Lideri de opinie

Inteligența Artificială nu Repara Fundațiile de Securitate Slabe

mm
Publicat

Inteligența artificială (IA) îmbunătățește vizibilitatea, analiza și luarea deciziilor, dar eficacitatea sa este limitată de calitatea mediului subiacent

“Utilizează inteligență artificială?” a devenit întrebarea implicită în conversațiile despre produse de securitate, ridicată de liderii de securitate și repetată în aproape fiecare prezentare a furnizorilor.

Problema este că aceasta este întrebarea greșită. Faptul că un produs utilizează inteligență artificială nu înseamnă că va ajuta la consolidarea poziției de securitate a unei organizații. Inteligența artificială nu este un remediu universal pentru toate problemele de securitate cibernetică. Valoarea sa depinde de modul în care este aplicată, ceea ce începe cu definirea clară a problemei pe care doriți să o rezolvați.

O întrebare mai bună ar fi: “Care este lacuna de securitate specifică pe care încercăm să o închidem și această tehnologie bazată pe inteligență artificială ne ajută cu adevărat să o închidem?”

Ce face bine Inteligența Artificială

Inteligența artificială oferă valoare în securitate în trei domenii cheie. În primul rând, completează lacunele de date. Echipele de securitate extrag date din zeci de surse, inclusiv inventare de active învechite, sisteme de identitate care nu capturează toate relațiile de acces și telemetrie de rețea care ratează anumite trafic. Inteligența artificială poate infera contextul din seturi de date incomplete pentru a construi o imagine mai completă a activelor, identităților, conectivității și comportamentului de încărcare.

Inteligența artificială îmbunătățește, de asemenea, analiza la scară. Problema semnal-zgomot în operațiunile de securitate este severă și înrăutățită. Inteligența artificială poate corela evenimente din multiple surse de date, poate face să apară alertele care merită atenție și poate împinge zgomotul de joasă prioritate din câmpul de vedere al analistului. Acesta este domeniul în care majoritatea furnizorilor de securitate și-au concentrat investițiile în inteligență artificială. Echipele SOC petrec mai puțin timp triind alerte de joasă valoare și mai mult timp pe activități care necesită judecată umană.

În al treilea rând, odată ce inteligența artificială a îmbogățit datele și a analizat semnalele, poate ghida acțiunea prin recomandarea următorului pas, cum ar fi schimbarea politicii care va reduce riscul, acțiunea de răspuns care se potrivește modelului de comportament sau unde o configurație are nevoie de a fi modificată.

Inteligența artificială oferă cea mai mare valoare atunci când îmbunătățește contextul, analiza și luarea deciziilor. Ea întărește practicile de securitate puternice, dar nu poate compensa lipsa lor.

De ce Fundațiile Slabe Încă Eșuează

Inteligența artificială este limitată de intrările pe care o organizație le hrănește. Aceste intrări (de exemplu, telemetrie, arhitectură, politici, controale și unelte existente) definesc limitele a ceea ce inteligența artificială poate face. Îmbunătățiți aceste intrări, și inteligența artificială produce rezultate mai bune. Slăbiți-le, și ieșirea se degradează.

Fără contextul pentru a identifica o absență, inteligența artificială nu are nicio modalitate de a raporta una. Nu se va autosesiza pentru a examina un mediu și a semnala ceea ce lipsește. Nu va spune unei echipe de securitate că rețeaua lipsește de segmentare adecvată, că controalele de acces sunt prea permissive sau că lacunele de vizibilitate lasă segmente întregi ale mediului fără monitorizare.

Inteligența artificială nu scapă de principiul vechi al calității datelor, “gunoi la intrare, gunoi la ieșire”, ci îl întărește. Telemetrie slabă produce analiză slabă. Controalele defectuoase oferă inteligenței artificiale ceva de optimizat în direcția greșită. Vizibilitatea incompletă înseamnă că deciziile sunt luate dintr-o imagine parțială, și inteligența artificială face aceste decizii mai repede, nu mai precise. Viteza nu este o îmbunătățire atunci când informațiile subiacente sunt nefiabile.

