Кібербезпека Системи готові до руйнівних змін. Протягом багатьох років окремі інструменти поширилися, кожен зі своїм власним форматом даних, що спричинило потік різнорідних даних. Крім того, існує глобальна нестача кваліфікованих аналітиків з кібербезпеки, які можуть оцінювати ці дані (і вони дуже дорогі, якщо їх взагалі можна знайти). Нарешті, хакери постійно стають розумнішими та креативнішими. Штучний інтелект мав стати ліками від цих проблем, але його використання у вирішенні проблеми в масштабах обмежене, оскільки він вимагає великої, ретельно спланованої інфраструктури. У цій статті ми розглянемо роль... ШІ в кібербезпеці системи та як це може стати справді трансформаційною технологією.
Штучний інтелект як зміїна олія
Штучний інтелект часто згадується в маркетинговій літературі, що описує рішення з кібербезпеки, але поки що він не був таким трансформаційним, як можна було б подумати. Незважаючи на те, що розмір ринку зростає швидкими темпами 20.5-відсотковий складний річний темп зростання, ШІ все ще залишається складним у використанні для вирішення проблем безпеки. Якби ви зайшли в сучасний центр операцій безпеки (SOC), ви, ймовірно, знайдете великі телевізори з важкочитабельними панелями керування та CNN, а також аналітиків з безпеки, яким, ймовірно, важко працювати, оскільки вони витрачають свій час на ручне зіставлення даних та намагаються розібратися, що відбувається на їхньому підприємстві перед обличчям дедалі складніших атак. Якщо це роблять люди, виникає питання, «Де ж штучний інтелект?»
Кібербезпека є складною операційною проблемою, і це коротка причина, чому штучний інтелект повільно її трансформує. Виявлення загроз у підприємстві серед сотень джерел телеметрії, коли загрози часто виглядають ідентично звичайній активності, є дуже складною проблемою. Більше того, дані з кожного інструменту безпеки можуть мати різні форми, і їх необхідно нормалізувати, перш ніж їх можна буде використовувати для навчання системи штучного інтелекту.
Незалежно від галузі та варіанту використання, ШІ навчається з даних – Двигун AI його потрібно навчати на даних, щоб він міг почати розпізнавати, що є аномалією, а що ні. Ось що є таким складним у проблемі безпеки: дані безпеки кожного підприємства виглядають, як мінімум, трохи по-різному, з різними інструментами та моделями поведінки, а як максимум, дані виглядають разюче по-різному. Немає золотого навчального набору даних у сфері безпеки, який можна ліцензувати, як це можливо для систем розпізнавання зображень чи мовлення. Якщо ви хочете використовувати штучний інтелект для вирішення проблеми безпеки, вам потрібно створити та отримати власні дані.
Нормалізація даних, щоб вони були корисними для механізму штучного інтелекту, є величезним викликом. Проблема настільки цінна, що Scale AI, стартап, який створює API даних для розробки штучного інтелекту, в основному зосереджений на застосунках для безпілотних автомобілів, оцінили в 7 мільярдів доларів менш ніж через п'ять років після заснуванняScale AI вже має багато найінноваційніших організацій світу серед своїх клієнтів.
Що вимагатиме трансформаційний штучний інтелект
Штучний інтелект у сфері безпеки зрештою стане трансформаційним, ймовірно, як для нападу, так і для оборони, але це вже тема для іншої розмови. Тут «трансформаційний» означає широко трансформаційний, у всіх аспектах безпеки, тому він фундаментально змінює те, як підприємство підходить до питання безпеки. Наразі нам доводиться задовольнятися деякими обмеженими сферами застосування, де ШІ може покращити безпеку.
Однак, є деякі світлі сторони ШІ в безпеці; їх легко знайти, продумавши проблему даних. Які частини стеку безпеки генерують чисті, навчальні дані? Шахрайство електронною поштою та виявлення шкідливого програмного забезпечення – два чудових приклади: Двигун AI можуть навчатися на доступних прикладах фішингу або сигнатурах шкідливого програмного забезпечення та виявляти подібні експлойти. Дані з електронних листів клієнтів та пісочниць шкідливого програмного забезпечення можна використовувати для навчання моделей штучного інтелекту, які є основою для корпоративних продуктів. Таке ж навчання набагато складніше реалізувати для таких проблем, як виявлення атак, що рухаються латерально через мережу (скажімо, від брандмауера до сервера Active Directory та на сервер даних), оскільки цей латеральний рух виглядатиме дещо по-різному на кожному підприємстві.
