Connect with us

Przyszłość cyberbezpieczeństwa: AI, automatyzacja i czynnik ludzki

Cyberbezpieczeństwo

Przyszłość cyberbezpieczeństwa: AI, automatyzacja i czynnik ludzki

mm
Published
Updated

W ciągu ostatniej dekady, wraz z eksplozywnym rozwojem technologii informacyjnych, mroczna rzeczywistość zagrożeń cyberbezpieczeństwa również ewoluowała dramatycznie. Ataki cybernetyczne, które kiedyś były napędzane głównie przez rozwydrzonych hakerek szukających sławy lub zysku finansowego, stały się o wiele bardziej wyrafinowane i ukierunkowane. Od szpiegostwa sponsorowanego przez państwo po kradzież korporacyjną i tożsamości, motywy stojące za przestępczością cybernetyczną są coraz bardziej złowieszcze i niebezpieczne. Nawet jeśli zysk finansowy pozostaje ważnym powodem przestępczości cybernetycznej, został on przysłonięty przez bardziej nikczemne cele, takie jak kradzież krytycznych danych i aktywów. Atakujący cybernetycznie wykorzystują na szeroką skalę najnowocześniejsze technologie, w tym sztuczną inteligencję, w celu infiltracji systemów i prowadzenia działań malwersatywnych. W Stanach Zjednoczonych Federalne Biuro Śledcze (FBI) zgłosiło ponad 800 000 skarg związanych z przestępczością cybernetyczną w 2022 roku, z łącznymi stratami przekraczającymi 10 miliardów dolarów, co jest wyższe niż 6,9 miliarda dolarów w 2021 roku, według Internet Crime Complaint Center biura.

Wraz z ewolucją krajobrazu zagrożeń, czas dla organizacji, aby przyjąć wieloaspektowe podejście do cyberbezpieczeństwa. Podejście powinno dotyczyć sposobu, w jaki atakujący uzyskują dostęp; zapobiegania pierwotnej kompromitacji; szybkiego wykrywania incydentów; oraz umożliwienia szybkiej reakcji i likwidacji. Ochrona aktywów cyfrowych wymaga wykorzystania mocy sztucznej inteligencji i automatyzacji, jednocześnie zapewniając, że wykwalifikowani analitycy ludzcy pozostają integralną częścią postawy bezpieczeństwa.

Ochrona organizacji wymaga wielowarstwowej strategii, która uwzględnia różne punkty wejścia i wektory ataku używane przez przeciwników. Ogólnie, są one podzielone na cztery główne kategorie: 1) Ataki sieciowe i internetowe; 2) Ataki oparte na zachowaniu użytkownika i tożsamości; 3) Ataki na jednostki docelowe w chmurze i hybrydowych środowiskach; oraz 4) Oprogramowanie szkodliwe, w tym oprogramowanie ransomware, zaawansowane i trwałe zagrożenia, oraz inne szkodliwe kod.

Wykorzystanie AI i automatyzacji

Wdrożenie modeli AI i uczenia maszynowego (ML) dostosowanych do każdej z tych klas ataków jest kluczowe dla proaktywnego wykrywania i zapobiegania zagrożeniom. Dla ataków sieciowych i internetowych, modele muszą identyfikować zagrożenia, takie jak phishing, eksploatacja przeglądarki i ataki typu Distributed Denial-of-Service (DDoS) w czasie rzeczywistym. Analiza zachowania użytkownika i jednostki z wykorzystaniem AI może wykryć nietypowe działania wskazujące na kompromitację konta lub nadużycie zasobów systemowych i danych. Wreszcie, analiza oprogramowania szkodliwego z wykorzystaniem AI może szybko rozpoznać nowe szczepy, wskazać szkodliwe zachowania i złagodzić wpływ zagrożeń opartych na plikach. Wdrożenie modeli AI i ML w całym spektrum powierzchni ataku pozwala organizacjom znacznie poprawić ich zdolność do samodzielnego identyfikowania ataków na wczesnym etapie, zanim eskalują w pełnowymiarowe incydenty.