De aceea, calitatea fundației contează înainte de orice capacitate de inteligență artificială. O fundație puternică include controale de identitate și acces care impun limite semnificative, cel mai mic privilegiu pentru utilizatori, încărcături, aplicații, date, microsegmentare pentru a limita mișcarea laterală și vizibilitate/observabilitate cuprinzătoare pe tot mediul. Acesta necesită, de asemenea, telemetrie fiabilă și o înțelegere clară a modului în care sistemele se conectează și depind unele de altele.

Nimic din toate acestea nu este nou. Acestea sunt aceleași discipline pe care echipele de securitate le-au discutat de-a lungul anilor, de la schimbarea către mobil la mutarea către cloud. Ceea ce s-a schimbat este costul neglijării lor. Inteligența artificială poate amplifica o fundație de securitate puternică, dar nu o poate înlocui.

Inteligența Artificială Agentică Schimbă Ecuția de Risc

Schimbarea nu este de la “fără inteligență artificială” la “cu inteligență artificială”; este de la inteligență artificială care asistă la inteligență artificială care acționează. Inteligența artificială tradițională analizează date, aduce la suprafață informații și recomandă următorul pas. Inteligența artificială agentică execută peste sisteme, date și fluxuri de lucru fără a aștepta o decizie umană.

Gândiți-vă astfel: implementarea a 100 de agenți de inteligență artificială peste noapte este, în esență, ca și cum ați angaja 100 de noi angajați care nu se deconectează niciodată, operează la viteza mașinilor și au acces la orice sistem permis de permisiunile lor. Dar, spre deosebire de angajații umani, acești agenți nu se opresc, nu pun întrebări și nu aplică judecată cu privire la când ar trebui să se utilizeze accesul. Ei execută în mod continuu, mișcându-se peste sisteme și atingând multiple aplicații exact așa cum li se permite.

Acesta este decalajul. Modelul dvs. de acces presupune comportament uman (de exemplu, acțiuni discrete, ritm mai lent și un anumit nivel de judecată). Agenții de inteligență artificială elimină aceste constrângeri. Așadar, dacă permisiunile sunt prea largi (sau inexacte), ele nu doar stau inactivate sau sunt utilizate incorect ocazional; ele sunt exercitate în mod continuu, la scară, pe fiecare sistem pe care îl ating.

Riscul se amplifică atunci când o organizație atribuie unui agent același profil de acces ca și un anumit utilizator, creează un clon, nu un proxy util. Acest clon are aceleași permisiuni largi ca și originalul, rulează în mod continuu și poate expune organizația la aceleași riscuri, indiferent dacă comportamentul său este malign sau doar defectuos.

În era inteligenței artificiale, identitatea, controlul accesului, cel mai mic privilegiu, segmentarea și observabilitatea nu mai sunt doar cele mai bune practici – ele sunt cerințe fundamentale de securitate. Un raport recent al Cloud Security Alliance prezentare dezvoltat împreună cu SANS, proiectul OWASP Gen AI Security și o comunitate de practicieni, întărește ideea că inteligența artificială agentică nu face aceste fundamentale învechite. Ea le face negociabile.

Ce Arată o Securitate Pregătită pentru Inteligența Artificială

Tratarea pregătirii pentru inteligența artificială ca o întrebare de achiziție și concentrarea asupra uneltelor bazate pe inteligență artificială pe care să le implementeze ignoră faptul că pregătirea pentru inteligența artificială este o problemă de arhitectură, guvernanță și controale. Întrebarea nu este care unelte să cumpărați, ci dacă mediul va susține funcționarea în siguranță a inteligenței artificiale.

Începeți cu vizibilitatea. Înainte de a implementa orice capacitate de inteligență artificială, echipele de securitate au nevoie de o imagine clară a ceea ce există în mediu: active, încărcături, identități, aplicații, date, modele de inteligență artificială, agenți și conexiuni terțe. Acest inventar nu este ceva pe care inteligența artificială îl poate construi pentru dvs. Este punctul de plecare de la care inteligența artificială are nevoie pentru a face ceva util.

