Існує два типи кібератак: автоматизовані опортуністичні спроби проникнути в мережу та цільові атаки з розширеною стійкою загрозою (APT). Перші становлять більшість, і штучний інтелект (ШІ) може автоматично блокувати більшість із них. Але за APT часто стоять люди. Для захисту від таких атак на мережевому рівні потрібні як штучний інтелект, так і експерти з безпеки.
Хакерів спочатку ідентифікують за слідами їх шкідливого програмного забезпечення в мережі. Однак ці аномальні схеми трафіку легко губляться в масі інформації. Залишені напризволяще, ІТ-менеджери-людини приголомшені, коли доходить до їх розпізнавання.
Однак визнати це одне
Штучний інтелект робить важливий внесок у захист, виявляючи аномалії в трафіку даних у режимі реального часу на основі метаданих, а потім подає сигнал тривоги, щоб викликати захисні реакції. За словами експертів Splunk, ШІ та автоматизований кіберзахист можуть автоматично виявляти 90 відсотків інцидентів безпеки Tier 1 та ініціювати усунення.
Залишається питання: а що з рештою XNUMX відсотків? Оскільки за складними атаками часто стоять злочинці, людська логіка та людське судження під час аналізу інформації є важливими для надійного захисту.
Додана цінність через аналітиків ІТ-безпеки
Жоден кіберзахист більше не може обійтися без ШІ. Але люди-спостерігачі все ж пропонують важливий плюс:
1. ШІ та людський інтелект доповнюють один одного
AI, оптимізований за допомогою машинного навчання (ML) і аналізу загроз, може швидко й без помилок аналізувати великі обсяги інформації. Експерт із ІТ-безпеки спирається на це та інтерпретує шаблони трафіку даних. У той же час він керує захистом, використовуючи перевірені процеси. Завдяки своїм знанням про компанію та ІТ, він також є важливим тренером зі штучного інтелекту. Тут він прискорює визначення нормальних і, отже, легітимних передач даних - серед іншого, позначаючи критично важливі для ІТ-безпеки системи. Він також враховує таку інформацію, яка не відображається в мережевому трафіку: якщо, наприклад, пристрої доступні, але не керуються централізовано, або якщо компанія встановлює нову штаб-квартиру, що пояснює запити з IP-адресами, які до цього часу були незвичними точка. Або коли він впроваджує нові технології, програми і, отже, системи.
2. Оцініть інформацію в контексті
Штучний інтелект – це статистичний підхід. Оскільки для розпізнавання, захисту та запобігання небезпеці потрібні зв’язки, які виходять за межі індивідуальних даних, люди та їхня здатність судити відіграють важливу роль. Знання конкретної компанії допомагає, наприклад, коли постачальник ІТ-послуг на замовлення компанії раптом діє в підмережі, на яку він взагалі не має замовлення. Навіть якщо структура трафіку даних спочатку здається нічим не примітною, перевищення повноважень може свідчити про скомпрометованість постачальника ІТ-послуг і його слід перевірити.
3. Передбачте наступні кроки хакера
Комплексні вдосконалені стійкі загрози (APT) все ще створені людиною. За фішинговими атаками на важливих людей у компанії часто стоять не спам-боти, а професіонали соціальної інженерії, які потрапляють в Інтернет через цільове вкладення електронної пошти. Тоді ШІ розпізнає, що зловмисник втручається в мережу. Індивідуальна тактика хакера не відображена в статистичних показниках. Щоб передбачити наступні кроки зловмисника, досвідчений аналітик безпеки може поставити себе на місце хакера та передбачити його наступні дії.
4. Оцініть загальну мотивацію злочинця
Кіберзахист повинен враховувати мотиви злочинця. Не кожен зловмисник хоче вкрасти дані, зашифрувати їх і отримати викуп. Хакери мають різні мотиви: викрадення ресурсів для видобутку біткойнів, можливо, політично чи особисто мотивований саботаж або просто бажання знищити. Таким чином, захист має не лише захищати дані чи закривати витоки інформації. Стійка реакція вимагає розуміння людської психології.
5. Релевантна та пріоритетна безпека замість автоматичних механізмів захисту
Аналітик ІТ-безпеки визначає пріоритетність ризиків окремо для компанії. Вибір захисту залежить від контексту: чи це дані, які можна відновити, можуть більше не мати жодної цінності для компанії чи для часто цитованих коштовностей корони? ШІ не може відповісти на запитання про захист, відповідний ситуації, враховуючи актуальність даних або процесів для успіху бізнесу.
Крім того, аналітик має око на типові галузеві атаки. Якщо зараз хакери атакують інтернет-магазин X за допомогою зловмисного програмного забезпечення, не можна виключити, що згодом вони спробують спробувати конкурентів Y і Z. Штучний інтелект, який стежить лише за власною мережею, бачить такий ризик, лише якщо він підтримується сучасними даними про загрози.
6. Керуйте захистом і уникайте побічної шкоди
🔎 Фахівці зі штучного інтелекту та аналітики безпеки працюють разом, щоб створити надійний захист від небезпечних атак (Зображення: ForeNova).
ШІ має велику силу в розпізнаванні небезпеки та може автоматично почати захист. Однак будь-який захист має побічні ефекти та може погіршити ІТ-процеси чи бізнес-процеси. Захист може бути не менш складним і послідовним, ніж APT. Тому тут затребувані аналітики безпеки, оскільки вони можуть розглянути та зважити наслідки дій. Людський досвід може уникнути невиправданих побічних збитків, таких як блокування доступу до будівлі, контрольованого IoT, або ІТ-систем у медсестрах.
У подальшому після атаки аналітик безпеки виконує важливу консультативну роль. Використовуючи дзеркальний запис усієї мережі, він може криміналістично зрозуміти, що сталося та як можна запобігти майбутнім атакам.
Експерти зі штучного інтелекту та безпеки залежать один від одного
ІТ-безпека без ШІ залишилася в минулому. Тим не менш, експерт з безпеки зайвим не стане. Він залишається актуальним як безперервний інтерпретатор сигналів тривоги, як супервайзер у кризових ситуаціях і як порадник із перспективної ІТ-безпеки. Кожне «Виявлення та реагування» ідеально доповнюється «Керованим виявленням та реагуванням».
Більше на ForeNova.com
Про ForeNova ForeNova — американський спеціаліст із кібербезпеки, який пропонує компаніям середнього розміру доступні та комплексні засоби виявлення та реагування на мережу (NDR) для ефективного пом’якшення збитків від кіберзагроз і мінімізації бізнес-ризиків. ForeNova керує центром обробки даних для європейських клієнтів у Франкфурті. M. і розробляє всі рішення, сумісні з GDPR. Європейська штаб-квартира знаходиться в Амстердамі.