Connect with us

Varför AI gör det svårare än någonsin att veta vad man ska oroa sig för i cybersäkerhet

Cybersäkerhet

Varför AI gör det svårare än någonsin att veta vad man ska oroa sig för i cybersäkerhet

mm
Published
Updated

Artificiell intelligens har förändrat cybersäkerheten. Säkerhetsoperationer centrum bearbetar nu mer telemetri, upptäcker avvikelser snabbare och automatiserar repetitiva utredningar. På papper borde detta representera en gyllene era för cyberförsvaret.

I praktiken känner många team sig mer överväldigade än någonsin.

Detektionsförmågan har förbättrats dramatiskt, men tydligheten har inte. Paradigm för modern cybersäkerhet är att bättre synlighet ofta leder till större osäkerhet. När allt ser misstänkt ut blir det att veta vad som verkligen är viktigt den centrala utmaningen.

Mer detektering innebär inte bättre skydd

AI-drivna säkerhetsverktyg genererar larm i en aldrig tidigare skådad skala. Beteeendeanalytik, endpoint-detektering, molnövervakning, identitetsavvikelsedetektering och hotjaktmotorer skannar ständigt efter avvikelser från baslinjeaktivitet.

Resultatet är en flod av larm.

Forskning visar att team står inför cirka 4,484 larm per dag, och på grund av resursbegränsningar ignoreras en betydande procentuell andel. Den volymen illustrerar gapet mellan detekteringsförmåga och svarsförmåga. AI har ökat synligheten, men det har också ökat bruset.

För säkerhetsledare skapar detta operativa påfrestningar. Analytiker tillbringar värdefulla timmar med att utreda händelser som slutligen utgör minimal risk. Samtidigt kan högimpakt hot dölja sig bland lägre prioriterade signaler.

Prioriteringsproblemet

Problemets kärna är inte datascarcitet. Det är kontextbrist.

Säkerhetsplattformar är utmärkta på att identifiera avvikelser. De är mindre effektiva på att förklara vilka avvikelser som är viktigast i en specifik affärsmiljö. En sårbarhet som flaggas på en utvecklingsserver är inte ekvivalent med samma sårbarhet som exponeras på ett kundorienterat betalningssystem.

Här blir en modern hotintelligensplattform strategiskt viktig. Istället för att bara samla larm, korrelerar den externa hotflöden med intern tillgångskontext, exploaterbarhetsdata och exponeringsdata. Den besvarar en mer meningsfull fråga: vilka larm skär över med aktiva hotkampanjer och kritiska tillgångar?

Prioritering förvandlar volym till fokus. Utan det förlitar sig team på reaktiv triage, ofta driven av vilket larm som anländer först.

AI har höjt insatserna på båda sidor

Det är också viktigt att erkänna att AI inte är exklusivt för försvarare. Som nylig täckning har belyst, AI har gett hotaktörer möjlighet. Hotaktörer använder nu maskinlärningsmodeller för att automatisera rekognosering, skapa övertygande phishingkampanjer och dynamiskt anpassa malwares beteende.

Stora språkmodeller kan generera lokaliserade phishingmejl i stor skala. Automatiserade skanningsverktyg kan identifiera felkonfigurerade molntillgångar på några minuter. Credentialinsamlingskampanjer förfinas kontinuerligt baserat på svarsmönster.

Denna acceleration komprimerar tidsramar. Intervallet mellan initial kompromiss och lateralt förflyttning minskar. Försvarsteam måste tolka och agera på signaler snabbare än någonsin tidigare.

Obalansen blir tydlig när automation förstärker attackhastighet medan försvarsteam förblir begränsade av mänsklig svarsbandbredd.

Illusionen av omfattande täckning

Många organisationer försöker lösa larmtrötthet genom att lägga till fler verktyg. Ytterligare detekteringsmotorer, fler instrumentpaneler, fler flöden. Antagandet är att större synlighet kommer att minska risken.

I verkligheten ökar fragmenterad verktygsutrustning ofta komplexiteten. Separata instrumentpaneler producerar separata larm utan en enhetlig kontext. Analytiker manuellt korsreferenserar data mellan system, vilket förlänger utredningstider.

Den strategiska frågan skiftar från “Hur upptäcker vi mer?” till “Hur tolkar vi vad vi upptäcker?”

