Будущее кибербезопасности: ИИ, автоматизация и человеческий фактор

В прошлом десятилетии, вместе с взрывным ростом информационных технологий, темная реальность угроз кибербезопасности также эволюционировала драматически. Кибератаки, которые ранее были обусловлены в основном хулиганами-хакерами, ищущими известность или финансовую выгоду, стали намного более сложными и целенаправленными. От шпионажа, спонсируемого государством, до корпоративной и кражи личности, мотивы, стоящие за киберпреступностью, становятся все более зловещими и опасными. Даже если финансовая выгода остается важной причиной киберпреступности, она была затмевается более зловещими целями похищения критически важных данных и активов. Кибератакеры обширно используют передовые технологии, включая искусственный интеллект, для проникновения в системы и совершения злонамеренных действий. В США Федеральное бюро расследований (ФБР) сообщило о более чем 800 000 жалоб, связанных с киберпреступностью, поданных в 2022 году, с общими убытками более 10 миллиардов долларов, превысив общую сумму 2021 года в 6,9 миллиарда долларов, согласно Центру жалоб на преступления в Интернете бюро.

С учетом того, что ландшафт угроз быстро эволюционирует, организациям пора принять многосторонний подход к кибербезопасности. Подход должен заключаться в том, чтобы решить, как атакующие получают доступ; предотвратить первоначальное компрометацию; быстро обнаружить вторжения; и обеспечить быстрое реагирование и устранение. Защита цифровых активов требует использования потенциала ИИ и автоматизации, гарантируя, что квалифицированные человеческие аналитики остаются неотъемлемой частью позиции безопасности.

Защита организации требует многослойной стратегии, учитывающей различные точки входа и векторы атак, используемые противниками. В целом, они делятся на четыре основные категории: 1) Веб- и сетевые атаки; 2) Атаки, основанные на поведении пользователей и идентификации; 3) Атаки на сущности, нацеленные на облачные и гибридные среды; и 4) Малварь, включая программы-вымогатели, продвинутые постоянные угрозы и другие вредоносные коды.

Использование ИИ и автоматизации

Развертывание ИИ и моделей машинного обучения (МО), адаптированных к каждому из этих классов атак, имеет решающее значение для проактивного обнаружения и предотвращения угроз. Для веб- и сетевых атак модели должны выявлять угрозы, такие как фишинг, эксплуатация браузера и распределенные атаки на отказ в обслуживании (DDoS) в режиме реального времени. Аналитика поведения пользователей и сущностей с использованием ИИ может обнаружить аномальную активность, указывающую на компрометацию учетной записи или злоупотребление системными ресурсами и данными. Наконец, анализ малвари, основанный на ИИ, может быстро классифицировать новые штаммы, определить злонамеренное поведение и смягчить воздействие файловых угроз. Реализуя ИИ и модели МО по всему спектру поверхностей атак, организации могут значительно повысить свою способность автономно выявлять атаки на ранних стадиях, прежде чем они перерастут в полномасштабные инциденты.

Как только модели ИИ/МО выявляют потенциальную угрозную активность по различным векторам атак, организации сталкиваются с другой ключевой задачей – осмыслением частых оповещений и разделением критических инцидентов от шума. С учетом такого количества точек данных и обнаружений, применение еще одного слоя ИИ/МО для корреляции и определения приоритета наиболее серьезных оповещений, которые требуют дальнейшего расследования и реагирования, становится крайне важным. Усталость от оповещений – это все более критическая проблема, которую необходимо решить.

ИИ может сыграть ключевую роль в этом процессе триажа оповещений, потребляя и анализируя большие объемы данных безопасности, объединяя идеи из нескольких источников обнаружения, включая информацию об угрозах, и выводя только инциденты с наивысшей достоверностью для реагирования. Это снижает нагрузку на человеческих аналитиков, которые в противном случае были бы перегружены широкими ложными положительными и низкокачественными оповещениями, лишенными достаточного контекста для определения тяжести и следующих шагов.

Хотя злоумышленники активно развертывали ИИ для питания атак, таких как DDoS, целевой фишинг и программы-вымогатели, оборонительная сторона отстала в принятии ИИ. Однако это быстро меняется, поскольку поставщики безопасности соревнуются в разработке продвинутых моделей ИИ/МО, способных обнаруживать и блокировать эти угрозы, основанные на ИИ.

Будущее оборонительного ИИ лежит в развертывании специализированных небольших языковых моделей, адаптированных к конкретным типам атак и случаям использования, а не полагаться исключительно на большие, генеративные модели ИИ. Большие языковые модели, в отличие от этого, показывают больше обещаний для операций кибербезопасности, таких как автоматизация функций службы поддержки, извлечение стандартных операционных процедур и помощь человеческим аналитикам. Тяжелая работа точного обнаружения и предотвращения угроз будет лучше всего выполняться высокоспециализированными небольшими моделями ИИ/МО.

