Connect with us

De ce AI face ca este mai greu ca oricând să știți ce să vă faceți griji în ceea ce privește securitatea cibernetică

Securitate cibernetică

De ce AI face ca este mai greu ca oricând să știți ce să vă faceți griji în ceea ce privește securitatea cibernetică

mm
Published
Updated

Inteligența artificială a transformat securitatea cibernetică. Centrele de operațiuni de securitate procesează acum mai multe telemetrie, detectează anomalii mai rapid și automatizează investigațiile repetitive. Pe hârtie, acest lucru ar trebui să reprezinte o eră de aur pentru apărarea cibernetică.

În practică, multe echipe se simt mai copleșite ca niciodată.

Capacitățile de detectare s-au îmbunătățit dramatic, dar claritatea nu. Paradoxul securității cibernetice moderne este că o vizibilitate mai bună duce adesea la o incertitudine mai mare. Când totul pare suspect, a determina ce este cu adevărat important devine provocarea centrală.

Mai multă detectare nu înseamnă o protecție mai bună

Uneltele de securitate bazate pe IA generează alerte la o scară fără precedent. Analitica comportamentală, detectarea endpoint, monitorizarea cloud, detectarea anomaliilor de identitate și motoarele de vânătoare de amenințări scanează constant pentru deviații de la activitatea de bază.

Rezultatul este o avalanșă de alerte.

Cercetările arată că echipele se confruntă cu aproximativ 4,484 de alerte pe zi, și din cauza constrângerilor de resurse, un procent semnificativ sunt ignorate. Acest volum ilustrează decalajul dintre capacitatea de detectare și capacitatea de răspuns. IA a crescut vizibilitatea, dar a crescut și zgomotul.

Pentru liderii de securitate, acest lucru creează o presiune operațională. Analistii petrec ore valoroase investigând evenimente care, în final, prezintă un risc minim. Între timp, amenințările cu impact ridicat se pot ascunde printre semnalele cu prioritate mai scăzută.

Problema prioritizării

Problema nu este sărăcia de date. Este sărăcia de context.

Platformele de securitate sunt excelente la identificarea anomaliilor. Sunt mai puțin eficiente la explicarea căror anomalii sunt cele mai importante într-un mediu de afaceri specific. O vulnerabilitate semnalată pe un server de dezvoltare nu este echivalentă cu aceeași vulnerabilitate expusă pe un sistem de plată cu față către client.

Aici devine strategic importantă o platformă modernă de intelligence cu privire la amenințări. În loc să agregheze pur și simplu alerte, ea corelează fluxurile externe de amenințări cu contextul intern al activelor, disponibilitatea exploatării și datele privind expunerea. Răspunde la o întrebare mai semnificativă: care alerte se intersectează cu campaniile active de amenințări și activele critice?

Prioritizarea transformă volumul în focalizare. Fără aceasta, echipele recurg la triajul reactiv, adesea condus de alerta care sosește prima.

IA a ridicat pariul pe ambele părți

De asemenea, este important să recunoaștem că IA nu este exclusivă pentru apărători. Așa cum a subliniat recent acoperirea, IA a împuternicit și partea cealaltă a acestui câmp de luptă cibernetic. Actorii amenințării folosesc acum modele de învățare automată pentru a automatiza recunoașterea, a crea campanii de phishing foarte convingătoare și a adapta dinamic comportamentul malware-ului.

Modelele de limbaj mare pot genera e-mailuri de phishing localizate la scară. Uneltele de scanare automate pot identifica resursele cloud defecte în minute. Campaniile de colectare a credențialelor sunt rafinate continuu pe baza modelelor de răspuns.

Acest lucru accelerează cronologia. Intervalul dintre compromisul inițial și mișcarea laterală se micșorează. Echipele defensive trebuie să interpreteze și să acționeze asupra semnalelor mai repede ca niciodată.

Dezechilibrul devine clar atunci când automatizarea amplifică viteza de atac, în timp ce echipele defensive rămân limitate de lățimea de bandă a răspunsului uman.

Iluzia acoperirii comprehensive

Multe organizații încearcă să rezolve oboseala alertelor prin adăugarea de unelte suplimentare. Mai multe motoare de detectare, mai multe tablouri de bord, mai multe fluxuri. Presupunerea este că o vizibilitate mai mare va reduce riscul.

În realitate, instrumentarea fragmentată crește adesea complexitatea. Console separate produc alerte separate fără un context unificat. Analistii fac referințe manuale între datele sistemelor, prelungind ciclurile de investigație.

Întrebarea strategică se schimbă de la „Cum detectăm mai mult?” la „Cum interpretăm ceea ce detectăm?”