En mogen ansats fokuserar på korrelation över telemetrikällor. Nätverksaktivitet, identitetsavvikelser, signalsignaler och sårbarhetsdata måste konvergera till en enhetlig riskmodell. Denna konvergens möjliggör för säkerhetsteam att skilja mellan rutinmässigt brus och samordnad attackaktivitet.

Kontext är den nya differentiatoren

Högpresterande säkerhetsprogram är alltmer beroende av kontextuell intelligens snarare än isolerade larm. Kontext inkluderar tillgångskritikalitet, affärspåverkan, exploaterbarhet och aktiva hotkampanjer.

Till exempel kan en sårbarhet som teoretiskt sett är allvarlig men inte aktivt exploaterad kräva övervakning snarare än omedelbar avhjälpning. Omvänt kräver en måttlig svårighetsgrad som är kopplad till en pågående kampanj som riktar sig mot liknande organisationer snabb åtgärd.

Hotintelligensflöden tillhandahåller denna externa perspektiv. När de kombineras med intern exponeringsdata skapar de en prioriterad avhjälpningsväg snarare än en lista med frånkopplade larm.

Här bör AI assistera, inte överväldiga. Istället för att producera fler larm bör AI-modeller bringa korrelationer som mänskliga analytiker kan missa under tidspress.

Från detektering till exponeringshantering

Samtalet inom cybersäkerhet skiftar gradvis mot exponeringshantering. Istället för att fokusera enbart på att identifiera attacker efter att de har börjat, kartlägger organisationer och minskar exploaterbara vägar innan de utlöses.

Kontinuerliga exponeringshanteringsramverk utvärderar hur sårbarheter, felkonfigurationer och identitetsbehörigheter skär över. De simulerar potentiella attackvägar för att bestämma var risken ackumuleras.

En hotintelligensplattform integrerad i denna modell förbättrar noggrannheten. Den hjälper till att bestämma om en exponering är teoretisk eller aktivt riktad i vilden. Den distinktionen påverkar direkt prioriteringsbeslut.

Att proaktivt minska exponeringen är ofta mer effektivt än att utreda ett annat falskt positivt.

Den mänskliga faktorn

Bakom varje larmkö är analytiker som gör bedömningar under tryck. Larmtrötthet är inte bara en operativ olägenhet. Det är ett mänskligt hållbarhetsproblem.

När proffs bearbetar tusentals lågvärdeslarm ökar kognitiv trötthet. Besluts kvalitet minskar. Utmattning ökar. Talangretention blir svår i en redan begränsad arbetsmarknad.

AI förväntades minska den bördan. I vissa miljöer har det gjort det. I andra har det bara multiplicerat signalvolymen utan att förbättra tydligheten.

Nästa fas av AI-integrering måste betona kvalitet före kvantitet. Modeller bör justeras för att minimera falska positiva och förbättra riskpoängsprecision.

Vad mognad ser ut som 2026

Cybersäkerhetsmognad 2026 kommer inte att definieras av hur många larm ett företag kan generera. Det kommer att definieras av hur snabbt och exakt det kan omvandla intelligens till handling.

Organisationer som integrerar kontextuell hotintelligens, exponeringsanalys och automatiserad prioritering i ett sammanhängande system kommer att prestera bättre än de som förlitar sig på detektering ensam. Målet är inte att eliminera larm helt. Det är att se till att varje larm representerar meningsfull risk.

Säkerhetsteam behöver färre, högkonfidensbeslut. De behöver synlighet som klargör snarare än förvirrar.

AI förblir central i denna transformation. När den implementeras strategiskt minskar den kognitiv överbelastning och skärper prioritering. När den implementeras utan integration, förstärker den kaos.

Skillnaden ligger i arkitektur, inte i algoritmen ensam.

mm

David Balaban är en datorsäkerhetsforskare med över 17 års erfarenhet av malwareanalys och utvärdering av antivirusprogram. David driver MacSecurity.net och Privacy-PC.com projekt som presenterar expertråd om samtida informations säkerhetsfrågor, inklusive social ingenjörskonst, malware, penetrationstestning, hotintelligens, online integritet och white hat-hacking. David har en stark bakgrund inom felsökning av malware, med ett nyligt fokus på motåtgärder mot ransomware.