AI v kybernetické bezpečnosti: přítel nebo nepřítel?

21. 2. 2024

Sdílet

 Autor: Computerworld.cz s využitím Dall-E
Umělá inteligence již pomáhá člověku v celé řadě oblastí. Na druhou stranu má využití na straně zločinců i obránců kybernetické bezpečnosti říká bezpečnostní expert Chester Wisniewski, CTO společnosti Sophos.

Jak se na využití umělé inteligence aktuálně dívají kybernetičtí útočníci?

Postoje kybernetických útočníků k používání umělé inteligence se různí, počínaje optimistickými až po ty vyloženě nepřátelské. Mezi těmi optimistickými, můžeme říci nadějeplnými zločinci už vidíme první, kteří nástroje s AI sdílejí, i když jejich výsledky zatím nejsou nijak zvlášť působivé. Někteří se domnívají, že velké jazykové modely (Large Language Models, LLM) ještě nejsou dostatečně zralé na to, aby jim při útocích pomáhaly. 

Provedli jsme hloubkový průzkum komunikace kyberzločinců, abychom jejich postoje k využití umělé inteligence posoudili. Zjištění jsou dostupná ve zprávě publikované na našich stránkách Sophos News – navzdory obavám z nezákonného použití ChatGPT a podobných modelů průzkum fór o kyberzločinu provedený expertním týmem Sophos X-Ops naznačuje, že mnoho aktérů hrozeb je stále skeptických a potýkají se se stejnými otázkami a problémy jako my ostatní.

Jak se umělá inteligence využívá k proaktivní detekci kybernetických hrozeb v současných řešeních kybernetické bezpečnosti?

Pokud jde o proaktivní detekci kybernetických hrozeb, AI se soustředí zejména na klasifikaci telemetrie. Množství dat, které může generovat i relativně malá zákaznická základna, je obrovské. Odhalování vzorců pomocí AI a jejich předávání lidským analytikům k dalšímu prošetření je v moderních řešeních kybernetické bezpečnosti nepostradatelné.

Jak umělá inteligence zlepšuje onu schopnost identifikovat podezřelé vzorce chování?

Chester Wisniewski, CTO, Sophos

Chester Wisniewski, CTO, Sophos

Autor: Sophos

Schopnost identifikovat podezřelé vzorce chování zlepšuje AI tím, že zavádí takovou míru robustnosti, která není u manuálních, na pravidlech založených systémů možná. S rostoucím objemem dat v oblasti kybernetické bezpečnosti se údržba manuálních systémů stává nákladnější a časově náročnější, zatímco AI větší množství informací naopak prospívá. Statistická podstata AI vytváří komplexní závěry o podezřelém chování, které je nemožné lidským úsilím replikovat.

Jaký strategický přístup by měly organizace zaujmout k začlenění AI do svých strategií kybernetické bezpečnosti?

Aby organizace dokázaly strategicky správně přistoupit k integraci umělé inteligence, měly by pečlivě plánovat správu dat. Vzhledem k velkém objemu a různorodosti dat je snadné uvíznout v pasti jejich chaotického ukládání a nepřesné kategorizaci informací, přičemž kvalitní data jsou pro AI kriticky důležitá. 

Špatné plánování týkající se shromažďování dat může způsobit několikaměsíční zpoždění a vysoké náklady na vytváření kvalifikovaného třídění dat (tzv. labelů).

Jak konkrétně je umělá inteligence integrována do procesu reakce na bezpečnostní incident, aby se urychlila jeho identifikace, zvládnutí a následná obnova? A jaké jsou konkrétní přínosy?

Jak už bylo řečeno, umělá inteligence se již dlouho používá pro účely identifikace podezřelého chování v síti prostřednictvím proaktivní detekce hrozeb. Trénováním na vzorcích již proběhlých útoků se AI může naučit rozpoznávat podezřelé aktivity i na obrovském množství dat v reálném čase. 

Pro zastavení útoků lze AI využít jako pomocníka při automatizovaných postupech. Odhady závažnosti útoků generované AI lze například použít jako východisko pro pravidlo, které automaticky umístí dotčený systém do karantény. Při obnově pak může AI pomoci s tříděním a pochopením důsledků škodlivé aktivity.

Konkrétních přínosů využití AI v oblasti zajištění kyberbezpečnosti je celá řada: přesnější detekce hrozeb, zkrácení doby odezvy, efektivnější využití času bezpečnostních analytiků a možnost zobecnění opatření na budoucí incidenty. Řešení s integrovanou umělou inteligencí navíc snižuje náklady a údržbu spojenou s manuálními přístupy.

Chcete dostávat do mailu týdenní přehled článků z Computerworldu? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.

Jakým specifickým výzvám čelí organizace při zavádění řešení kybernetické bezpečnosti s umělou inteligencí? Jak může AI spolupracovat s lidskými týmy?

Implementace řešení kybernetické bezpečnosti s sebou nese mnoho výzev. Trvalým problémem je například získávání kvalitních dat, protože ta jsou klíčová pro trénování výkonných modelů AI. Nedbalé zpracování dat bude mít nepochybně za následek vysoké náklady a selhání modelů. Dalším praktickým problémem pro organizace zavádějící AI je budování důvěry u lidských analytiků. 

Mnoho modelů AI zřídkakdy přichází s uspokojivým vysvětlením svých předpovědí, což vyžaduje důkladné hodnocení a rozsáhlé testování, než se dostanou do produkce. Rozšíření LLM v pracovních postupech kybernetické bezpečnosti také přináší nové právní výzvy a výzvy v oblasti ochrany soukromí.

Pokud jde o spolupráci, AI slouží jako multiplikátor lidského potenciálu, zvyšuje produktivitu a vytváří nové příležitosti. Je důležité si uvědomit, že AI ani s nástupem LLM není všelékem, protože může předkládat nesprávné informace jako fakta. AI zůstává vysoce efektivním řešením mnoha problémů, ale zcela neodstraňuje potřebu lidského zásahu a kontroly kvality. 

V blízké budoucnosti se možná dočkáme změny paradigmatu, kdy se lidští odborníci stanou editory AI. Lidé mohou nechat AI inicializovat řadu procesů a poté doladit výsledky s využitím svých odborných znalostí.

bitcoin_skoleni

Jaké jsou investiční plány organizací na implementaci umělé inteligence do kybernetické ochrany?

Ačkoli nepůsobím v roli zákazníka, z pohledu kybernetické ochrany je jasné, že kybernetická bezpečnost jako služba je nevyhnutelnou a významnou součástí budoucnosti. S tím, jak se útoky stávají složitějšími, se organizace budou kvůli omezeným interním bezpečnostním prostředkům stále častěji obracet na expertní bezpečnostní operační centra (SOC). Umělá inteligence je povinnou součástí úspěchu rozsáhlých SOC, protože umožňuje omezenému množství lidských odborníků působit v globálním měřítku.