Лидеры мнений

Искусственный интеллект не исправит сломанные основы безопасности

mm
Опубликовано

Искусственный интеллект улучшает видимость, анализ и принятие решений, но его эффективность ограничена качеством окружающей среды

“Использует ли он искусственный интеллект?” стало стандартным вопросом в разговорах о продуктах безопасности, задаваемым лидерами безопасности и повторяющимся почти в каждой презентации поставщика.

Проблема в том, что это неправильный вопрос. То, что продукт использует искусственный интеллект, не означает, что он поможет укрепить безопасность организации. Искусственный интеллект не является панацеей от всех проблем кибербезопасности. Его ценность зависит от того, как он применяется, что начинается с четкого определения проблемы, которую вы хотите решить.

Лучший вопрос: “Какая конкретная проблема безопасности мы пытаемся решить, и может ли эта технология, основанная на искусственном интеллекте, действительно помочь решить ее?”

Что делает искусственный интеллект хорошо

Искусственный интеллект приносит пользу в безопасности в трех ключевых областях. Во-первых, он заполняет пробелы в данных. Команды безопасности извлекают данные из десятков источников, включая устаревшие инвентаризации активов, системы идентификации, которые не отражают все отношения доступа, и сетевую телеметрию, которая пропускает определенный трафик. Искусственный интеллект может сделать вывод о контексте из неполных наборов данных, чтобы построить более полную картину активов, идентификации, связности и поведения рабочих нагрузок.

Искусственный интеллект также улучшает анализ в масштабе. Проблема сигнал-шум в операциях безопасности очень серьезна и ухудшается. Искусственный интеллект может коррелировать события из нескольких источников данных, выделять оповещения, которые заслуживают внимания, и удалять низкоприоритетный шум из поля зрения аналитика. Это то, на что большинство поставщиков безопасности сосредоточили свои инвестиции в искусственный интеллект. Команды SOC тратят меньше времени на тряску низкоценных оповещений и больше времени на действия, требующие человеческого суждения.

Третьим, после того, как искусственный интеллект обогатил данные и проанализировал сигналы, он может руководить действием, рекомендуя следующий шаг, такой как изменение политики, которое снизит риск, или изменение конфигурации, которое необходимо изменить.

Искусственный интеллект приносит наибольшую пользу, когда он улучшает контекст, анализ и принятие решений. Он усиливает сильные практики безопасности, но не может компенсировать отсутствующие.

Почему слабые основы все еще терпят неудачу

Искусственный интеллект ограничен входными данными, которые организация ему предоставляет. Эти входные данные (например, телеметрия, архитектура, политики, контроли и существующие инструменты) определяют границы того, что может сделать искусственный интеллект. Если входные данные точны, искусственный интеллект производит более точные результаты. Если входные данные слабы, выходные данные ухудшаются.

Без контекста для определения отсутствия, искусственный интеллект не может сообщить об этом. Он не будет самостоятельно исследовать среду и выделять, что отсутствует. Он не скажет команде безопасности, что сеть не имеет достаточной сегментации, что контроли доступа слишком пермиссивны или что пробелы видимости оставляют целые сегменты среды без мониторинга.

Искусственный интеллект не избегает старого принципа качества данных “мусор на входе, мусор на выходе”, он его укрепляет. Слабая телеметрия производит слабый анализ. Неправильные контроли дают искусственному интеллекту что-то, чтобы оптимизировать в неправильном направлении. Неполная видимость означает, что решения принимаются на основе неполной картины, и искусственный интеллект принимает эти решения быстрее, а не более точно. Скорость не является улучшением, когда основная информация ненадежна.

Поэтому качество основы имеет значение до того, как любая возможность искусственного интеллекта вступит в игру. Сильная основа включает в себя идентификацию и контроль доступа, которые обеспечивают значимые границы, наименьшие привилегии для пользователей, рабочих нагрузок, приложений, данных, микросегментацию для ограничения движения и полную видимость/наблюдаемость во всей среде. Это также требует надежной телеметрии и четкого понимания того, как системы взаимосвязаны и зависят друг от друга.

Ничего нового в этом нет. Это те же самые дисциплины, о которых команды безопасности говорили годами, от сдвига к мобильным устройствам до перехода к облаку. То, что изменилось, – это стоимость пренебрежения ими. Искусственный интеллект может усилить сильную основу безопасности, но он не может заменить ее.

Агентный искусственный интеллект меняет уравнение риска

Сдвиг не от отсутствия искусственного интеллекта к его наличию, а от искусственного интеллекта, который помогает, к искусственному интеллекту, который действует. Традиционный искусственный интеллект анализирует данные, выделяет идеи и рекомендует следующие шаги. Агентный искусственный интеллект выполняет действия во всей системе, данных и рабочих процессов без ожидания решения человека.

Представьте себе это так: развертывание 100 агентов искусственного интеллекта за одну ночь по сути равно тому, как нанять 100 новых сотрудников, которые никогда не выключаются, работают с машинной скоростью и имеют доступ к любой системе, на которую разрешают их разрешения. Но, в отличие от человеческих сотрудников, эти агенты не паузируют, не сомневаются и не применяют суждение о том, когда этот доступ должен быть использован. Они выполняют действия непрерывно, перемещаясь по системам и трогая множество приложений точно так, как им разрешено.

