ผู้นำทางความคิด

วิกฤติบริบทในยุค AI แนวหน้า: ต้องใช้ AI เพื่อป้องกันการโจมตีของ AI

mm
เผยแพร่

การดำเนินงานด้านความปลอดภัยไม่ได้ถูกจำกัดโดยความเร็วของมนุษย์อีกต่อไป แต่ถูกทำลายโดยผู้โจมตีที่ดำเนินการด้วยความเร็วของเครื่องจักร โดยใช้ประโยชน์จากช่องโหว่ความปลอดภัยที่มักจะถูกตรวจพบโดยผู้ป้องกันก่อนที่จะเกิดการโจมตีได้แบบแรก Frontier AI เช่น Claude Mythos ได้นำไปสู่การเปลี่ยนแปลงในสนามรบ โดยสามารถค้นพบช่องโหว่ความปลอดภัยที่มีชีวิตอยู่มาหลายทศวรรษและผ่านการทดสอบอัตโนมัติหลายล้านครั้ง นอกจากนี้ AI เหล่านี้ยังสามารถเชื่อมช่องโหว่เหล่านี้เข้าด้วยกันเพื่อสร้างเส้นทางการโจมตีที่ซับซ้อนและสำคัญภายในเวลาไม่กี่วินาที

ศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) ในปัจจุบันไม่ได้รับการออกแบบมาเพื่อรับมือกับความเร็วเหล่านี้ ในช่วงสิบปีที่ผ่านมา เราได้ขยายการตรวจสอบข้อมูล แต่นักวิเคราะห์กำลังจมอยู่กับอันตรายหลายพันรายการต่อวัน โดยพยายามหาความหมายจากสัญญาณที่แตกต่างกัน เพื่อเอาชนะการโจมตีของ AI SOC จะต้องพัฒนาไปสู่การดำเนินการที่มีความเร็วและขับเคลื่อนด้วยตัวแทน

ความสำเร็จต้องอาศัยการเปลี่ยนแปลงพื้นฐานจากความสามารถในการมองเห็นไปสู่บริบทแบบเรียลไทม์ AI ช่วยให้ผู้โจมตีสามารถเข้าถึงเครือข่ายได้ลึกและลับ โดยไม่ถูกตรวจพบ แต่ก็สร้างสัญญาณที่สามารถสังเกตได้ เช่น การรับรองความถูกต้อง การเคลื่อนย้ายข้อมูล และพฤติกรรมที่ผิดปกติ อย่างไรก็ตาม เพื่อให้ตัวแทนการป้องกันสามารถต่อต้านการโจมตีด้วยความเร็วของเครื่องจักรได้ องค์กรจะต้องมีระดับการให้บริบทที่สามารถเปลี่ยนข้อมูลดิบให้เป็นข้อมูลที่มีโครงสร้างและสามารถอ่านได้ด้วยเครื่องจักร

เมื่อองค์กรต่างๆ เริ่มใช้เครื่องมือความปลอดภัยที่ขับเคลื่อนด้วย AI สิ่งสำคัญคือต้องจำไว้ว่าความเป็นอิสระโดยไม่มีการให้บริบทที่มีโครงสร้างจะทำให้เกิดความเสี่ยงในการดำเนินงานมากขึ้น ตัวแทนการดูแลและควบคุม AI ต้องการมากกว่าการทำงานอัตโนมัติเพียงอย่างเดียว – พวกเขาต้องการ ชั้นการควบคุมบริบท เพื่อหลีกเลี่ยงการหลงผิดหรือการเปลี่ยนแปลงบริบท

การมองเห็นโดยไม่มีการเข้าใจ

ฐานของความสัมพันธ์ พฤติกรรม และความสัมพันธ์ และไม่มี AI เดียวที่สามารถทำงานได้อย่างสมบูรณ์ภายในทุกองค์กร การป้องกันโดยใช้ AI ที่แท้จริงมีประสิทธิภาพเท่ากับความสามารถในการเข้าใจส่วนประกอบสำคัญเหล่านี้ของวิธีการทำงานขององค์กร

SOC truyền thốngถูกสร้างขึ้นจากคลังอุปกรณ์ที่มีการอัปเดตอย่างต่อเนื่อง (ภาพถ่ายช่วงเวลา) การแจ้งเตือนที่แยกจากกันซึ่งไม่มีลำดับเหตุการณ์ และการทำงานที่ขับเคลื่อนด้วยมนุษย์ ซึ่งวิเคราะห์เป็นจุดเชื่อมต่อระหว่างบริบทและเครื่องมือ การขาดการเข้าใจหรือความหมายนี้ทำให้ระยะเวลาที่ใช้ในการตรวจพบ (MTTD) อยู่ที่หลายชั่วโมงหรือหลายวัน ซึ่งไม่สามารถยอมรับได้เมื่อเผชิญกับการโจมตีด้วยความเร็วของเครื่องจักร

