Майбутнє кібербезпеки: штучний інтелект, автоматизація та людський фактор

За останні десять років, разом з вибуховим зростанням інформаційних технологій, темна реальність загроз кібербезпеки також еволюціонувала драматично. Кібератаки, які раніше були здебільшого зумовлені хуліганами-хакерами, що шукають слави або фінансової вигоди, стали значно більш складними та цілеспрямованими. Від шпигунства, спонсорованого державою, до корпоративного та крадіжки особистості, мотиви кіберзлочинності стають дедалі більш зловісними та небезпечними. Навіть якщо фінансовий зиск залишається важливим мотивом для кіберзлочинності, його затіняли більш зловісні цілі викрадення критичної інформації та активів. Кібератакери широко використовують передові технології, включаючи штучний інтелект, для проникнення в системи та здійснення зловмисних дій. У США Федеральне бюро розслідувань (ФБР) повідомило про понад 800 000 скарг, пов’язаних з кіберзлочинністю, поданих у 2022 році, з загальними втратами понад 10 мільярдів доларів, що перевищує загальну суму 6,9 мільярда доларів у 2021 році, згідно з центром боротьби з кіберзлочинністю Інтернету бюро.

З огляду на те, що ландшафт загроз швидко еволюціонує, організації повинні прийняти багатогранний підхід до кібербезпеки. Підхід повинен полягати у вирішенні питань, як нападники проникають; запобігання первинному компромісу; швидкому виявленні вторгнень; та забезпечення швидкої реакції та ліквідації. Захист цифрових активів вимагає використання потенціалу штучного інтелекту та автоматизації, а також забезпечення того, щоб кваліфіковані людські аналітики залишалися невід’ємною частиною безпекової позиції.

Захист організації вимагає багаторівневої стратегії, яка враховує різні точки входу та вектори атак, що застосовуються противниками. Загалом, ці категорії можна розділити на чотири основні категорії: 1) Веб- та мережеві атаки; 2) Атаки, засновані на поведінці користувача та ідентичності; 3) Атаки на сутності, спрямовані на хмарні та гібридні середовища; та 4) Зловмисне програмне забезпечення, включаючи програмне забезпечення для викупу, передові постійні загрози та інші види зловмисного коду.

Використання штучного інтелекту та автоматизації

Розгортання моделей штучного інтелекту та машинного навчання, адаптованих до кожної з цих класів атак, є критично важливим для проактивного виявлення та запобігання загроз. Для веб- та мережевих атак моделі повинні виявляти загрози, такі як фішинг, експлуатація браузера та розподілені атаки на відмову у обслуговуванні (DDoS) в режимі реального часу. Аналітика поведінки користувача та сутності, що використовує штучний інтелект, може виявити аномальні дії, що свідчать про компрометацію облікового запису або зловживання системними ресурсами та даними. Нарешті, аналіз зловмисного програмного забезпечення на основі штучного інтелекту може швидко розібрати нові штами, визначити зловмисну поведінку та мінімізувати вплив файлових загроз. Реалізуючи моделі штучного інтелекту та машинного навчання по всьому спектру поверхонь атак, організації можуть суттєво підвищити свою здатність автономно виявляти атаки на ранніх стадіях, перш ніж вони переростуть у повномасштабні інциденти.

Як тільки моделі штучного інтелекту/машинного навчання виявили потенційну загрозливу діяльність по різних векторах атак, організації стикаються з іншою ключовою проблемою – розуміння частих сповіщень та розрізнення критичних інцидентів від шуму. З такою великою кількістю даних та виявлень, застосування ще одного шару штучного інтелекту/машинного навчання для кореляції та пріоритезації найбільш серйозних сповіщень, які вимагають подальшого розслідування та реакції, стає критично важливим. Втома від сповіщень є дедалі більш критичною проблемою, яку потрібно вирішити.

Штучний інтелект може відігравати ключову роль у цьому процесі тріажу сповіщень, споживаючи та аналізуючи великі об’єми безпеки телеметрії, об’єднуючи знання з多 джерел виявлення, включаючи розвідку загроз, та висвітлюючи лише інциденти з найвищою вірогідністю для реакції. Це зменшує навантаження на людських аналітиків, які інакше були б завалені широкими помилковими сповіщеннями та сповіщеннями низької чіткості, що не мають достатнього контексту для визначення серйозності та подальших дій.

Хоча зловмисники активно розгортають штучний інтелект для підтримки атак, таких як DDoS, цільовий фішинг та програмне забезпечення для викупу, оборонна сторона відстає у прийнятті штучного інтелекту. Однак це швидко змінюється, оскільки постачальники безпеки конкурують у розробці передових моделей штучного інтелекту/машинного навчання, здатних виявляти та блокувати ці атаки, підтримані штучним інтелектом.

