Trí tuệ nhân tạo không thể sửa chữa nền tảng bảo mật bị hỏng

Trí tuệ nhân tạo làm sắc nét khả năng hiển thị, phân tích và ra quyết định, nhưng hiệu quả của nó bị hạn chế bởi chất lượng của môi trường cơ bản

“Nó có sử dụng trí tuệ nhân tạo không?” đã trở thành câu hỏi mặc định trong các cuộc trò chuyện về sản phẩm bảo mật, được đặt ra bởi các nhà lãnh đạo bảo mật và được nhắc lại trong gần như mọi bản trình bày của nhà cung cấp.

Vấn đề là đó là câu hỏi sai. Việc một sản phẩm sử dụng trí tuệ nhân tạo không có nghĩa là nó sẽ giúp tăng cường tư thế bảo mật của một tổ chức. Trí tuệ nhân tạo không phải là phương pháp chữa trị tất cả các vấn đề bảo mật. Giá trị của nó phụ thuộc vào cách nó được áp dụng, bắt đầu từ việc xác định rõ ràng vấn đề bạn muốn giải quyết.

Câu hỏi tốt hơn là: “Vấn đề bảo mật cụ thể nào chúng ta đang cố gắng giải quyết, và liệu công nghệ được hỗ trợ bởi trí tuệ nhân tạo này thực sự giúp giải quyết nó?”

Trí tuệ nhân tạo làm tốt những gì

Trí tuệ nhân tạo mang lại giá trị trong bảo mật trên ba lĩnh vực chính. Đầu tiên, nó lấp đầy khoảng trống dữ liệu. Các nhóm bảo mật thu thập dữ liệu từ hàng chục nguồn, bao gồm cả danh mục tài sản lỗi thời, hệ thống danh tính không ghi lại tất cả các mối quan hệ truy cập, và telemetry mạng bỏ lỡ một số lưu lượng truy cập. Trí tuệ nhân tạo có thể suy luận ngữ cảnh từ các tập dữ liệu không đầy đủ để xây dựng một bức tranh hoàn chỉnh hơn về tài sản, danh tính, kết nối và hành vi của tải trọng.

Trí tuệ nhân tạo cũng cải thiện phân tích ở quy mô lớn. Vấn đề tín hiệu và nhiễu trong hoạt động bảo mật là nghiêm trọng và đang trở nên tồi tệ hơn. Trí tuệ nhân tạo có thể liên kết các sự kiện trên nhiều nguồn dữ liệu, đưa ra các cảnh báo đáng chú ý và đẩy nhiễu thấp ra khỏi tầm nhìn của nhà phân tích. Đây là nơi mà hầu hết các nhà cung cấp bảo mật đã tập trung đầu tư trí tuệ nhân tạo của họ. Các nhóm SOC dành ít thời gian hơn để phân loại các cảnh báo có giá trị thấp và nhiều thời gian hơn cho các hoạt động đòi hỏi phán quyết của con người.

Thứ ba, một khi trí tuệ nhân tạo đã làm giàu dữ liệu và phân tích tín hiệu, nó có thể hướng dẫn hành động bằng cách đề xuất bước tiếp theo, chẳng hạn như thay đổi chính sách nào sẽ giảm thiểu rủi ro, hành động phản ứng nào phù hợp với mẫu hành vi, hoặc nơi nào cần thay đổi cấu hình.

Trí tuệ nhân tạo mang lại giá trị nhất khi nó cải thiện ngữ cảnh, phân tích và ra quyết định. Nó tăng cường các thực hành bảo mật mạnh mẽ, nhưng nó không thể bù đắp cho những thực hành bị thiếu.

Tại sao các nền tảng yếu vẫn thất bại

Trí tuệ nhân tạo bị hạn chế bởi các đầu vào mà một tổ chức cung cấp cho nó. Những đầu vào (ví dụ: telemetry, kiến trúc, chính sách, kiểm soát và công cụ hiện có) định nghĩa ranh giới của những gì trí tuệ nhân tạo có thể làm. Làm sắc nét những đầu vào, và trí tuệ nhân tạo sẽ tạo ra kết quả sắc nét hơn. Làm suy yếu chúng, và đầu ra sẽ bị suy giảm.

Không có ngữ cảnh để xác định sự vắng mặt, trí tuệ nhân tạo không có cách nào để báo cáo một sự vắng mặt. Nó sẽ không tự mình kiểm tra môi trường và đánh dấu những gì đang thiếu. Nó sẽ không nói với nhóm bảo mật rằng mạng thiếu phân đoạn đủ, rằng kiểm soát truy cập quá rộng hoặc rằng khoảng trống hiển thị đang để lại các phân khúc môi trường không được giám sát.