เมื่อ AI ที่มีการกระทำเริ่มเข้าสู่การปฏิบัติงานภายใน SOC เราจะเห็นการเปลี่ยนแปลงไปสู่ ระบบที่สามารถดำเนินการงานด้านความปลอดภัย มากกว่าการสนับสนุนการวิเคราะห์ของมนุษย์ การเปลี่ยนแปลงนี้ทำให้เกิดความคาดหวังใหม่เกี่ยวกับสิ่งที่ SOC ควรทำและอะไรที่ยังคงต้องการการมีส่วนร่วมของมนุษย์

แต่เมื่อองค์กรเร่งให้ใช้ AI ทั่วทั้งการดำเนินงาน SOC หลายคนกำลังทำผิดพลาดที่สำคัญ โดยการรักษา AI เป็นตัวแทนของนักวิเคราะห์มากกว่าการเร่งความเร็วที่ขับเคลื่อนด้วยบริบท AI สามารถสรุปการแจ้งเตือน ปรับปรุงการสอบสวน และแนะนำการดำเนินการ แต่หากไม่มีการเข้าใจสภาพแวดล้อมที่ถูกต้อง ผลลัพธ์จะถูกจำกัดโดยคุณภาพของข้อมูลที่ได้รับ

สภาพแวดล้อมขององค์กรมีการเปลี่ยนแปลงอย่างต่อเนื่อง ซึ่งเป็นความท้าทาย อุปกรณ์ถูกเพิ่มหรือลบออกไปในขณะที่อัตลักษณ์เปลี่ยนบทบาทและอนุญาต และกระบวนการทางธุรกิจพัฒนาไปตามเวลา ทีมความปลอดภัยมักจะพึ่งพานักวิเคราะห์ในการเชื่อมต่อชิ้นส่วนที่เคลื่อนไหวระหว่างการสอบสวน แต่แนวทางนี้ไม่สอดคล้องกับการดำเนินการที่เป็นอิสระ การป้องกันที่มีความเร็วของเครื่องจักรต้องการความเข้าใจพื้นฐานเกี่ยวกับวิธีการที่ระบบ ผู้ใช้ แอปพลิเคชัน และข้อมูลโต้ตอบกันในเวลาเดียวกัน

บริบทมีความสำคัญมากกว่าการสนับสนุน ความเป็นระบบปฏิบัติการที่สำคัญสำหรับการรักษาความปลอดภัยที่มีการกระทำ องค์กรที่ประสบความสำเร็จในการรวม AI เข้ากับ SOC จะไม่จำเป็นต้องมีเครื่องมือ AI ที่ทันสมัยที่สุด แต่จะสามารถให้เครื่องมือเหล่านั้นด้วยภาพที่สมบูรณ์ของสภาพแวดล้อม – ซึ่งสนับสนุนโดยข้อมูล ทุกสิ่งที่เหลือใน SOC ขึ้นอยู่กับว่าบริบทนั้นสมบูรณ์และมีโครงสร้างอย่างไรในขณะตรวจพบหรือตอบสนอง

เพื่อให้บรรลุเป้าหมายนี้ ทีมความปลอดภัยต้องคิดใหม่ว่าจะรวบรวมและดำเนินการข้อมูลทั่วทั้ง SOC อย่างไร

การเปลี่ยนแปลงห้าขั้นตอนเพื่อความพร้อม

เพื่อเอาชนะความเสี่ยง องค์กรต้องจัดลำดับความสำคัญของความสามารถในการตีความข้อมูลอย่างรวดเร็วมากกว่าความสามารถในการรวบรวมข้อมูลเพียงอย่างเดียว

  1. จากคลังอุปกรณ์ไปสู่พื้นผิวการโจมตีที่มีชีวิต

องค์กรส่วนใหญ่พึ่งพาภาพถ่ายช่วงเวลาที่ไม่สามารถติดตามการเปลี่ยนแปลงได้ พื้นผิวการโจมตีสมัยใหม่ซึ่งครอบคลุมฟังก์ชันคลาวด์แบบชั่วคราว แอปพลิเคชัน IT ที่ซ่อนอยู่ และจุดสิ้นสุดของโมเดล AI มักจะไม่สามารถใช้ EDR ได้ ทำให้เกิดจุดบอดที่ตรรกะความปลอดภัยที่สำคัญอยู่ที่นั่น คุณไม่สามารถจัดลำดับความสำคัญของการเปิดเผยได้หากคุณไม่รู้ว่าคุณใช้อะไรหรือสิ่งนั้นสัมผัสอะไร

