Постійне збільшення кількості успішних кібератак демонструє, як часто зловмисники досягають своїх цілей, незважаючи на сучасні рішення запобігання. У результаті все більше уваги приділяється технологіям, які служать для швидкого виявлення поточних атак - NDR (Network Detection & Response). Штучний інтелект – AI – і машинне навчання – системи на основі ML відіграють тут головну роль.
Однак, оскільки ці терміни часто плутаються, а тема «AI & ML» все ще залишається закритою книгою для багатьох компаній, Андреас Ріпен, керівник Центральної та Східної Європи Vectra AI, добирається до суті трьох основних питань.
Панацея чи зброя проти компаній?
Один із найпоширеніших міфів безпосередньо випливає з крайніх позицій, зайнятих у дискусії про ефективність штучного інтелекту та машинного навчання як рішень кібербезпеки. Однією крайністю є аргумент, що ШІ та машинне навчання є панацеєю від усіх проблем, пов’язаних із кібербезпекою. На іншому полюсі є аргумент, що штучний інтелект і машинне навчання не відіграють жодної ролі в кібербезпеці. На жаль, справжня правда набагато менше захоплює заголовки, і її важче цитувати маркетингові відділи. Справа в тому, що штучний інтелект і машинне навчання самі по собі не є панацеєю для вашого центру безпеки (SOC). Однак відмова від штучного інтелекту та машинного навчання залишить ваш SOC у невіданні щодо широкого спектру поточних і майбутніх атак. Легко зрозуміти, чому це так.
Рішення, які не використовують штучний інтелект або машинне навчання, не можуть встигати за постійними змінами методів та інструментів зловмисників. Інша (потенційно більш серйозна) проблема полягає в тому, що існують певні завдання, які просто не можуть виконати люди поодинці. Наприклад, люди не можуть дивитися на часові ряди зашифрованих потоків мережевого трафіку, щоб передбачити, які з них можуть містити прихований канал команди та контролю. Цей тип завдань потребує рішень AI та ML, які виходять за рамки людських можливостей.
Рішення AI та ML мають бути кращими
З іншого боку, рішення, що використовують лише загальні методи штучного інтелекту та машинного навчання, розроблені без контексту безпеки та специфіки домену, як правило, просто шукають статистичні аномалії в середовищі. Самі ці аномалії, ймовірно, є досить поширеними, хоча дуже малоймовірно, що будь-яка з них є злоякісною. Це призводить до підвищеної уваги та операційних витрат, а також відволікає увагу від фактичної поведінки зловмисників, яка часто виглядає нешкідливою. Сліпо довіряти рішенням кібербезпеки, заснованим на загальних конструкціях штучного інтелекту та машинного навчання, це все одно, що намагатися знайти голку в стозі сіна, спочатку додавши більше сіна.
Іншим міфом, який продовжує поширюватися, є уявлення про те, що образливий ШІ становить найбільшу загрозу навколишньому середовищу. Хоча з’являються нові загрози, пов’язані з використанням штучного інтелекту в кіберпросторі (наприклад, використання штучного інтелекту для генерування достовірного людського тексту для фішингових кампаній і створення фейків, як ми передбачали кілька років тому), уявлення про те, що системи на основі штучного інтелекту зараз використовуються для досягнення мети Наскрізні атаки просто відірвані від реальності. Будь-хто, хто продає продукт безпеки клієнту, припускаючи, що його основною загрозою є зловмисники ШІ, а не рішучі та творчі зловмисники, також може мати обхідний шлях, який вони намагаються вам продати.
Людські дефіцити в задачах кібербезпеки
Організації бачать ШІ як можливість повністю усунути людський дефіцит у задачах кібербезпеки. Це реально? Відповідь на це запитання значною мірою залежить від того, як хтось тлумачить слово fix. Брак експертів з кібербезпеки та пов’язані з цим ризики не викликають сумнівів. Цей недолік повинен викликати глибоку та постійну стурбованість серед тих, хто займається національною безпекою та економічним плануванням. Оскільки наше життя все більше залежить від цифрових підключених систем, ми повинні змиритися з тим фактом, що ми створюємо нові поверхні атак набагато швидше, ніж навчаємо експертів для захисту цих систем.
Зважаючи на це, необхідно зазначити, що AI та ML можуть зіграти очевидну роль у розрядці ситуації. Зрештою, є дві причини, чому це так: по-перше, AI та ML можна використовувати для відтворення певних аспектів людської поведінки. По-друге, AI і ML можна використовувати, щоб вийти за рамки того, на що здатні люди. У першому випадку можна автоматизувати частини робочого процесу фахівців з безпеки. У другому випадку AI і ML можна використовувати, щоб привернути увагу експертів до реальних загроз замість того, щоб зосереджуватися на поверховій і нешкідливій поведінці.
Зрештою, немає виходу з браку експертів з кібербезпеки. У цій сфері потрібно навчати більше людей. Проте штучний інтелект і машинне навчання відіграватимуть вирішальну роль, допомагаючи експертам знаходити та усувати загрози.
Що потрібно знати про відмінності між AI та ML у системах безпеки?
Різниця між AI і ML, ймовірно, стала настільки нечіткою, що намагатися справді відокремити два терміни вже не має сенсу. Набагато важливішим і плідним шляхом для компаній є запитати себе, чи тип технології в даному рішенні робить те, що людина не може зробити. Чи економить це час аналітика? Або це відволікає увагу від фактичних атак, які аналітик сподівається розкрити? Роздумувати про те, чи це штучний інтелект чи машинне навчання, схоже на хвилювання про те, чи плавають підводні човни. Зрештою, це зводиться до того, працює рішення чи ні.
Більше на Vectra.ai
Про Вектру Vectra є провідним постачальником засобів виявлення загроз і реагування на них для гібридних і мультихмарних підприємств. Платформа Vectra використовує штучний інтелект для швидкого виявлення загроз у загальнодоступній хмарі, додатках ідентифікації та SaaS, а також у центрах обробки даних. Лише Vectra оптимізує штучний інтелект для розпізнавання методів зловмисників – TTP (Tactics, Techniques and Processes), які лежать в основі всіх атак – замість того, щоб просто сповіщати про «інші».