Trí tuệ nhân tạo không thoát khỏi nguyên tắc chất lượng dữ liệu cũ, “rác vào, rác ra,” nó củng cố nó. Telemetry yếu tạo ra phân tích yếu. Kiểm soát khiếm khuyết cho trí tuệ nhân tạo điều gì đó để tối ưu hóa theo hướng sai. Hiển thị không đầy đủ có nghĩa là quyết định được thực hiện từ một bức tranh không đầy đủ, và trí tuệ nhân tạo thực hiện những quyết định đó nhanh hơn, không chính xác hơn. Tốc độ không phải là sự cải thiện khi thông tin cơ bản không đáng tin cậy.

Đó là lý do tại sao chất lượng nền tảng quan trọng trước khi bất kỳ khả năng trí tuệ nhân tạo nào được áp dụng. Một nền tảng mạnh mẽ bao gồm kiểm soát danh tính và truy cập thực thi các ranh giới có ý nghĩa, đặc quyền tối thiểu trên người dùng, tải trọng, ứng dụng, dữ liệu, phân đoạn để hạn chế chuyển động ngang, và hiển thị / quan sát toàn diện trên môi trường. Nó cũng yêu cầu telemetry đáng tin cậy và sự hiểu biết rõ ràng về cách hệ thống kết nối và phụ thuộc vào nhau.

Không có gì mới trong số này. Đây là những kỷ luật bảo mật mà các nhóm bảo mật đã thảo luận trong nhiều năm, từ việc chuyển sang di động đến việc chuyển sang đám mây. Điều gì đã thay đổi là chi phí của việc bỏ qua chúng. Trí tuệ nhân tạo có thể khuếch đại một nền tảng bảo mật mạnh mẽ, nhưng nó không thể thay thế một nền tảng.

Trí tuệ nhân tạo chủ động thay đổi phương trình rủi ro

Sự thay đổi không phải là từ không có trí tuệ nhân tạo sang có trí tuệ nhân tạo; nó là từ trí tuệ nhân tạo hỗ trợ sang trí tuệ nhân tạo hành động. Trí tuệ nhân tạo truyền thống phân tích dữ liệu, đưa ra thông tin chi tiết và đề xuất bước tiếp theo. Trí tuệ nhân tạo chủ động thực hiện trên các hệ thống, dữ liệu và quy trình làm việc mà không cần đợi quyết định của con người.

Hãy nghĩ về nó theo cách này: triển khai 100 tác nhân trí tuệ nhân tạo qua đêm hiệu quả như việc thuê 100 nhân viên mới không bao giờ đăng xuất, hoạt động ở tốc độ máy và có quyền truy cập vào bất kỳ hệ thống nào mà quyền của họ cho phép. Nhưng không giống như nhân viên con người, những tác nhân này không ngừng, không đặt câu hỏi hoặc áp dụng phán quyết về khi nào quyền truy cập nên được sử dụng. Họ thực hiện liên tục, di chuyển trên các hệ thống và chạm vào nhiều ứng dụng chính xác như họ được phép.

Đó là khoảng trống. Mô hình truy cập của bạn giả định hành vi con người (ví dụ: hành động rời rạc, tốc độ chậm hơn và một số mức độ phán quyết). Các tác nhân trí tuệ nhân tạo loại bỏ các hạn chế đó. Vì vậy, nếu quyền được cấp quá rộng (hoặc không chính xác), chúng không chỉ ngồi không sử dụng hoặc bị lạm dụng偶爾; chúng được thực hiện liên tục, ở quy mô, trên mọi hệ thống chúng chạm vào.

Rủi ro được tăng cường khi một tổ chức gán cho một tác nhân cùng hồ sơ truy cập như một người dùng cụ thể, họ tạo ra một bản sao, không phải là một đại diện hữu ích. Bản sao đó có cùng quyền truy cập rộng như bản gốc, chạy liên tục và có thể khiến tổ chức dễ bị tổn thương trước các rủi ro giống như hành vi của nó có thể là độc hại hoặc chỉ bị cấu hình sai.

Trong thời đại trí tuệ nhân tạo, danh tính, kiểm soát truy cập, đặc quyền tối thiểu, phân đoạn và hiển thị là không chỉ các phương pháp hay nhất – chúng là các yêu cầu bảo mật cơ bản. Một bản cáo bạch gần đây của Hiệp hội An ninh Đám mây được phát triển với SANS, Dự án An ninh Trí tuệ nhân tạo Gen AI của OWASP và một cộng đồng các nhà thực hành, củng cố điểm rằng trí tuệ nhân tạo chủ động không làm cho những cơ bản này trở nên lỗi thời. Nó làm cho chúng không thể thương lượng.

Bảo mật sẵn sàng cho trí tuệ nhân tạo trông như thế nào

Xử lý sự sẵn sàng của trí tuệ nhân tạo như một câu hỏi mua sắm và tập trung vào việc thực hiện các công cụ được hỗ trợ bởi trí tuệ nhân tạo nào bỏ qua thực tế rằng sự sẵn sàng của trí tuệ nhân tạo là một vấn đề về kiến trúc, quản trị và kiểm soát. Câu hỏi không phải là công cụ nào để mua, mà là liệu môi trường có hỗ trợ trí tuệ nhân tạo hoạt động an toàn hay không.