การกำจัดช่องว่างนี้ต้องใช้การมองเห็นแบบเรียลไทม์ที่ตั้งอยู่ในบริบท ซึ่งช่วยให้ SOC สามารถรักษากราฟอุปกรณ์ที่อัปเดตอย่างต่อเนื่องได้ ซึ่งไม่เพียงแค่จับอุปกรณ์ที่มีอยู่เท่านั้น แต่ยังรวมถึงกิจกรรมที่เป็นปกติและเว็บของการเชื่อมต่อด้วย

  1. จากการแจ้งเตือนไปสู่ความเข้าใจพฤติกรรม

การตรวจพบนั้นเป็นเหตุการณ์ที่แยกจากกัน แต่การโจมตีจริงเป็นรูปแบบที่ต้องตระหนักในช่วงเวลาหนึ่ง ตัวอย่างเช่น ตัวแทน AI ที่ถูกบุกรุกไม่ได้เพียงแค่ติดตั้งซอฟต์แวร์แบบมัลแวร์เท่านั้น แต่ยังใช้การเข้าถึงที่ได้รับอนุญาตในลักษณะที่ไม่ได้รับอนุญาตจนกว่าจะติดตั้งซอฟต์แวร์แบบมัลแวร์ การสังเกตพฤติกรรมที่ไม่ปกติก่อนที่จะเกิดการโจมตีนั้นเป็นสิ่งสำคัญในกรณีนี้ ด้วยการสร้างพื้นฐานพฤติกรรมและความเข้าใจ นักวิเคราะห์ด้านความปลอดภัยสามารถย้ายออกจากเหตุการณ์ที่แยกจากกันและจัดกลุ่มกิจกรรมให้เป็นเรื่องราวที่สอดคล้องกัน

  1. จากนักวิเคราะห์ที่ขับเคลื่อนไปสู่การดำเนินการที่พร้อมสำหรับตัวแทน

หาก SOC พึ่งพานักวิเคราะห์ในการสร้างบริบทระหว่างการสอบสวน พวกเขาจะสูญเสียการโจมตีของ AI ที่ขับเคลื่อนด้วยเครื่องจักรเสมอ ตัวแทนการป้องกันที่เป็นอิสระต้องการบริบทที่สร้างไว้ล่วงหน้า เมื่อตัวแทนการไตร่ตรองรับสัญญาณ ต้องได้รับเอกสารลักษณะเฉพาะที่มีคุณภาพสูง – ไม่ใช่การถ่ายโอนข้อมูลดิบ โดยการนำเข้าชั้นการเพิ่มคุณค่าที่จับคู่ข้อมูลข้ามสี่ชั้นของอุปกรณ์ อัตลักษณ์ พฤติกรรม และความเกี่ยวข้องของภัยคุกคาม บริบทจะกลายเป็นรากฐานที่แท้จริง

ตัวแทน AI SOC เป็น คลาสความสามารถที่เกิดขึ้นใหม่ ที่ออกแบบมาเพื่อเพิ่มและอัตโนมัติกระบวนการ SOC หลัก แต่ประสิทธิผลของพวกมันขึ้นอยู่กับว่าพวกมันถูกนำไปใช้ในสภาพแวดล้อมที่บริบทถูกสร้างไว้และบำรุงรักษาแล้ว

  1. จากข้อมูลดิบไปสู่การให้เหตุผลที่มีประสิทธิภาพ

ข้อมูลดิบมีขนาดใหญ่ มีเสียงรบกวน และมีค่าใช้จ่ายสูงในการป้อนเข้าไปใน LLM การชี้ LLM ไปที่บันทึกที่ไม่ได้กรองจะทำให้การให้เหตุผลเสื่อมลงหรือเกิดการหลอกลวง ซึ่งจะเพิ่มการเดาให้กับนักวิเคราะห์และชะลอการสอบสวน

การเปลี่ยนไปใช้ข้อมูลที่มีความหนาแน่นสูง ซึ่งถูกสรุปและจับคู่ไว้แล้ว จะแก้ปัญหานี้ได้ ข้อมูลที่สรุปแล้ว รวมถึงใคร ทำอะไร และทำอย่างไรของการตรวจพบ และการเบี่ยงเบนไปจากพื้นฐาน สามารถส่งสัญญาณได้ง่ายว่าการสอบสวนทันทีเป็นเรื่องจำเป็นหรือไม่ โดยการมุ่งเน้นไปที่หลักฐานแพ็คเก็ตที่ลึกซึ้งเฉพาะเมื่อสมมติฐานเฉพาะต้องการ ทำให้เศรษฐศาสตร์ของ SOC ที่มีการกระทำมีประสิทธิภาพจริง