Пробел возникает, когда модель доступа предполагает человеческое поведение (например, дискретные действия, более медленный темп и некоторый уровень суждения). Агенты искусственного интеллекта удаляют эти ограничения. Итак, если разрешения слишком широки (или неточны), они не просто сидят бездейственно или неправильно используются время от времени; они постоянно используются, в масштабе, во всех системах, к которым они имеют доступ.

Риск усугубляется, когда организация присваивает агенту тот же профиль доступа, что и конкретному пользователю, они создают клон, а не полезного прокси. Этот клон имеет те же широкие разрешения, что и оригинал, работает непрерывно и может подвергнуть организацию тем же рискам, будь то злонамеренное или неправильно сконфигурированное поведение.

В эпоху искусственного интеллекта идентификация, контроль доступа, наименьшие привилегии, сегментация и наблюдаемость больше не являются просто лучшими практиками – они являются основными требованиями безопасности. Недавний брифинг Cloud Security Alliance, разработанный с SANS, проектом OWASP Gen AI Security и сообществом практиков, подкрепляет идею о том, что агентный искусственный интеллект не делает эти основы устаревшими. Он делает их незаменимыми.

Что такое безопасность, готовая к искусственному интеллекту

Относиться к готовности искусственного интеллекта как к вопросу закупок и сосредотачиваться на том, какие инструменты, основанные на искусственном интеллекте, следует реализовать, игнорирует тот факт, что готовность искусственного интеллекта является вопросом архитектуры, управления и контроля. Вопрос не в том, какие инструменты купить, а в том, будет ли среда поддерживать безопасную работу искусственного интеллекта.

Начните с видимости. Прежде чем развертывать любую возможность искусственного интеллекта, команды безопасности нуждаются в четкой картине того, что существует в среде: активы, рабочие нагрузки, идентификация, приложения, данные, модели искусственного интеллекта, агенты и подключения третьих сторон. Этот инвентарь не является чем-то, что может построить искусственный интеллект для вас. Это начальная точка, которая необходима искусственному интеллекту для выполнения чего-либо полезного.

Далее определите проблему. Определите пробел в контроле или конкретный риск. Решите, какой результат нужно улучшить. Затем спросите, может ли искусственный интеллект помочь закрыть этот пробел лучше, чем другие подходы. Организации, которые меняют этот порядок, начиная с инструмента искусственного интеллекта, а затем ища проблему, к которой его можно применить, склонны генерировать активность без улучшения безопасности.

Применение принципов нулевого доверия к агентам искусственного интеллекта – это то, где это становится операционным. Инстинкт часто заключается в том, чтобы определить, что агенты не должны делать, но этот список всегда будет неполным. Более надежный подход заключается в том, чтобы быть описательным относительно того, что может делать каждый агент, давать ему только тот доступ, который требуется для определенной задачи, и обеспечивать эти ограничения на каждом уровне стека. Сегментируйте системы, к которым могут получить доступ агенты, так, чтобы если один агент ведет себя не так, как определено, или если злоумышленник использует его, ущерб оставался в пределах.

Наконец, увеличение активности не является метрикой успеха. Искусственный интеллект увеличит объем действий, которые выполняет команда безопасности, но это не означает, что он улучшает безопасность. Панель, которая представляет много активности, не сигнализирует о том, что искусственный интеллект доставляет ценность.

Измеряйте результаты, такие как снижение объема оповещений, отражающее реальный сигнал, и снижение уровня риска в областях, которые имеют наибольшее значение. Обеспечьте, чтобы рекомендации по политике укрепляли контроли, позволяли команде безопасности содержать инциденты быстрее и позволяли аналитикам SOC тратить больше времени на работу, требующую человеческого суждения.

Основы приходят первыми

Искусственный интеллект не является основой сильной безопасности. Он является умножителем, и как любой умножитель, его ценность зависит полностью от того, к чему он применяется.

Организации, которые построили прочную архитектуру с четкой видимостью, обеспечили наименьшие привилегии, сегментацию и сильные механизмы идентификации и контроля доступа, могут использовать искусственный интеллект для улучшения контекста, ускорения анализа и принятия решений на основе более точной информации. Те, кто этого не сделал, обнаружат, что искусственный интеллект движет их быстрее в неправильном направлении, оптимизируя ошибочные контроли и выделяя идеи из неполной картины.

Вопрос, который должен быть задан до того, как сделать любые инвестиции в искусственный интеллект, – это тот же, который должен руководить каждым решением по безопасности: какая проблема мы пытаемся решить? Если ответ ясен, и архитектура для поддержки его есть, то искусственный интеллект может сделать решение более эффективным. Если ответ неясен или основа слаба, добавление искусственного интеллекта не изменит этого. Он просто сделает пробел более трудным для обнаружения.

Искусственный интеллект не исправит сломанную основу. Он просто сделает трещины видимыми быстрее.

mm

Рагху Нандакумара является вице-президентом по стратегии отрасли в компании Illumio, специализирующейся на содержании нарушений. Базируясь в Лондоне, Великобритания, он помогает клиентам и потенциальным клиентам из различных отраслей xây dựng устойчивость и ускорять результаты Zero Trust с помощью сегментации Illumio.

Предыдущие 15 лет Рагху провел в Citibank, где он занимал ряд ролей в области сетевой безопасности, операций и инженерии. В последнее время он занимал должность старшего вице-президента, где он был ответственным за определение стратегии, инженерии и доставки решений для защиты частных, публичных и гибридных облачных сред Citi. Рагху имеет степень бакалавра по математике и информатике в Университете Кембриджа и степень магистра по передовым вычислениям в Имперском колледже Лондона.