Gdy modele AI/ML zidentyfikują potencjalną aktywność zagrożenia w różnych wektorach ataku, organizacje stają przed kolejnym kluczowym wyzwaniem – zrozumieniem częstych alertów i rozróżnieniem krytycznych incydentów od szumu. Z tak wieloma punktami danych i wykryciami, zastosowanie kolejnej warstwy AI/ML do skorelowania i priorytetyzacji najpilniejszych alertów, które wymagają dalszego zbadania i reakcji, staje się kluczowe. Zmęczenie alertami jest coraz bardziej krytycznym problemem, który wymaga rozwiązania.

AI może odegrać kluczową rolę w tym procesie triażu alertów, konsumując i analizując duże ilości telemetrii bezpieczeństwa, łącząc wglądy z wielu źródeł wykrywania, w tym wywiadu zagrożeń, i prezentując tylko incydenty o najwyższej wierności do reakcji. To redukuje obciążenie analityków ludzkich, którzy w przeciwnym razie byliby zalewani powszechnymi fałszywymi pozytywami i alertami o niskiej jakości, pozbawionymi odpowiedniego kontekstu, aby określić ciężkość i następne kroki.

Chociaż aktorzy zagrożeń aktywnie wdrożyli AI, aby napędzać ataki, takie jak DDoS, ukierunkowane phishing i oprogramowanie ransomware, strona obronna pozostawała w tyle pod względem adopcji AI. Jednak sytuacja ta zmienia się szybko, ponieważ dostawcy bezpieczeństwa rywalizują o rozwój zaawansowanych modeli AI/ML, które mogą wykryć i zablokować te zagrożenia napędzane przez AI.

Przyszłość obronnej AI leży w wdrożeniu specjalistycznych małych modeli językowych dostosowanych do konkretnych typów ataków i przypadków użycia, zamiast polegania wyłącznie na dużych, generatywnych modelach AI. Duże modele językowe, z drugiej strony, pokazują więcej obietnic dla operacji cyberbezpieczeństwa, takich jak automatyzacja funkcji help desk, pobieranie standardowych procedur operacyjnych i wspomaganie analityków ludzkich. Ciężka praca dokładnego wykrywania zagrożeń i zapobiegania będzie najlepiej obsługiwana przez wyspecjalizowane małe modele AI/ML.

Rola ekspertyzy ludzkiej

Jest kluczowe, aby wykorzystywać AI/ML obok automatyzacji procesów, aby umożliwić szybką likwidację i zawężenie zweryfikowanych zagrożeń. Na tym etapie, wyposażone w incydenty o wysokiej pewności, systemy AI mogą uruchomić automatyczne odpowiedzi zgodnie z każdym konkretnym typem ataku – blokując adresy IP, izolując skompromitowane hosty, egzekwując adaptacyjne zasady i więcej. Jednak ekspertyza ludzka pozostaje integralna, walidując dane wyjściowe AI, stosując myślenie krytyczne i nadzorując autonomiczne działania odpowiedzi, aby zapewnić ochronę bez zakłóceń biznesowych.

Zrozumienie nuansów jest tym, co ludzie przynoszą do stołu. Ponadto, analiza nowych i złożonych zagrożeń oprogramowania szkodliwego wymaga kreatywności i umiejętności rozwiązywania problemów, które mogą być poza zasięgiem maszyn.

Ekspertyza ludzka jest niezbędna w kilku kluczowych obszarach:

  • Walidacja i kontekstualizacja: Systemy AI, pomimo ich zaawansowania, mogą czasem generować fałszywe pozytywy lub błędnie interpretować dane. Analitycy ludzcy są potrzebni do walidacji danych wyjściowych AI i dostarczenia niezbędnego kontekstu, którego AI mogło pominąć. To zapewnia, że odpowiedzi są odpowiednie i proporcjonalne do rzeczywistego zagrożenia.
  • Złożone śledztwo w sprawie zagrożeń: Niektóre zagrożenia są zbyt złożone, aby AI mogło je samodzielnie obsłużyć. Eksperci ludzcy mogą zagłębić się w te incydenty, wykorzystując swoje doświadczenie i intuicję, aby odkryć ukryte aspekty zagrożenia, które AI mogło przegapić. To ludzkie spojrzenie jest kluczowe dla zrozumienia pełnego zakresu zaawansowanych ataków i opracowania skutecznych kontrataków.
  • Strategiczne podejmowanie decyzji: Podczas gdy AI może obsłużyć rutynowe zadania i przetwarzanie danych, strategiczne decyzje dotyczące ogólnej postawy bezpieczeństwa i długoterminowych strategii obronnych wymagają ludzkiej oceny. Eksperci mogą interpretować dane wyjściowe AI, aby podejmować świadome decyzje dotyczące alokacji zasobów, zmian polityki i strategicznych inicjatyw.
  • Ciągłe doskonalenie: Analitycy ludzcy przyczyniają się do ciągłego doskonalenia systemów AI, dostarczając informacje zwrotne i dane szkoleniowe. Ich spostrzeżenia pomagają udoskonalić algorytmy AI, czyniąc je bardziej dokładnymi i skutecznymi w czasie, aby rozwiązywać nowe zagrożenia.

Optymalne współpracowanie człowieka i maszyny

Podstawą tej transformacji jest potrzeba systemów AI, które mogą uczyć się z danych historycznych (uczenie nadzorowane) i ciągle adaptować się do wykrywania nowych ataków za pomocą podejść unsupervised/reinforcement learning. Połączenie tych metod będzie kluczowe do pozostania przed zdolnościami AI atakujących.

Ogólnie, AI będzie kluczowe dla obrońców, aby zwiększyć swoje możliwości wykrywania i reagowania. Ekspertyza ludzka musi pozostać ściśle zintegrowana, aby badać złożone zagrożenia, audytować dane wyjściowe systemów AI i kierować strategicznymi strategiami obronnymi. Optymalny model współpracy człowieka i maszyny jest idealny dla przyszłości.

Ponieważ ogromne ilości danych bezpieczeństwa gromadzą się w czasie, organizacje mogą stosować analitykę AI do tego zbioru telemetrii, aby wywnioskować spostrzeżenia dla proaktywnego polowania na zagrożenia i wzmacniania obron. Ciągłe uczenie się z poprzednich incydentów pozwala na modelowanie predykcyjne nowych wzorców ataków. Wraz z postępem możliwości AI, rola małych i specjalistycznych modeli językowych dostosowanych do konkretnych przypadków użycia bezpieczeństwa będzie rosła. Te modele mogą pomóc dalej zmniejszyć „zmęczenie alertami”, dokładnie triażując najistotniejsze alerty do analizy ludzkiej. Autonomiczna odpowiedź, napędzana przez AI, może również rozszerzyć się, aby obsłużyć więcej zadań bezpieczeństwa poziomu 1.

Jednak ludzka ocena i myślenie krytyczne pozostaną niezastąpione, szczególnie w przypadku incydentów o wysokiej wadze. Niezaprzeczalnie, przyszłość jest jedną z optymalnego współpracowania człowieka i maszyny, gdzie AI zajmuje się przetwarzaniem ogromnych ilości danych i zadaniami rutynowymi, umożliwiając ekspertom ludzkim koncentrowanie się na badaniu złożonych zagrożeń i strategii bezpieczeństwa na wysokim poziomie.

Related Topics:
mm

Anand Naik, współzałożyciel i CEO, Sequretek, pracował w świecie korporacji przez ponad 25 lat w firmach takich jak Symantec, gdzie był dyrektorem generalnym dla Azji Południowej, oraz wcześniej w IBM i Sun Microsystems na stanowiskach związanych z technologią.

Anand jest ekspertem w dziedzinie Cyber Security. Pracował z kilkoma globalnymi gigantami, pomagając im definiować strategię, architekturę i modele wykonawcze bezpieczeństwa IT. Jest jednym z czołowych liderów myśli w dziedzinie Cyber Security i uczestniczył w różnych programach politycznych z rządem Indii i innymi organizacjami przemysłowymi. Jest odpowiedzialny za wizję produktu i operacje w Sequretek.