Kunstmatige intelligentie (AI) heeft het getransformeerd internetveiligheid landschap voor meer dan een decennium, met machinaal leren (ML) het versnellen van de detectie van bedreigingen en het identificeren van afwijkend gedrag van gebruikers en entiteiten. Echter, recente ontwikkelingen in grote taalmodellen (LLM's), zoals OpenAI's GPT-3, hebben AI op de voorgrond van de cyberbeveiligingsgemeenschap gebracht. Deze modellen gebruiken gedocumenteerd internetveiligheid informatie om te leren hoe te reageren op vragen over het onderwerp. LLM's kan ook complexe beveiligingskwesties uitleggen in gemakkelijk te begrijpen taal, waardoor de niet-expert in de wereld van internetveiligheid.
Terwijl LLM's zijn geen wondermiddel voor cyberbeveiliging, ze kunnen cyberaanvallen snel op grote schaal detecteren en beperken. Helaas, zoals bij alle ontwikkelingen in de wereld van cyberbeveiliging, maken slechte actoren gebruik van LLM's om de breedte en snelheid van hun aanvallen te vergroten met enig vroeg succes.
Een van de grote uitdagingen bij hefboomwerking AI voor cyberbeveiliging bouwt aan vertrouwen. Vertrouwen is alles in beveiliging, en verkopers hebben jarenlang "snel en losjes" gespeeld "AI/ML", waarbij ze vaak hun capaciteiten overdrijven om de belangstelling voor hun aanbod te vergroten. Deze praktijk heeft ertoe geleid dat veel besluitvormers op het gebied van cyberbeveiliging sceptisch zijn over technologie die wordt aangeprezen AI / ML mogelijkheden. Bovendien zijn nauwkeurigheid en verklaarbaarheid twee belangrijke uitdagingen met betrekking tot AI / ML. De gegevens die worden gebruikt om te trainen AI/ML-modellen stuurt de output van de modellen. Als de trainingsgegevens niet de 'echte wereld' vertegenwoordigen, zal het model een vertekening ontwikkelen die het vermogen om de verwachte resultaten te leveren kan verstoren. Sommige gegevens, zoals informatie over bedreigingen, goede en slechte bestandskenmerken, indicatoren van compromissen (IOC's) en dergelijke, zijn voor iedereen toegankelijk. Gedragsgegevens van gebruikers en entiteiten zijn echter alleen van toepassing op de specifieke gebruiker of entiteit.
Een andere grote uitdaging is de beveiliging van gegevens. Het is essentieel om te definiëren en te controleren welke trainingsgegevens kunnen worden gedeeld en welke gegevens bij organisaties blijven. In verkeerde handen kunnen deze gegevens slechte actoren helpen om hun aanvallen te ondermijnen AI/ML's vermogen om hun bestanden, applicaties en gedrag als snode te identificeren. Als gevolg hiervan moeten overheden en commerciële entiteiten regelgeving, standaarden en best practices opstellen om nieuwe bedreigingen te dwarsbomen.
Bijvoorbeeld Uitgebreide detectie en respons (XDR) producten stellen niet-ervaren gebruikers in staat om resultaten te leveren die ooit alleen voor senior beveiligingspersoneel waren bedacht. Niet-experts kunnen uitgebreide onderzoeken en antwoorden uitvoeren zonder complexe vragen te schrijven of scripts te ontwikkelen. Als gevolg hiervan zien we de huidige talentkloof tussen vraag en aanbod van beveiligingsprofessionals.
Recent AI-ontwikkelingen zal het automatiseringsproces versnellen, waardoor detectie en respons sneller en effectiever worden. Hoewel gegevensverzameling, normalisatie, detectie en automatisering van correlaties mogelijk zijn, vereisen complexe, op maat gemaakte aanvallen de betrokkenheid van professionele beveiligingsexperts. Bovendien maken aanvallers vaak misbruik van menselijke vectoren, zoals te zien is bij spraakmakende aanvallen zoals SolarWinds en de Colonial Pipeline-aanval. Hoewel het onmogelijk is om de mogelijkheid uit te sluiten dat een gebruiker per ongeluk deel gaat uitmaken van een Cyber aanval, voortdurende technologische vooruitgang in combinatie met de beschikbaarheid van MDR/MSSP-services maakt het mogelijk om voortdurend de kans te verkleinen dat de acties van een gebruiker, hetzij opzettelijk of per ongeluk, leiden tot een wijdverbreide inbreuk.
Wat betreft voortgangsindicatoren voor AI in cyberbeveiliging, beveiliging postuur versus beveiligingsbudget is de ultieme beproeving. Levert AI betere resultaten op die goedkoper/sneller zijn dan het alternatief? Beveiligingsteams van ondernemingen vertegenwoordigen de AI-impact in daadwerkelijke veranderingen in prestatiestatistieken, zoals de gemiddelde tijd om te detecteren en te reageren (MTTD en MTTR, respectievelijk). MSSP's hebben de beste mogelijkheid om de impact van AI op hun bedrijfsresultaten positief of negatief te verwoorden. Aangezien ze diensten leveren om inkomsten te genereren, zouden ze na de adoptie de tastbare financiële implicaties moeten zien AI-gestuurde cyberbeveiliging oplossingen. Er bestaan geen wondermiddelen in de wereld van cybersecurity. Beveiligingsleveranciers die een technologie aanprijzen als 100% effectief of beweren alle inbreuken te kunnen voorkomen en detecteren, zouden door de gemeenschap bespot moeten worden, omdat ze daarmee hun onbegrip van cybersecurity aan de kaak stellen. Dat gezegd hebbende, kunnen recente ontwikkelingen in LLM's en andere AI-technologieën de snelheid en het gemak waarmee bedreigingen worden gedetecteerd en beperkt, beïnvloeden. De cybersecuritygemeenschap moet vertrouwen, nauwkeurigheid en verantwoording hebben om het volledige potentieel van AI te benutten. Bovendien zullen er altijd complexe aanvallen zijn die menselijke tussenkomst vereisen, en voortgangsindicatoren moeten zich richten op metrics zoals de beveiligingsstatus versus het beveiligingsbudget. SOC Automatisering. AI kan ons helpen een veiligere digitale wereld te creëren door deze uitdagingen aan te pakken en de voortgang te volgen.
