Szlovákia bejelentette az AI CyberLab megalapítását, amely kezdeményezés a tudományos szférát, az állami intézményeket és a magánszektort hivatott összefogni a mesterséges intelligencia kibervédelmi alkalmazása terén. Ambiciózus lépés. De mire képes valójában az MI a kiberbiztonságban, és hol vannak a határai?
Mit tud valójában az MI a kiberbiztonságban
Az MI nem varázsmegoldás. Bizonyos területeken viszont mérhető értéket nyújt.
Hálózati forgalom anomáliáinak észlelése
Itt jeleskedik az MI. A hagyományos rendszer szabályok alapján működik. Ha X történik, riasztást indít. Egy modell ezzel szemben megtanulja, hogyan néz ki a normális viselkedés a hálózaton, és kiszúrja azt az eltérést, amelyet egy emberi elemző átugrott volna. Elkapja a zero-day támadásokat is, amelyekhez még nincs szignatúra, mert nem ismert ujjlenyomatot keres, hanem szokatlan viselkedést.
Az UEBA (User and Entity Behavior Analytics) rendszerek így észlelik, amikor egy alkalmazott szokatlan időpontban vagy szokatlan módon fér hozzá az adatokhoz.
Riasztások automatikus rangsorolása
Egy átlagos SOC (Security Operations Center) naponta több ezer riasztást kap, és a legtöbbjük téves. Az MI súlyosság és kontextus szerint rangsorolja és hozza összefüggésbe őket, így összeköti azokat az eseményeket is, amelyek külön-külön nem tűnnek kapcsolódónak. Az elemző pedig nem egy egész műszakot tölt a téves riasztások elkattintgatásával.
Kártevőelemzés
Egy új mintát az MI még azelőtt be tud sorolni az ismert családok mellé, hogy egy ember egyáltalán megnyitná a fájlt. Ezt követi a statikus és dinamikus elemzés sandbox környezetben, valamint a viselkedés előrejelzése a kód szerkezetéből. Az elemző így hipotézissel indul, nem üres képernyővel.
Threat Intelligence
Több threat intelligence jelenik meg, mint amennyit bárki el tud olvasni. Az MI automatikusan kinyeri a jelentésekből az IoC-ket (Indicators of Compromise), összefüggésbe hozza a fenyegetéseket a különböző források között, és megbecsüli a valószínű támadási vektorokat.
Hol csupán hype az MI
Nem minden olyan forradalmi, amit „MI-alapú biztonságként" adnak el, mint amilyennek a marketing állítja.
Teljesen autonóm védelem
Egyetlen józan biztonsági szakember sem ad az MI-nek teljes önállóságot az éles rendszerek felett. Az MI javasolhat, de a döntést embernek kell meghoznia. Az „önvezető kiberbiztonság" marketing, nem valóság. Aki ezt eladja Önnek, az vagy hazudik, vagy nem üzemeltet éles rendszereket.
Támadások előrejelzése
Az MI képes azonosítani a trendeket és mintázatokat, de nem tudja megbízhatóan előre jelezni a konkrét támadásokat. A kiberbiztonság továbbra is reaktív terület proaktív elemekkel, nem pedig fordítva.
Az elemzők leváltása
Az MI nem fogja leváltani a biztonsági elemzőket. Átalakítja a munkájukat. Kevesebb kézi rangsorolás, több stratégiai döntéshozatal. De az emberi ítélőképesség, a kreativitás és a kontextus megértésének képessége nem automatizálható.
Mit hozhat az AI CyberLab Szlovákiának
Megfelelően felállítva a kezdeményezés több dolgot is elérhet egyszerre.
Threat Intelligence megosztása
Egy központi platform, ahol a szervezetek biztonságosan cserélnek fenyegetettségi információkat. Az MI feldolgozza és összefüggésbe hozza a különböző forrásokból származó adatokat.
Kutatás és fejlesztés
Egyetemek és vállalatok együttműködése az MI biztonsági alkalmazásainak kutatásában. Szlovákia erős informatikai hagyományokkal rendelkezik, ezt ki kell használnia.
Ezen túlmenően a kezdeményezés MI-alapú cyber range-et biztosíthat a biztonsági csapatok képzéséhez (a védelemhez alkalmazkodó szimulált támadások), és összekapcsolhatja a biztonsági szakembereket a különböző szektorokban.
Amit mi teszünk
Egy ügyfelünknél anomáliaészlelést vezettünk be az éles naplóikra. Az első héten a rendszer olyan mintázatot talált, amelyet egy elemző valószínűleg figyelmen kívül hagyott volna. Rendszeres éjszakai kérések érkeztek egy jogosulatlan IP-címről, a normál forgalom közé rejtve. Pragmatikusan állunk az MI-hez, ott használjuk, ahol mérhető értéket nyújt. Nem ígérünk csodákat.
Az MI a kiberbiztonságban nem a jövő, hanem a jelen. De nem csodaszer, és valószínűleg soha nem is lesz az. A legtöbb értéket olyan emberek kezében nyújtja, akik értik a dolgukat. Az AI CyberLab előrelendítheti Szlovákiát, ha a valódi eredményekre összpontosít. A divatszavakat hagyjuk a marketingnek.
Szeretné integrálni az MI-t vállalata biztonsági folyamataiba? Beszéljünk arról, mi az, ami az Ön helyzetében észszerű.