Партнерство человека и искусственного интеллекта в EDR: усиление команд по кибербезопасности с помощью искусственного интеллекта

Поскольку кибератаки становятся все более частыми и сложными, компаниям трудно за ними угнаться. Высококвалифицированные команды по безопасности работают день и ночь, чтобы обнаружить и остановить цифровых злоумышленников, но часто это кажется проигранной битвой. Хакеры всегда, кажется, имеют преимущество.

Однако свет в конце туннеля всё же есть. Новая волна технологий искусственного интеллекта может вернуть преимущество в пользу специалистов по безопасности. Используя самообучающиеся программы в качестве цифровых союзников, аналитики безопасности могут усилить свои усилия по защите корпоративных сетей и устройств, не тратя при этом массу дополнительных ресурсов.

Одной из отраслей кибербезопасности, где ИИ оказывает большое влияние, является обнаружение и реагирование конечных точек (EDR). По сути, это действует как система раннего оповещения об атаках, внимательно следя за компьютерами, телефонами и другими конечными точками на наличие едва заметных признаков готовящейся кибератаки. Всякий раз, когда что-то не так, EDR подает сигнал тревоги, чтобы эксперты-люди могли провести расследование. Он даже может предпринимать базовые действия, такие как изоляция скомпрометированных устройств, чтобы выиграть время.

Но сможет ли EDR на базе ИИ полностью заменить и свести на нет необходимость человеческого вмешательства? Простой ответ — нет. Как мы видим во многих приложениях ИИ, наилучшие результаты, похоже, достигаются, когда ИИ и люди работают вместе, а не один вместо другого. Давайте разберемся, почему это так.

Перспективы EDR на базе искусственного интеллекта

EDR Инструменты стали жизненно важным оружием для выявления, анализа и устранения постоянно меняющихся атак на огромном количестве устройств. Сегодня многие ведущие платформы EDR используют искусственный интеллект для расширения человеческих возможностей, повышения точности и эффективности.

Благодаря контролируемым алгоритмам машинного обучения, обученным на массивах данных об угрозах, EDR на базе ИИ может:

• Выявляйте ранее не встречавшиеся модели и модели поведения атак. Анализируя системные события и сравнивая обширные наборы данных, ИИ обнаруживает аномалии, которые аналитики-люди, скорее всего, пропустили бы. Это позволяет вашей команде выявлять и предотвращать скрытые атаки, которые не видны другим инструментам.
• Предоставляйте контекст посредством автоматизированного расследования. ИИ может мгновенно отследить весь масштаб инцидента, сканируя вашу среду на предмет признаков компрометации. Это сокращает рутинную работу аналитиков по выявлению первопричин.
• Определите приоритетность наиболее критических инцидентов. Не все оповещения требуют одинакового уровня срочности, но различение тривиальных и серьезных может быть сложной задачей. Оценки ИИ выявляют самые опасные угрозы, чтобы сосредоточить драгоценное внимание людей.
• Рекомендовать оптимальные ответы, соответствующие каждой атаке. На основе специфики штаммов вредоносного ПО, использованных уязвимостей и т. д. ИИ предлагает наилучшие меры по сдерживанию и устранению угрозы с хирургической точностью.

Дополнение ИИ позволяет аналитикам работать умнее и быстрее, выполняя большую часть тяжелой работы по обнаружению угроз, расследованию и рекомендациям. Однако человеческий опыт и критическое мышление остаются необходимыми для соединения точек.

Человеческий элемент: суждение, креативность, интуиция

Хотя ИИ отлично справляется с обработкой данных, аналитики-люди привносят в защиту конечных точек ключевые преимущества, которых нет у машин. Люди обеспечивают три важные способности:

Сбалансированная оценка

Иногда ИИ может помечать безобидные события как подозрительные, вызывая ложные тревоги, или может пропускать реальные угрозы. Но эксперты-люди могут использовать свой опыт и здравый смысл для оценки того, что находит ИИ. Например, если система ошибочно маркирует обычное обновление программного обеспечения как вредоносное, аналитик может проверить его и исправить ошибку, избегая ненужных сбоев. Эта сбалансированная человеческая оценка позволяет более точно обнаруживать угрозы.

Творческое решение проблем

Злоумышленники продолжают модифицировать свои вредоносные программы, чтобы перехитрить системы ИИ, которые часто настроены на обнаружение известных угроз. Но аналитики-люди могут мыслить нестандартно и определять новые или скрытые угрозы на основе небольших странностей. Когда хакеры меняют свою тактику, аналитики могут придумать новые креативные правила обнаружения на основе крошечных аномалий в коде — идей, которые машинам будет трудно уловить.

Видеть большую картину

Защита сложных сетей требует учёта множества меняющихся факторов, которые алгоритмы не могут полностью учесть. В ходе сложной атаки человеческий фактор становится критически важным для принятия важных решений, например, изолировать системы или договориться о выкупе. Хотя ИИ может предлагать варианты, человеческий фактор всё равно необходим для принятия верных решений и минимизации ущерба для бизнеса.