ระบบ AI ที่มีประสิทธิผลใน SOC ต้องการการควบคุมที่มีโครงสร้าง ทั่วทั้งชีวิตการทำงาน ตั้งแต่การรับข้อมูลจนถึงการตอบสนอง เนื่องจากบริบทคือสิ่งที่เปลี่ยนสัญญาณให้เป็นการให้เหตุผลที่สามารถดำเนินการได้

  1. จากข้อมูลหนึ่งมิติไปสู่หลักฐานหลายชั้น

งานที่แตกต่างกันต้องการประเภทข้อมูลที่แตกต่างกันเพื่อระบุแนวโน้ม ความสัมพันธ์ และความผิดปกติ รวมถึงเมตริก เมตาดาต้า การตรวจพบ และแพ็คเก็ต ยุทธวิธีแบบชั้นซึ่งมีข้อมูลเบาๆ สำหรับการให้เหตุผลอย่างต่อเนื่องและหลักฐานลึกๆ เป็นสิ่งจำเป็นสำหรับการสร้างสมดุล

AI แนวหน้าไม่ได้เพียงแค่นำการโจมตีใหม่ๆ มาเท่านั้น แต่ยังกำหนดสถาปัตยกรรมใหม่สำหรับการป้องกันด้วย ความปลอดภัยต้องเป็นแบบรวมเป็นหนึ่งเดียว ปรับเปลี่ยนได้ และสำคัญที่สุดคือรวมการทำงานของตัวแทนเข้าด้วยกัน องค์กรที่สร้างชั้นบริบทในวันนี้จะพร้อมที่จะตอบสนองมาตรฐานความปลอดภัยใหม่ในยุค AI มากขึ้น องค์กรที่พึ่งพาวิธีการเก่าของการเชื่อมโยงด้วยตนเองจะถูกบังคับให้ทำตามโลกที่เคลื่อนที่เร็วเกินกว่าที่จะเห็นได้

การดำเนินงาน SOC ที่ขับเคลื่อนด้วย AI ต้องใช้ รูปแบบการกำกับดูแลและดำเนินการที่แตกต่างออกไปอย่างพื้นฐาน โดยเน้นย้ำว่าความสามารถในการผลิตข้อมูลที่มีการให้บริบทสูง (ไม่ใช่เครื่องมือเพียงอย่างเดียว) จะเป็นตัวกำหนดว่าองค์กรใดสามารถขยายตัวได้อย่างปลอดภัยและมีประสิทธิภาพมากที่สุด โดยไม่มีสิ่งนี้ การทำงานอัตโนมัติจะเพิ่มเสียงรบกวน ไม่ใช่ความฉลาดที่จำเป็น

mm

ชาดเป็น Chief Information Security Officer ที่ ExtraHop ชาดมีหน้าที่รับผิดชอบด้านความเสี่ยงของการรักษาความปลอดภัยทางไซเบอร์สำหรับ ExtraHop รวมถึงความปลอดภัยของสถานที่ พนักงาน และร่างกาย ชาดเคยเป็นเจ้าหน้าที่ปฏิบัติการไซเบอร์ในกองทัพอากาศสหรัฐฯ เป็นเวลา 31 ปี โดยดำรงตำแหน่งระดับสูงด้านความปลอดภัยทางไซเบอร์ 5 ตำแหน่งในการพัฒนาและดำเนินแผนการรักษาความปลอดภัยทางไซเบอร์ ยุทธศาสตร์ และความสามารถ รวมถึงให้คำแนะนำแก่ผู้นำระดับสูงเกี่ยวกับประเด็นความปลอดภัยทางไซเบอร์ที่สำคัญ นอกจากนี้เขายังเป็นผู้ดำเนินการไซเบอร์ที่มีคุณสมบัติและบัญชีทีมการล่าภัยคุกคามและการตอบสนองต่อเหตุการณ์ทางไซเบอร์สำหรับเครือข่ายองค์กรระดับโลก ก่อนที่จะเข้าร่วม ExtraHop ชาดเคยเป็น Chief Security Officer สำหรับ Echelon Risk + Cyber โดยขับเคลื่อนยุทธศาสตร์และการรวมกลุ่มบริการรักษาความปลอดภัยทางไซเบอร์แบบป้องกันและรุก เขายัง曾ดำรงตำแหน่ง CISO และ vCISO สำหรับลูกค้าหลายราย