrzeżenia pomagają udoskonalić algorytmy sztucznej inteligencji, dzięki czemu z biegiem czasu stają się one dokładniejsze i skuteczniejsze. Ta symbiotyczna relacja między ludzką wiedzą a sztuczną inteligencją gwarantuje, że obie technologie będą ewoluować razem, aby stawić czoła pojawiającym się zagrożeniom.

Zoptymalizowana współpraca człowiek-maszyna

U podstaw tego przejścia leży zapotrzebowanie na systemy sztucznej inteligencji, które mogą uczyć się na danych historycznych (Nadzorowana nauka) i stale dostosowywać się do wykrywania nowych ataków poprzez metody uczenia się bez nadzoru/ze wzmacnianiem. Połączenie tych metod będzie kluczem do wyprzedzenia ewoluujących możliwości sztucznej inteligencji atakujących.

Ogólnie rzecz biorąc, sztuczna inteligencja będzie miała kluczowe znaczenie dla obrońców, jeśli chodzi o skalowanie ich możliwości wykrywania i reagowania. Ludzka wiedza musi pozostać ściśle zintegrowana, aby móc badać złożone zagrożenia, kontrolować wyniki działania systemu sztucznej inteligencji i kierować strategicznymi strategiami obronnymi. Zoptymalizowany model współpracy człowieka z maszyną jest idealny na przyszłość.

W miarę gromadzenia się z biegiem czasu ogromnych ilości danych dotyczących bezpieczeństwa organizacje mogą zastosować analizę sztucznej inteligencji do tego zbioru danych telemetrycznych, aby uzyskać szczegółowe informacje na temat proaktywnego wykrywania zagrożeń i wzmacniania zabezpieczeń. Ciągłe uczenie się na podstawie poprzednich incydentów umożliwia predykcyjne modelowanie nowych wzorców ataków. W miarę rozwoju możliwości sztucznej inteligencji będzie rosła rola małych i wyspecjalizowanych modeli językowych dostosowanych do konkretnych przypadków użycia zabezpieczeń. Modele te mogą pomóc w dalszym zmniejszeniu „zmęczenia alertami” poprzez precyzyjną selekcję najważniejszych alertów do analizy przez człowieka. Autonomiczne reagowanie, wspomagane przez sztuczną inteligencję, można również rozszerzyć, aby obsłużyć więcej zadań związanych z bezpieczeństwem poziomu 1.

Jednakże ludzki osąd i krytyczne myślenie pozostaną niezbędne, zwłaszcza w przypadku incydentów o dużej wadze. Bez wątpienia przyszłość należy do zoptymalizowanej współpracy człowieka z maszyną, w której sztuczna inteligencja obsługuje przetwarzanie dużych ilości danych i rutynowe zadania, umożliwiając ekspertom skupienie się na badaniu złożonych zagrożeń i strategii bezpieczeństwa wysokiego poziomu.

Anand Naik, współzałożyciel i dyrektor generalny, Sekwencja, przez ponad 25 lat pracował w świecie korporacji w takich firmach jak Symantec, gdzie był dyrektorem naczelnym na Azję Południową, a wcześniej na stanowiskach technologicznych w IBM i Sun Microsystems.

Anand jest ekspertem w dziedzinie bezpieczeństwa cybernetycznego. Współpracował z kilkoma światowymi gigantami, pomagając im w definiowaniu strategii bezpieczeństwa IT, architektury i modeli realizacji. Należy do czołowych myślicieli w dziedzinie bezpieczeństwa cybernetycznego i brał udział w różnych programach politycznych wspólnie z rządem Indii i innymi organizacjami branżowymi. Jest odpowiedzialny za wizję produktu i operacje w Sequretek.