Роль человеческой экспертизы

Крайне важно использовать ИИ/МО вместе с автоматизацией процессов для обеспечения быстрого реагирования и сдерживания подтвержденных угроз. На этом этапе, обеспеченных инцидентами с высокой степенью уверенности, системы ИИ могут запустить автоматические ответы на основе плейбуков, адаптированных к каждому конкретному типу атаки – блокирование злонамеренных IP-адресов, изоляцию скомпрометированных хостов, принудительное применение адаптивных политик и многое другое. Однако человеческая экспертиза остается неотъемлемой, подтверждая выводы ИИ, применяя критическое мышление и надзирая за автономными действиями по реагированию, чтобы гарантировать защиту без нарушения бизнеса.

Нюансированное понимание – это то, что люди привносят в дело. Кроме того, анализ новых и сложных угроз малвари требует творчества и навыков решения проблем, которые могут быть недоступны машинам.

Человеческая экспертиза необходима в нескольких ключевых областях:

• Валидация и контекстуализация: системы ИИ, несмотря на свою сложность, иногда могут генерировать ложные положительные или неправильно интерпретировать данные. Человеческие аналитики необходимы для подтверждения выводов ИИ и предоставления необходимого контекста, который ИИ может упустить из виду. Это гарантирует, что ответы являются подходящими и соразмерными реальной угрозе.
• Сложное расследование угроз: некоторые угрозы слишком сложны для ИИ, чтобы он мог с ними справиться в одиночку. Человеческие эксперты могут глубже проникнуть в эти инциденты, используя свой опыт и интуицию, чтобы обнаружить скрытые аспекты угрозы, которые ИИ может пропустить. Это человеческое понимание имеет решающее значение для понимания полного объема сложных атак и разработки эффективных контрмер.
• Стратегическое принятие решений: хотя ИИ может справиться с рутинными задачами и обработкой данных, стратегические решения о общей позиции безопасности и долгосрочных оборонительных стратегиях требуют человеческого суждения. Эксперты могут интерпретировать сгенерированные ИИ идеи, чтобы принимать обоснованные решения о распределении ресурсов, изменениях политики и стратегических инициативах.
• Непрерывное совершенствование: человеческие аналитики вносят свой вклад в непрерывное совершенствование систем ИИ, предоставляя обратную связь и данные для обучения. Их идеи помогают усовершенствовать алгоритмы ИИ, делая их более точными и эффективными с течением времени. Это симбиотические отношения между человеческой экспертизой и ИИ гарантируют, что оба эволюционируют вместе, чтобы решить возникающие угрозы.

Оптимизированное сотрудничество человека и машины

Подlying этот переход есть необходимость в системах ИИ, которые могут учиться на исторических данных (обучение с учителем) и непрерывно адаптироваться для обнаружения новых атак с помощью подходов обучения без учителя/усиления. Объединение этих методов будет ключевым для того, чтобы оставаться впереди эволюционирующих возможностей ИИ атакующих.

В целом, ИИ будет крайне важен для защитников, чтобы масштабировать свои возможности обнаружения и реагирования. Человеческая экспертиза должна остаться тесно интегрированной, чтобы расследовать сложные угрозы, проверять выводы систем ИИ и руководить стратегическими оборонительными стратегиями. Оптимизированная модель сотрудничества человека и машины идеальна для будущего.

По мере того, как накапливаются огромные объемы данных безопасности, организации могут применять анализ ИИ к этому сокровищу телеметрии, чтобы получить идеи для проактивного охота на угрозы и укрепления оборонительных сооружений. Непрерывное обучение на предыдущих инцидентах позволяет создавать прогностические модели новых шаблонов атак. По мере того, как возможности ИИ совершенствуются, роль небольших и специализированных языковых моделей, адаптированных к конкретным случаям использования безопасности, будет расти. Эти модели могут помочь еще больше снизить «усталость от оповещений», точно триажируя наиболее важные оповещения для человеческого анализа. Автономное реагирование, основанное на ИИ, также может расшириться для обработки более задач безопасности первого уровня.

Однако человеческое суждение и критическое мышление останутся незаменимыми, особенно для инцидентов высокого уровня тяжести. Безусловно, будущее – это будущее оптимизированного сотрудничества человека и машины, где ИИ обрабатывает объемные данные и рутинные задачи, позволяя человеческим экспертам сосредоточиться на расследовании сложных угроз и высокоуровневой стратегии безопасности.