Bezpieczeństwo cybernetyczne systemy są gotowe do zakłóceń. Z biegiem lat mnożyły się poszczególne narzędzia, każde z własnym formatem danych, powodując zalew nieporównywalnych danych. Ponadto na całym świecie brakuje wykwalifikowanych analityków cyberbezpieczeństwa, którzy potrafią ocenić te dane (a są one bardzo drogie, jeśli można je znaleźć). Wreszcie hakerzy stają się coraz mądrzejsi i bardziej kreatywni. Sztuczna inteligencja miała być lekarstwem na te problemy, ale miała ograniczone zastosowanie w rozwiązywaniu problemu na dużą skalę, ponieważ wymaga dużej, przemyślanej infrastruktury. W tym artykule przyjrzymy się roli AI w cyberbezpieczeństwie systemy i jak może stać się prawdziwie transformacyjną technologią.
AI jako olej z węża
Sztuczna inteligencja jest często wspominana w literaturze marketingowej opisującej rozwiązania z zakresu cyberbezpieczeństwa, ale jak dotąd nie była tak transformująca, jak mogłoby się wydawać. Pomimo wielkości rynku, która rośnie w tempie 20.5 procent złożonej rocznej stopy wzrostu, sztuczna inteligencja nadal jest trudna do wdrożenia w przypadku problemów związanych z bezpieczeństwem. Gdybyś wszedł do nowoczesnego centrum operacji bezpieczeństwa (SOC), prawdopodobnie znajdziesz duże telewizory z trudnymi do odczytania pulpitami nawigacyjnymi i CNN, a także analitycy bezpieczeństwa, którzy prawdopodobnie uważają swoją pracę za bolesną, ponieważ spędzają czas na ręcznym korelowaniu danych i próbowaniu rozeznania, co dzieje się w ich przedsiębiorstwie w twarz coraz bardziej złożonych ataków. Jeśli ludzie to robią, to nasuwa się pytanie, „Gdzie jest sztuczna inteligencja?”
Bezpieczeństwo cybernetyczne jest kłopotliwym problemem operacyjnym i to jest krótki powód, dla którego sztuczna inteligencja powoli go przekształca. Znalezienie zagrożeń w przedsiębiorstwie w setkach źródeł danych telemetrycznych, gdy zagrożenia często wyglądają identycznie z normalną aktywnością, jest bardzo trudnym problemem. Co więcej, dane z każdego narzędzia bezpieczeństwa mogą przybierać różne formy i muszą zostać znormalizowane, zanim będą mogły zostać wykorzystane do szkolenia systemu sztucznej inteligencji.
Niezależnie od branży i przypadku użycia sztuczna inteligencja uczy się na podstawie danych – Silnik AI musi być przeszkolony z danymi, aby mógł zacząć uczyć się, co jest anomalią, a co nie. To właśnie jest tak kłopotliwe w problemie bezpieczeństwa: dane bezpieczeństwa każdego przedsiębiorstwa wyglądają co najmniej trochę inaczej, z różnymi narzędziami i wzorcami zachowań, a maksymalnie dane wyglądają zupełnie inaczej. Nie ma złotego zestawu danych szkoleniowych w zakresie bezpieczeństwa, na który można by licencjonować, tak jak w przypadku systemów rozpoznawania obrazu lub mowy. Jeśli chcesz wykorzystać sztuczną inteligencję do rozwiązania problemu bezpieczeństwa, musisz stworzyć i pozyskać własne dane.
Normalizacja danych tak, aby były przydatne dla silnika AI, jest ogromnym wyzwaniem. Problem jest tak cenny, że Scale AI, startup tworzący interfejsy API danych na potrzeby rozwoju AI, skoncentrowany przede wszystkim na aplikacjach samochodowych bez kierowcy, złapała wycenę 7 miliardów dolarów mniej niż pięć lat po jej założeniu. Scale AI już zalicza wiele najbardziej innowacyjnych organizacji na świecie do swoich klientów.
Co zajmie transformacyjna sztuczna inteligencja
Sztuczna inteligencja w bezpieczeństwie ostatecznie zmieni się, prawdopodobnie zarówno w ofensywie, jak i obronie, ale to już historia na inny dzień. W tym przypadku „transformacyjny” oznacza szeroko zakrojoną transformację we wszystkich aspektach bezpieczeństwa, a więc zasadniczo zmienia sposób, w jaki przedsiębiorstwo traktuje bezpieczeństwo. Na razie musimy zadowolić się pewnymi ograniczonymi aplikacjami, w których sztuczna inteligencja może poprawić bezpieczeństwo.
Mimo to istnieje kilka jasnych punktów dla AI w bezpieczeństwie; można je łatwo znaleźć, przemyślając problem z danymi. Które części stosu zabezpieczeń generują czyste, możliwe do trenowania dane? Oszustwa e-mail i wykrywanie złośliwego oprogramowania to dwa świetne przykłady: Silnik AI może uczyć się z dostępnych przykładów phishingu lub sygnatur złośliwego oprogramowania i wykrywać podobne exploity. Dane z wiadomości e-mail klientów i piaskownic złośliwego oprogramowania mogą być wykorzystywane do trenowania modeli sztucznej inteligencji, które napędzają produkty dla przedsiębiorstw. To samo szkolenie jest znacznie trudniejsze do wdrożenia w przypadku problemów, takich jak wykrywanie ataków, które przemieszczają się w kierunku poprzecznym przez sieć (powiedzmy, od zapory do serwera Active Directory i serwera danych), ponieważ ten ruch w kierunku poprzecznym będzie wyglądał nieco inaczej w każdym przedsiębiorstwie.