Вместе человеческое понимание и ИИ создают мощную защиту, которая может отражать сложные кибератаки, которые другие системы могут пропустить. ИИ быстро обрабатывает данные, а человеческие рассуждения заполняют пробелы. Работая вместе, люди и ИИ усиливают защиту конечных точек.

Оптимизация команды безопасности человеческого ИИ

Вот несколько советов, которые помогут вам максимально эффективно использовать EDR-систему с улучшенными возможностями ИИ и командами под руководством людей:

• Доверяйте, но проверяйте оценки ИИ. Используйте возможности ИИ для быстрого анализа инцидентов, но проверяйте результаты вручную, прежде чем предпринимать какие-либо действия. Не доверяйте слепо каждому оповещению.
• Используйте ИИ, чтобы сосредоточиться на человеческом опыте. Позвольте ИИ выполнять повторяющиеся задачи, такие как мониторинг конечных точек и сбор сведений об угрозах, чтобы аналитики могли направить энергию на более важные задачи, такие как стратегическое планирование реагирования и упреждающий поиск.
• Оставляйте отзывы, чтобы со временем улучшать модели ИИ. Добавление человеческой проверки обратно в систему — подтверждение истинных/ложных положительных результатов — позволяет алгоритмам самокорректироваться, чтобы стать более точными. ИИ со временем учится на человеческой мудрости.
• Ежедневно взаимодействуйте с ИИ. Чем больше аналитики и ИИ работают вместе, тем больше учатся обе стороны, повышая навыки и производительность с обеих сторон. Ежедневное использование усложняет знания.

Так же, как киберпреступники используют автоматизацию и ИИ для атак, защитники должны отбиваться с помощью арсенала на базе ИИ. Безопасность конечных точек, поддерживаемая как искусственным, так и человеческим интеллектом, дает наилучшую надежду на защиту нашего цифрового мира.

Когда человек и машина объединяют усилия, используя взаимодополняющие способности, чтобы перехитрить и перехитрить любого противника, нет предела тому, чего мы можем достичь вместе. Будущее кибербезопасности уже наступило — и это партнерство человека и ИИ.

Проблемы внедрения EDR с использованием искусственного интеллекта

Внедрение ИИ для мониторинга безопасности звучит отлично в теории. Но для команд, которые уже перегружены, заставить это работать может стать грязным на практике. Люди сталкиваются со всевозможными препятствиями при развертывании этой передовой технологии, от понимания того, как думают инструменты, до остановки 

выгорание сигнализации.

Сложность

Аналитики безопасности, ежедневно использующие инструменты EDR, не всегда являются инженерами по профессии. Так что ожидать от них интуитивного понимания доверительных интервалов, показателей точности, оптимизации моделей и других идей машинного обучения? Это непростая задача. Без откровенного обучения, разъясняющего эти концепции, возможности ИИ никогда не будут задействованы для поимки злоумышленников.

Утопаем в ложных срабатываниях

В первые дни, особенно, некоторые инструменты ИИ переусердствовали с маркировкой угроз. Внезапно аналитики начали тонуть под сотнями оповещений с низкой достоверностью каждую неделю — многие из них были ложными. Это похоронило критические сигналы в шуме. Чувствуя себя подавленными, многие команды могли в конечном итоге вообще проигнорировать оповещения. Инструменты необходимо оптимизировать и настроить так, чтобы был баланс в чувствительности.

Инструменты черного ящика

Нейронные сети работают как непроницаемые черные ящики. Поскольку обоснование оценок риска и рекомендаций остается непрозрачным, персоналу трудно доверять автоматизированной системе принимать решения. Чтобы ИИ заслужил доверие своих коллег-людей, он должен позволить им заглянуть под капот достаточно глубоко, чтобы понять его рассуждения, но это не всегда возможно с современными технологиями.

Больше, чем волшебная пуля

Одного лишь внедрения новых инструментов ИИ будет недостаточно. Чтобы в полной мере использовать эту технологию, службам безопасности необходимо совершенствовать свои процессы, навыки, политики, показатели и даже культурные нормы, чтобы соответствовать ей. Внедрение ИИ как готового решения без фактического развития организации навсегда сведет на нет весь этот революционный потенциал.

Заключительное слово

ИИ приносит широкий спектр интересных инструментов и защита от киберугроз. Хотя это и хорошие новости, многое из этого останется потенциальным, пока команды ИИ и людей не смогут работать в гармонии, используя сильные стороны друг друга. EDR — это одна из областей кибербезопасности, которая особенно зависит от гладкого партнерства между машинным интеллектом и человеческим опытом.

Конечно, есть кривая обучения, которая идет в обоих направлениях. Системы ИИ должны лучше передавать свою внутреннюю логику членам команды в прозрачных терминах, которые они могут интуитивно понять и использовать в своих действиях. Устранение проблемы сигнал-шум в системах раннего оповещения также поможет предотвратить усталость аналитиков и отключение.