Bắt đầu với hiển thị. Trước khi triển khai bất kỳ khả năng trí tuệ nhân tạo nào, các nhóm bảo mật cần có một bức tranh rõ ràng về những gì tồn tại trong môi trường: tài sản, tải trọng, danh tính, ứng dụng, dữ liệu, mô hình trí tuệ nhân tạo, tác nhân và kết nối của bên thứ ba. Đó không phải là thứ mà trí tuệ nhân tạo có thể xây dựng cho bạn. Đó là điểm bắt đầu mà trí tuệ nhân tạo cần để làm bất cứ điều gì hữu ích.

Từ đó, xác định vấn đề. Xác định khoảng trống kiểm soát hoặc rủi ro cụ thể đầu tiên. Quyết định kết quả nào cần cải thiện. Sau đó hỏi liệu trí tuệ nhân tạo có thể giúp đóng khoảng trống đó tốt hơn so với các phương pháp khác. Các tổ chức bắt đầu với một công cụ trí tuệ nhân tạo và sau đó tìm kiếm một vấn đề để áp dụng nó có xu hướng tạo ra hoạt động mà không cải thiện bảo mật.

Áp dụng các nguyên tắc tin cậy không vào các tác nhân trí tuệ nhân tạo là nơi nó trở thành hoạt động. Sự trực giác thường là xác định những gì các tác nhân không nên làm, nhưng danh sách đó sẽ luôn không đầy đủ. Một cách tiếp cận đáng tin cậy hơn là quy định những gì mỗi tác nhân có thể làm, chỉ cấp cho nó quyền truy cập mà một nhiệm vụ cụ thể yêu cầu và thực thi những giới hạn đó trên mọi lớp của ngăn xếp. Phân đoạn các hệ thống mà các tác nhân có thể tiếp cận để nếu một trong số chúng hành động ngoài ranh giới được xác định hoặc một kẻ tấn công lạm dụng nó, thiệt hại sẽ được giữ lại.

Cuối cùng, sự gia tăng hoạt động không phải là một chỉ số thành công. Trí tuệ nhân tạo sẽ tăng số lượng hành động mà một nhóm bảo mật thực hiện, nhưng điều đó không có nghĩa là nó đang cải thiện bảo mật. Một bảng điều khiển hiển thị nhiều hoạt động không cho thấy trí tuệ nhân tạo đang cung cấp giá trị.

Đo lường kết quả, chẳng hạn như liệu số lượng cảnh báo có giảm trong các cách phản ánh tín hiệu thực và mức độ rủi ro đang giảm nhanh hơn trong các lĩnh vực quan trọng nhất. Đảm bảo rằng các khuyến nghị chính sách làm mạnh mẽ các kiểm soát, cho phép nhóm bảo mật chứa các sự cố nhanh hơn và cho phép các nhà phân tích SOC dành nhiều thời gian hơn cho công việc đòi hỏi phán quyết của con người.

Nền tảng đến trước

Trí tuệ nhân tạo không phải là nền tảng của một tư thế bảo mật mạnh mẽ. Nó là một nhân tố nhân, và như bất kỳ nhân tố nhân nào, giá trị của nó phụ thuộc hoàn toàn vào những gì bạn áp dụng nó.

Các tổ chức đã xây dựng kiến trúc vững chắc với hiển thị rõ ràng, thực thi đặc quyền tối thiểu, phân đoạn và kiểm soát danh tính mạnh mẽ có thể sử dụng trí tuệ nhân tạo để làm sắc nét ngữ cảnh, tăng tốc phân tích và hành động trên thông tin tốt hơn. Những người không làm như vậy sẽ thấy rằng trí tuệ nhân tạo di chuyển họ nhanh hơn theo hướng sai, tối ưu hóa các kiểm soát khiếm khuyết và đưa ra thông tin chi tiết từ một bức tranh không đầy đủ.

Câu hỏi phải được hỏi trước khi thực hiện bất kỳ khoản đầu tư trí tuệ nhân tạo nào là câu hỏi mà nên thúc đẩy mọi quyết định bảo mật: Vấn đề chúng ta đang cố gắng giải quyết là gì? Nếu câu trả lời rõ ràng và kiến trúc để hỗ trợ nó đã được đặt ra, thì trí tuệ nhân tạo có thể làm cho giải pháp hiệu quả hơn. Nếu câu trả lời không rõ ràng hoặc nền tảng yếu, việc thêm trí tuệ nhân tạo sẽ không thay đổi điều đó. Nó sẽ chỉ làm cho khoảng trống khó thấy hơn.

Trí tuệ nhân tạo sẽ không sửa chữa một nền tảng bảo mật bị hỏng. Nó sẽ chỉ làm cho các vết nứt trở nên rõ ràng hơn.