Створення штучного інтелекту, який забезпечить загальний захист підприємства в усіх його цифрових операціях, певним чином нагадуватиме зусилля, яких сьогодні докладають компанії, що займаються розробкою автомобілів без водія. Наприклад, з 2009 року програмне забезпечення Waymo для автомобілів без водія навчалося понад... 15 мільярдів миль симульованого водіння та понад 20 мільйонів миль досвіду водіння в громадських місцяхWaymo має ретельний підхід до тестування на різних рівнях точності (симуляція, замкнутий курс, реальний світ), виконуючи сценарії з тисячами варіацій, постійно збираючи дані з метою вдосконалення.
Це не ідеальна аналогія для ШІ в безпеці, але вона досить непогана – тестування з імітованими даними, тестування в лабораторних умовах із імітованими або реальними атаками та тестування в реальних операціях у різноманітних підприємствах. Проблеми безпеки з природним доступом до чистіших даних виникнуть у справді ефективних продуктах на базі ШІ швидше, ніж складніші проблеми з даними в усьому стеку корпоративної безпеки. Для цього знадобиться час і капітал, а інновації, які безжально зосереджені на проблемі даних, перш за все розблокують широку трансформацію. Сьогодні багато інструментів безпеки просто не зосереджені на нормалізації даних, оскільки вони, як правило, ізольовані в певних больових точках загальної інфраструктури.
Як виглядатиме трансформаційний штучний інтелект у сфері безпеки
Уявіть, що кожну ІТ-ініціативу, конфігурацію, журнал безпеки та сповіщення може переглянути провідний світовий експерт з безпеки людини в цій галузі в режимі реального часу, без переривання бізнес-операцій. Уявіть, що корпоративні аналітики можуть консультуватися з цим експертом та отримувати від нього вказівки. Штучний інтелект у сфері безпеки зрештою відчуватиметься саме так.
Як? Продукти, побудовані на продуманих активах даних, що зменшують складність даних, зрештою стануть королями категорії, інакше продукт не працюватиме від клієнта до клієнта, і це буде продукт із маржею, як у сервісі, і не буде масштабуватися. (Цікаво, що Андресен Горовіц виявив, що більшість їхніх корпоративних компаній зі штучним інтелектом мають значно нижчу маржу, ніж аналогічні SaaS-бізнеси, через невід'ємні витрати на створення та масштабування штучного інтелекту.)
Цим майбутнім королям категорій спочатку доведеться інвестувати в інфраструктуру даних та їх збір, ймовірно, роками, перш ніж їхні дані можна буде по-справжньому вважати активом і сприяти самовдосконаленню їхнього продукту. Однак, як тільки ці королі компаній отримають реальний актив даних для ШІ, їхні темпи інновацій буде важко, якщо не неможливо, зрівнятися з конкурентами, і вони будуть короновані королями категорії, якщо їм все ще вдасться підтримувати інтуїтивно зрозумілий продукт. Тож, так само, як категорія пошукових систем швидко консолідувалася з Google, те саме станеться з рішеннями для кібербезпеки, що інтенсивно використовують дані. Зокрема, слід очікувати значної консолідації в інформаційній безпеці та Управління подіями (SIEM), розширене виявлення та реагування (XDR), Виявлення кінцевої точки та відповідь (EDR) та Виявлення мережі та відповідь (NDR) ринки.
Отже, ШІ спочатку з'являється в безпеці для вирішення менших проблем, де складність даних менша, як зазначалося раніше в прикладах шахрайства з електронною поштою та шкідливого програмного забезпечення. Потім ШІ поступово розгортатиметься для вирішення складніших проблем з даними, але з'являться лише продукти, які безжально зосереджені на управлінні складністю даних, зі змістовним підходом. Двигуни штучного інтелекту. Щоб бути ефективною, програма безпеки на основі штучного інтелекту повинна мати можливість збирати дані з усіх доступних інструментів безпеки та каналів загроз, а потім нормалізувати ці дані, щоб вони були корисними для навчання механізму штучного інтелекту. Саме так виглядатиме майбутнє штучного інтелекту в кібербезпеці.
Про автора
Сем Джонс — віце-президент з управління продуктами в Stellar Cyber, Inc. Він є досвідченим керівником розробки продуктів з досвідом створення продуктів штучного інтелекту та безпеки, які подобаються клієнтам. Він має великий досвід у сфері штучного інтелекту/машинного навчання, інфраструктури даних, безпеки, SaaS, дизайну продуктів та оборони. Сем обіймав посади розробника продуктів та інженера в таких компаніях, як Palantir Technologies та Shield AI, а також працював у ВПС США над стратегією кіберзахисту. Він отримав ступінь бакалавра з електротехніки та комп'ютерної інженерії в Корнельському університеті.