De acolo, definiți problema. Identificați lacuna de control sau riscul specific. Decideți care rezultat are nevoie de îmbunătățire. Apoi întrebați dacă inteligența artificială poate ajuta la închiderea acestei lacune mai bine decât alte abordări. Organizațiile care inversează această ordine, începând cu un instrument de inteligență artificială și apoi căutând o problemă la care să o aplice, tind să genereze activitate fără a îmbunătăți securitatea.

Aplicarea principiilor de încredere zero pentru agenții de inteligență artificială este unde devine operațional. Instinctul este adesea de a defini ce nu ar trebui să facă agenții, dar acea listă va fi întotdeauna incompletă. O abordare mai fiabilă este să fiți prescriptivi cu privire la ceea ce poate face fiecare agent, să-i oferiți doar accesul necesar unei sarcini definite și să impuneți aceste limite pe tot parcursul stivei. Segmentați sistemele pe care agenții le pot accesa, astfel încât, dacă unul se comportă în moduri în afara limitelor definite sau un atacator îl exploatează, daunele rămân conținute.

În cele din urmă, o creștere a activității nu este un metric de succes. Inteligența artificială va crește volumul acțiunilor pe care le ia o echipă de securitate, dar acest lucru nu înseamnă că îmbunătățește securitatea. Un panou de control care prezintă multă activitate nu semnalează că inteligența artificială livrează valoare.

Măsurați rezultatele, cum ar fi dacă volumul alertelor scade în moduri care reflectă un semnal real și nivelul de risc scade mai rapid în domeniile care contează cel mai mult. Asigurați-vă că recomandările de politici întăresc controalele, permit echipei de securitate să conțină incidentele mai repede și să permită analiștilor SOC să petreacă mai mult timp cu activități care necesită judecată umană.

Fundația Vine Întâi

Inteligența artificială nu este fundația unei poziții de securitate puternice. Ea este un multiplicator, și ca orice multiplicator, valoarea sa depinde în întregime de ceea ce se aplică.

Organizațiile care au construit o arhitectură solidă cu vizibilitate clară, cel mai mic privilegiu impus, segmentare și controale de identitate puternice pot utiliza inteligența artificială pentru a îmbunătăți contextul, a accelera analiza și a acționa pe baza unor informații mai bune. Cei care nu au făcut acest lucru vor descoperi că inteligența artificială îi mișcă mai repede în direcția greșită, optimizând controale defectuoase și aducând la suprafață informații dintr-o imagine incompletă.

Întrebarea care trebuie pusă înainte de a face orice investiție în inteligență artificială este aceeași care ar trebui să conducă fiecare decizie de securitate: Ce problemă încercăm să o rezolvăm? Dacă răspunsul este clar și arhitectura care o susține este în loc, atunci inteligența artificială poate face soluția mai eficientă. Dacă răspunsul este vag sau fundația este slabă, adăugarea inteligenței artificiale nu va schimba acest lucru. Va face doar lacuna mai greu de văzut.

Inteligența artificială nu va repara o fundație de securitate slabă. Va face doar crăpăturile vizibile mai repede.

mm

Raghu Nandakumara este Vicepreședinte pentru Strategia Industriei la Illumio, compania de conținere a breșelor de securitate. Cu sediul în Londra, Regatul Unit, el ajută clienții și prospectele din diverse industrii să construiască reziliență și să accelereze rezultatele Zero Trust cu Illumio Segmentation.

Anterior, Raghu a petrecut 15 ani la Citibank, unde a ocupat diverse roluri de operațiuni și inginerie de securitate a rețelei. Cel mai recent, el a servit ca Vicepreședinte Senior, unde a fost responsabil pentru definirea strategiei, ingineriei și livrării de soluții pentru a securiza mediile cloud private, publice și hibride ale Citi. Raghu deține o diplomă de licență în matematică și informatică de la Universitatea Cambridge și o diplomă de master în calcul avansat de la Imperial College London.