Майбутнє оборонного штучного інтелекту лежить у розгортанні спеціалізованих малих мовних моделей, адаптованих до конкретних типів атак та випадків використання, а не лише великих генеративних моделей штучного інтелекту. Великі мовні моделі, навпаки, показують більше обіцянок для операцій з кібербезпеки, таких як автоматизація функцій служби підтримки, отримання стандартних процедур та допомога людським аналітикам. Тяжке навантаження точного виявлення загроз та запобігання буде найкраще оброблено високоспеціалізованими малими моделями штучного інтелекту/машинного навчання.

Роль людської експертизи

Це важливо використовувати штучний інтелект/машинне навчання поряд з автоматизацією процесів для забезпечення швидкої ліквідації та утримання підтверджених загроз. На цьому етапі, забезпечені високоефективними інцидентами, системи штучного інтелекту можуть запустити автоматичні реакції на основі сценаріїв, адаптованих до кожного конкретного типу атаки – блокування зловмисних IP-адрес, ізоляція скомпрометованих хостів, застосування адаптивних політик та інше. Однак людська експертиза залишається невід’ємною, підтверджуючи виводи штучного інтелекту, застосовуючи критичне мислення та наглядаючи за автономними діями реакції, щоб забезпечити захист без порушення бізнесу.

Нюансування розуміння – це те, що люди приносять до столу. Також аналіз нових та складних загроз зловмисного програмного забезпечення вимагає творчості та навичок рішення проблем, які можуть бути поза межами можливостей машин.

Лудська експертиза є важливою в кількох ключових областях:

• Валідация та контекстуалізація: Системи штучного інтелекту, незважаючи на свою складність, іноді можуть генерувати помилкові позитиви або неправильно інтерпретувати дані. Людські аналітики потрібні для підтвердження виводів штучного інтелекту та надання необхідного контексту, який штучний інтелект міг би пропустити. Це забезпечує, що реакції є відповідними та пропорційними до фактичної загрози.
• Складне розслідування загроз: Деякі загрози надто складні для штучного інтелекту, щоб він міг їх обробити самостійно. Людські експерти можуть глибше зануритися в ці інциденти, використовуючи свій досвід та інтуїцію для розкриття прихованих аспектів загрози, яку штучний інтелект міг би пропустити. Це людське бачення є критично важливим для розуміння повного масштабу складних атак та розробки ефективних контрзаходів.
• Стратегічне прийняття рішень: Хоча штучний інтелект може обробляти рутинні завдання та обробку даних, стратегічні рішення щодо загальної безпекової позиції та довгострокових оборонних стратегій вимагають людської уваги. Експерти можуть інтерпретувати знання, згенеровані штучним інтелектом, щоб приймати обґрунтовані рішення щодо розподілу ресурсів, змін політики та стратегічних ініціатив.
• Постійне покращення: Людські аналітики внесок до постійного покращення систем штучного інтелекту, надаючи відгук та навчальні дані. Їхні знання допомогають уточнити алгоритми штучного інтелекту, роблячи їх більш точними та ефективними з плином часу. Це симбіотичні відносини між людською експертизою та штучним інтелектом забезпечують, що обидва еволюціонують разом, щоб протидіяти новим загрозам.

Оптимізована команда людини та машини

Під час цього переходу лежить необхідність систем штучного інтелекту, які можуть вивчати історичні дані (監督не навчання) та постійно адаптуватися для виявлення нових атак через підходи навчання без нагороди/з підкріпленням. Об’єднання цих методів буде ключовим для того, щоб залишатися попереду еволюціонуючих можливостей штучного інтелекту нападників.

Загалом, штучний інтелект буде критично важливим для захисників, щоб масштабувати свої можливості виявлення та реакції. Людська експертиза повинна залишатися тісно інтегрованою для розслідування складних загроз, аудиту виводів систем штучного інтелекту та керівництва стратегічними оборонними стратегіями. Оптимізована модель команди людини та машини є ідеальною для майбутнього.

Як величезні об’єми даних безпеки накопичуються з плином часу, організації можуть застосовувати аналіз штучного інтелекту до цього сховища телеметрії для отримання знань для проактивного полювання на загрози та зміцнення оборони. Постійне навчання з попередніх інцидентів дозволяє створювати прогностичні моделі нових шаблонів атак. Як можливості штучного інтелекту покращуються, роль малих та спеціалізованих мовних моделей, адаптованих до конкретних випадків використання безпеки, зростатиме. Ці моделі можуть допомогти ще більше зменшити “втому від сповіщень”, точно розбираючи найважливіші сповіщення для людського аналізу. Автономна реакція, підтримана штучним інтелектом, також може розширитися для обробки більшої кількості завдань безпеки рівня 1.

Однак людська увага та критичне мислення залишатимуться незамінними, особливо для інцидентів високої серйозності. Безумовно, майбутнє – це майбутнє оптимізованої команди людини та машини, де штучний інтелект обробляє обробку великих обсягів даних та рутинних завдань, дозволяючи людським експертам зосередитися на розслідуванні складних загроз та високо рівня стратегії безпеки.