2023_InfoSec_World_Trends_Report
Есть поговорка, что “хорошие парни заканчивают последними”, и, по крайней мере, в кругах кибербезопасности, похоже, что это так.
Выгорание, высокий стресс и усталость от работы – обычное явление в сфере кибербезопасности, побочный продукт противостояния небольших групп безопасности волне за волной противников. Им приходится плыть на байдарках вверх по течению по порогам 5-го класса — задача изнурительная, неустойчивая и немного безумная.
Что нужно командам безопасности, так это больше рабочей силы, больше времени, больше внимания к поверхностям атаки и способность мгновенно реагировать на угрозы. Стремительный прогресс в генеративном ИИ может наконец-то привести к исполнению их желаний.
ИИ может анализировать данные об угрозах быстрее, чем любой человек
Когда вы в последний раз слышали, чтобы команда безопасности жаловалась, что у них недостаточно работы? Просмотр журналов, предупреждений об угрозах и постоянного потока уведомлений – трудоемкий процесс, отнимающий много времени.
Даже в наилучших сценариях, когда команды имеют полную видимость своих атакующих поверхностей, у них просто недостаточно часов в день, чтобы вручную обрабатывать разведданные и действовать на их основе. Это делает скорость и точность ИИ решающим фактором для современной SOC.
“Это как кибер-ангел-хранитель, который с молниеносной скоростью просматривает огромные объемы данных и выявляет угрозы, на раскрытие которых нам, людям, потребуется много лет”, – говорит Джошуа Спенсер, основатель BastionGPT, который позиционирует себя как чат-центр для медицинских работников.
“Команды безопасности постоянно находятся в режиме реагирования, прилагая максимум усилий, но всегда на шаг позади атакующих”, – говорит Глен Пендли, технический директор Tenable. “Генеративный ИИ меняет ситуацию, делая людей намного эффективнее. Его сила заключается в преодолении сложностей, позволяющих группам безопасности работать быстрее, осуществлять поиск, анализировать и принимать решения быстрее ”.
Скорость вычислений искусственного интеллекта означает, что надежные данные не должны пропадать даром.
“Объем информации, поступающий в операционный центр безопасности (даже небольшого размера), может быть поистине ошеломляющим”, – говорит Роберт Роччио, аналитик по анализу угроз в GroupSense. “Все эти данные в основном бесполезны, пока они не проанализированы, сопоставлены и переработаны. Объедините это с ограниченными бюджетами и катастрофической нехваткой специалистов по кибербезопасности, и вы получите ситуацию, когда угрозы проскальзывают сквозь щели, а аномальные закономерности полностью пропущены ”.
Мы уже видим, как генеративный ИИ и LLM используют эту скорость для извлечения релевантных фрагментов контекста при представлении информации, что имеет огромное значение для того, как службы реагирования на инциденты находят и устраняют угрозы.
“Это эквивалентно наличию командной строки, в которой вы можете ввести ‘подвергалась ли моя организация каким-либо атакам нулевого дня за последние 24 часа?’, а затем получить ответ с учетом контекста и информации, полученной из множества различных источников, на выполнение которого человеку потребовалось бы на порядок больше времени”, – говорит Рафал Лос, руководитель отдела стратегии предоставления услуг в ExtraHop.
ИИ может преодолевать шум, чтобы раньше выявлять реальные уязвимости
Способность ИИ выявлять слабые места в системе безопасности и отличать реальные угрозы от ложных срабатываний дает белым шляпам еще одну стрелу в их колчане.
“Для защитника одна из самых больших проблем – пробираться сквозь шум”, – говорит Энтони Грин, технический директор FoxTech Cyber. “В зависимости от контекста уязвимости, которые имеют большое значение в одной ИТ-системе, могут быть в значительной степени незначительными в другой. Искусственный интеллект может помочь защитникам пробираться сквозь океаны предупреждений и информации, чтобы найти действительно важные риски – и увидеть айсберг впереди, прежде чем корабль врежется в него ”.
Кроме того, искусственный интеллект может использоваться инженерами для проверки целостности нового кода по мере его написания, а не проверяться персоналом вручную, что снижает вероятность обнаружения уязвимостей в процессе производства. Этот опыт мало чем отличается от использования авторами проверки орфографии для проверки своего черновика.
“Мы можем сместить акценты в использовании искусственного интеллекта и устранить уязвимости для начала, в отличие от просмотра сетевых журналов, сетевого трафика и попыток найти злоумышленников”, – говорит Крис Вайсопал, технический директор и соучредитель Veracode. “С ростом числа автоматизированных атак больше невозможно продолжать устранять недостатки полностью вручную”.
ИИ поднимет операции по поиску угроз на новый уровень
Поиск угроз – это упреждающее расследование потенциальных угроз организации, дисциплина, предназначенная только для самых элитных специалистов по кибербезопасности. Искусственный интеллект не только не заменяет охотников за угрозами, но может сделать их гораздо более грозными. Черные шляпы, берегитесь!
Один из способов, которым ИИ может принести пользу программам поиска угроз, – это сократить кривую обучения, предоставляя начинающим охотникам более быстрый путь к компетентности.
“Задача охотника за угрозами – переводить концепции в запросы. Платформы на основе искусственного интеллекта, которые могут приукрашивать вопросы, связанные с поиском угроз, чтобы сделать запросы более выразительными, могут быстро перевести охотников за угрозами начального уровня на следующий уровень и сделать ветеранов еще более эффективными ”, – говорит Морган Райт, главный советник по безопасности SentinelOne. В конце концов, по его словам, “атаки со скоростью машины требуют реакции со скоростью машины”.
Другие эксперты расхваливают потенциал ИИ для имитации массовых угроз и отслеживания того, насколько защита организации соответствует этим сценариям.
“Эти симуляции не только помогают организациям выявить слабые места в их архитектуре безопасности, но и предсказывают вероятность того, что каждое слабое место будет использовано”, – пишет Джастин Шаттук, директор по информационной безопасности Resilience, компании, занимающейся решением проблем киберугроз. “Подобные модели, основанные на искусственном интеллекте, эффективно количественно оценивают риски и подверженность организации, позволяя команде безопасности более эффективно видеть, какие уязвимости необходимо немедленно устранить, и соответственно расставлять приоритеты для наиболее эффективных инвестиций в обеспечение безопасности “.
Запуская симуляции, ИИ теоретически может автоматизировать план действий организации на основе показателей компрометации, возникающих в результате любого заданного сценария угрозы. Хотя до появления этого приложения может пройти несколько лет, компании уже закладывают основу.
“Я верю, что недалек тот момент, когда средства безопасности смогут извлекать уроки из пользовательской среды, а затем разрабатывать автоматизированные руководства по обеспечению безопасности на основе серии пользовательских запросов для организации и автоматизации реагирования”, – говорит Шеннон Мерфи, евангелист глобальной безопасности и рисков в Trend Micro. “Эволюция этого заключалась бы в разработке таких сборников игр полностью автономно на основе пользовательских данных и среды пользователя путем обнаружения аномального поведения”.