O abordare matură se concentrează pe corelarea surselor de telemetrie. Activitatea de rețea, anomaliile de identitate, semnalele endpoint și datele privind vulnerabilitățile trebuie să converge într-un model de risc unificat. Această convergență permite echipelor de securitate să distingă între zgomotul rutin și activitatea de atac coordonat.

Contextul este noul diferențiator

Programele de securitate de înaltă performanță se bazează din ce în ce mai mult pe inteligența contextuală, mai degrabă decât pe alerte izolate. Contextul include criticitatea activelor, impactul asupra afacerii, probabilitatea de exploatare și campaniile active de amenințări.

De exemplu, o vulnerabilitate care este teoretic severă, dar nu este exploatată activ, poate necesita monitorizare în loc de remediere imediată. În schimb, o vulnerabilitate de severitate moderată legată de o campanie în desfășurare care vizează organizații similare necesită acțiune rapidă.

Fluxurile de informații despre amenințări oferă această perspectivă externă. Atunci când sunt combinate cu datele interne privind expunerea, ele creează o hartă de remediere prioritară, mai degrabă decât o listă de alerte neconectate.

Aici ar trebui să ajute IA, nu să copleșească. În loc să producă mai multe alerte, modelele IA ar trebui să aducă la suprafață corelații pe care analiștii umani le-ar putea pierde sub presiunea timpului.

De la detectare la gestionarea expunerii

Conversația în securitatea cibernetică se deplasează treptat către gestionarea expunerii. În loc de a se concentra exclusiv pe identificarea atacurilor după ce au început, organizațiile hărțuesc și reduc căile exploatabile înainte de a fi declanșate.

Cadrul de gestionare continuă a expunerii evaluează modul în care vulnerabilitățile, configurațiile greșite și permisiunile de identitate se intersectează. Simulează potențialele căi de atac pentru a determina unde se acumulează riscul.

O platformă de informații despre amenințări integrată în acest model îmbunătățește acuratețea. Ajută la determinarea dacă o expunere este teoretică sau țintită activ în sălbăticie. Această distincție afectează direct deciziile de prioritizare.

Reducerea expunerii în mod proactiv este adesea mai impactantă decât investigarea unui fals pozitiv.

Factorul uman

În spatele fiecărei cozi de alerte se află analiști care iau decizii sub presiune. Oboseala alertelor nu este doar o inconveniență operațională. Este o problemă de durabilitate umană.

Când profesioniștii procesează mii de alerte de valoare scăzută, oboseala cognitivă crește. Calitatea deciziilor scade. Epuizarea crește. Păstrarea talentelor devine dificilă într-un already constrâns de piață a forței de muncă.

Se aștepta ca IA să reducă această povară. În unele medii, a făcut-o. În altele, a multiplicat doar volumul de semnal fără a îmbunătăți claritatea.

Următoarea fază a integrării IA trebuie să pună accentul pe calitate în detrimentul cantității. Modelele ar trebui să fie ajustate pentru a minimiza falsele pozitive și a îmbunătăți precizia notării riscului.

Ce înseamnă maturitatea în 2026

Maturitatea în securitatea cibernetică în 2026 nu va fi definită de câte alerte poate genera o companie. Va fi definită de cât de rapid și de precis poate converti informațiile în acțiune.

Organizațiile care integrează inteligența contextuală a amenințărilor, analiza expunerii și prioritizarea automată într-un sistem coerent vor depăși cele care se bazează doar pe detectare. Scopul nu este să elimine complet alertele, ci să se asigure că fiecare alertă reprezintă un risc semnificativ.

Echipele de securitate au nevoie de decizii mai puține, dar cu încredere mai mare. Au nevoie de vizibilitate care clarifică, mai degrabă decât ascunde.

IA rămâne centrală în această transformare. Atunci când este implementată strategic, reduce suprasarcina cognitivă și ascute prioritizarea. Atunci când este implementată fără integrare, amplifică haosul.

Diferența constă în arhitectură, nu în algoritm singur.

mm

David Balaban este un cercetător în domeniul securității calculatoarelor, cu peste 17 ani de experiență în analiza malware-ului și evaluarea software-ului antivirus. David conduce proiectele MacSecurity.net și Privacy-PC.com care prezintă opinii ale experților pe probleme actuale de securitate a informației, incluzând ingineria socială, malware, testarea de penetrare, inteligența amenințărilor, confidențialitatea online și hacking-ul cu pălărie albă. David are o puternică experiență în soluționarea problemelor de malware, cu o focalizare recentă pe măsurile de contracarare a ransomware-ului.