Stworzenie sztucznej inteligencji, która będzie szeroko chronić przedsiębiorstwo we wszystkich jego operacjach cyfrowych, będzie przypominać wysiłki podejmowane obecnie przez firmy produkujące samochody bez kierowcy. Na przykład od 2009 r. oprogramowanie Waymo do samochodów bez kierowcy jest szkolone ponad 15 miliardów mil symulowanej jazdy i ponad 20 milionów mil publicznej jazdy. Waymo ma rygorystyczne podejście do testowania na różnych poziomach wierności (symulacja, zamknięty kurs, świat rzeczywisty), realizując scenariusze z tysiącami wariantów, jednocześnie zbierając dane w celu poprawy.
Nie jest to idealna analogia do sztucznej inteligencji w bezpieczeństwie, ale jest całkiem dobra – testowanie z symulowanymi danymi, testowanie w środowiskach laboratoryjnych z symulowanymi lub rzeczywistymi atakami oraz testowanie w rzeczywistych operacjach w zróżnicowanym zestawie przedsiębiorstw. Problemy bezpieczeństwa z naturalnym dostępem do czystszych danych pojawią się w przypadku produktów naprawdę opartych na sztucznej inteligencji szybciej niż trudniejsze problemy z danymi w całym stosie bezpieczeństwa przedsiębiorstwa. Dotarcie tam będzie wymagało czasu i kapitału, a innowacje, które bezwzględnie skupiają się na problemie danych, będą przede wszystkim odblokować szeroką transformację. Obecnie wiele narzędzi bezpieczeństwa po prostu nie koncentruje się na normalizacji danych, ponieważ zwykle są one blokowane w określonych punktach newralgicznych w całej infrastrukturze.
Jak będzie wyglądać transformacyjna sztuczna inteligencja w bezpieczeństwie
Wyobraź sobie, że każda inicjatywa IT, konfiguracja, dziennik zabezpieczeń i alert mogą być przeglądane przez czołowego światowego eksperta ds. bezpieczeństwa ludzi w danym obszarze w czasie rzeczywistym, bez zakłócania działalności biznesowej. Wyobraź sobie, że analitycy korporacyjni mogą konsultować się z ekspertem i uzyskiwać od niego wskazówki. Sztuczna inteligencja w bezpieczeństwie w końcu tak się poczuje.
Jak? Produkty zbudowane na przemyślanych zasobach danych, które redukują złożoność danych, ostatecznie staną się królami kategorii, w przeciwnym razie produkt nie będzie działał od klienta do klienta i będzie produktem z marżą podobną do usługi i nie będzie się skalować. (Andreesen Horowitz co ciekawe odkrył, że większość ich firm zajmujących się sztuczną inteligencją) mają znacznie niższe marże niż porównywalne firmy SaaS ze względu na nieodłączne koszty budowy i skalowania AI.)
Ci przyszli królowie kategorii będą musieli najpierw zainwestować w infrastrukturę i gromadzenie danych, prawdopodobnie przez lata, zanim ich dane będą mogły naprawdę zostać uznane za atut i pomóc w samodoskonaleniu charakteru ich produktu. Jednak gdy ci królowie firm uzyskają prawdziwy zasób danych dla sztucznej inteligencji, ich tempo innowacji będzie trudne, jeśli nie niemożliwe, do osiągnięcia przez konkurencję, i zostaną koronowani na króla kategorii, o ile nadal będą w stanie utrzymać intuicyjny produkt. Podobnie jak kategoria wyszukiwarek szybko skonsolidowała się z Google, to samo stanie się z rozwiązaniami z zakresu cyberbezpieczeństwa intensywnie korzystającymi z danych. W szczególności poszukaj dużej konsolidacji w informacjach dotyczących bezpieczeństwa i Zarządzanie wydarzeniami (SIEM), Rozszerzone wykrywanie i reakcja (XDR), Wykrywanie i reagowanie w punktach końcowych (EDR), Wykrywanie i reagowanie w sieci (NDR) rynki.
Tak więc sztuczna inteligencja pojawia się w obszarze bezpieczeństwa najpierw w przypadku mniejszych problemów, w których dane są mniej złożone, jak zauważono we wcześniejszych przykładach oszustw e-mail i złośliwego oprogramowania. Sztuczna inteligencja będzie następnie powoli wdrażać się do bardziej złożonych problemów z danymi, ale tylko produkty, które są bezwzględnie skoncentrowane na zarządzaniu złożonością danych, pojawią się ze znaczącym Silniki AI. Aby był skuteczny, program bezpieczeństwa oparty na sztucznej inteligencji musi być w stanie zbierać dane ze wszystkich dostępnych narzędzi bezpieczeństwa i kanałów zagrożeń, a następnie normalizować te dane, aby były przydatne do trenowania silnika sztucznej inteligencji. Tak będzie wyglądać przyszłość AI w cyberbezpieczeństwie.
O autorze
Sam Jones jest wiceprezesem ds. zarządzania produktami w firmie Stellar Cyber, Inc. Jest doświadczonym liderem rozwoju produktów z doświadczeniem w tworzeniu produktów AI i zabezpieczeń, które uwielbiają klienci. Ma duże doświadczenie w AI/ML, infrastrukturze danych, bezpieczeństwie, SaaS, projektowaniu produktów i obronie. Sam zajmował stanowiska produktowe i inżynierskie w firmach, w tym Palantir Technologies i Shield AI, a także pracował dla sił powietrznych USA nad strategią cyberobrony. Uzyskał tytuł licencjata z inżynierii elektrycznej i komputerowej na Uniwersytecie Cornell.
