Будущее ИИ в защитной кибербезопасности



ИИ — это модное слово, которое часто используется в кибербезопасности — часто, кажется, чтобы скрыть и произвести впечатление, а не прояснить, как работают продукты и услуги. Это прискорбно, потому что помимо шумихи роль искусственного интеллекта в кибербезопасности становится все более незаменимой. Хотя ИИ не решит всех проблем, он предоставляет растущий набор инструментов для ускорения рабочих процессов безопасности и более эффективного обнаружения угроз. На самом деле, есть несколько способов, которыми ИИ уже революционизирует кибербезопасность.

Сопоставление с образцом и обнаружение угроз
До последних пятидесяти лет большая часть обнаружения киберугроз выполнялась с помощью небольших написанных от руки программ сопоставления с образцом (называемых сигнатурами, правилами или индикаторами компрометации). Широкое внедрение ИИ изменило это. Теперь поставщики средств безопасности находятся на долгом пути к дополнению технологии обнаружения на основе сигнатур с помощью ИИ в каждом контексте для обнаружения: обнаружение фишинговых электронных писем, вредоносных мобильных приложений, выполнения вредоносных команд и тому подобного.

ИИ не заменит подписи, да и не должен, потому что эти технологии дополняют друг друга. В то время как сигнатуры хорошо обнаруживают известные артефакты угроз, алгоритмы искусственного интеллекта, обученные на обширных базах данных угроз, которые компании, занимающиеся кибербезопасностью, накопили за многие годы, лучше обнаруживают ранее невидимые артефакты. В то время как сигнатуры можно создавать и развертывать быстро, для обучения и развертывания технологий искусственного интеллекта требуется гораздо больше времени. И хотя авторы сигнатур могут точно контролировать, какие угрозы обнаружат и не обнаружат их сигнатуры, ИИ по своей сути вероятностный и его труднее контролировать.

Маркетинговые тексты безопасности часто противопоставляют подходы обнаружения на основе ИИ подходам сигнатур, но за кулисами хорошие архитекторы продуктов безопасности пришли к пониманию, что эти методы довольно элегантно дополняют друг друга. Хорошей новостью здесь является то, что гибридизация сигнатур с ИИ существенно меняет нашу способность обнаруживать кибератаки, включая программы-вымогатели, которые были ответственны за некоторые из крупнейших кибератак прошлого года, включая Colonial Pipeline, Kaseya и Kronos.

Будущее ИИ в кибербезопасности
К сожалению, большая часть сообщества специалистов по безопасности не изучает возможности применения ИИ за рамками узкого варианта использования для обнаружения атак. Чтобы идти в ногу с угрозами, необходимо исследовать новые области применения ИИ, которые могут дополнить людей-операторов, которые являются последней и самой важной линией защиты от кибератак.

Это сложно, поскольку требует, чтобы лидеры в области кибербезопасности следили за быстро развивающимся пространством исследований и разработок в области ИИ так же, как мы отслеживаем тенденции в практике кибербезопасности и угрозы кибербезопасности. Но это слишком важный приоритет, чтобы отказываться от него.

Некоторые области, на которых необходимо срочно сосредоточиться сообществу специалистов по оборонной кибербезопасности, включают:

  • Модели искусственного интеллекта, которые могут точно предсказать, какие случаи безопасности действительно волнуют аналитиков, а затем интуитивно подскажут соответствующую информацию для операторов безопасности.
  • Пользовательский интерфейс с естественным языком и визуализацией мало чем отличается от того, как вы можете искать номера случаев COVID-19, когда Google возвращает результаты в виде аккуратно визуализированного графика отслеживания случаев. Эти технологии будут отображать и визуализировать соответствующую информацию во время инцидентов кибербезопасности с «живым огнем».
  • Модели ИИ, которые могут помочь объяснить, что делают подозрительные наблюдаемые объекты; например, искусственные нейронные сети, которые могут автоматически объяснять пользователям назначение подозрительного сценария PowerShell, тем самым ускоряя понимание аналитиками доказательств, относящихся к инциденту.

Хотя мы можем рассчитывать на то, что киберпреступники проявят творческий подход и будут действовать смело, применяя ИИ для своих злонамеренных целей (например, используя искусственный интеллект для создания фишинговых электронных писем или поддельных профилей в социальных сетях), ИИ не должен быть прерогативой только злоумышленников в сфере кибербезопасности. Нам нужно продолжать постепенно улучшать ИИ, который мы уже используем для улучшения обнаружения кибератак. И в условиях быстро меняющегося и сложного ландшафта угроз, с которыми мы сталкиваемся, ИТ-директора, технические директора, ИТ-специалисты и группы безопасности должны взять на себя обязательство изучать новые и творческие способы применения технологий ИИ, которые сосредоточены на помощи операторам-людям, от которых в конечном итоге зависит безопасность нашей сети.

https://cyberxhack.org/