Информационная безопасность системы созрели для разрушения. С годами появилось множество отдельных инструментов, каждый со своим собственным форматом данных, что вызвало поток разрозненных данных. Кроме того, существует глобальная нехватка квалифицированных аналитиков по кибербезопасности, которые могут оценить эти данные (и они очень дороги, если вы можете их найти). Наконец, хакеры с каждым разом становятся все умнее и изобретательнее. Предполагалось, что ИИ станет лекарством от этих проблем, но его применение для решения проблемы в масштабе ограничено, поскольку для этого требуется крупная, продуманно спланированная инфраструктура. В этой статье мы рассмотрим роль ИИ в кибербезопасности системы и как она может стать действительно преобразующей технологией.
ИИ как змеиное масло
ИИ часто упоминается в маркетинговой литературе, описывающей решения для кибербезопасности, но до сих пор он не был таким революционным, как вы могли бы подумать. Несмотря на размер рынка, который растет с совокупный годовой темп роста 20.5%, ИИ по-прежнему сложно использовать для решения проблем безопасности. Если бы вы вошли в современный центр оперативного управления безопасностью (SOC), вы, вероятно, найдете несколько больших телевизоров с некоторыми трудночитаемыми информационными панелями и CNN, а также аналитиков по безопасности, которые, вероятно, считают свою работу болезненной, потому что они тратят свое время на ручную корреляцию данных и пытаются понять, что происходит на их предприятии в перед лицом все более сложных атак. Если люди делают это, возникает вопрос, «Где ИИ?»
Информационная безопасность — это сложная операционная проблема, и это короткая причина, по которой ИИ не спешит ее трансформировать. Обнаружение угроз на предприятии по сотням источников телеметрии, когда угрозы часто выглядят идентично обычной деятельности, является очень сложной задачей. Более того, данные от каждого инструмента безопасности могут принимать разные формы, и они должны быть нормализованы, прежде чем их можно будет использовать для обучения системы ИИ.
Независимо от отрасли и варианта использования ИИ учится на данных. AI движок должен быть обучен с данными, чтобы он мог начать узнавать, что является аномалией, а что нет. Вот что так запутанно в проблеме безопасности: данные безопасности каждого предприятия выглядят, как минимум, немного по-разному, с разными инструментами и моделями поведения, а как максимум данные выглядят совершенно по-разному. В сфере безопасности не существует золотого обучающего набора данных, который можно было бы лицензировать, как это может быть для систем распознавания изображений или речи. Если вы хотите использовать ИИ для решения проблемы безопасности, вы должны создавать и получать свои собственные данные.
Нормализация данных, чтобы они были полезны для движка ИИ, — огромная проблема. Проблема настолько важна, что Scale AI, стартап, который создает API данных для разработки ИИ, в первую очередь ориентированный на приложения для беспилотных автомобилей, получила оценку в 7 миллиардов долларов менее чем через пять лет после основания. Scale AI уже насчитывает многие из самых инновационных организаций мира в качестве своих клиентов.
Что предпримет преобразующий ИИ
ИИ в сфере безопасности в конечном итоге станет трансформационным, вероятно, как для нападения, так и для защиты, но это история для другого дня. Здесь «преобразующий» означает в широком смысле преобразующий во всех аспектах безопасности, поэтому он коренным образом меняет то, как предприятие относится к безопасности. На данный момент нам приходится довольствоваться некоторыми ограниченными приложениями, в которых ИИ может повысить безопасность.
Тем не менее, у ИИ в сфере безопасности есть и положительные стороны. их легко найти, обдумав проблему с данными. Какие части стека безопасности генерируют чистые, поддающиеся обучению данные? Мошенничество с электронной почтой и обнаружение вредоносного ПО — два ярких примера: AI движок могут учиться на доступных примерах фишинга или сигнатурах вредоносных программ и выявлять подобные эксплойты. Данные из электронных писем клиентов и песочниц вредоносных программ можно использовать для обучения моделей ИИ, лежащих в основе корпоративных продуктов. Такое же обучение гораздо сложнее реализовать для таких задач, как обнаружение атак, которые перемещаются по сети в горизонтальном направлении (скажем, от брандмауэра к серверу Active Directory и серверу данных), потому что это горизонтальное движение будет выглядеть немного по-разному на каждом предприятии.
Создание ИИ, который в целом защитит предприятие во всех его цифровых операциях, будет во многом напоминать усилия, предпринимаемые сегодня компаниями по производству беспилотных автомобилей. Например, с 2009 года программное обеспечение Waymo для беспилотных автомобилей прошло обучение более 15 миллиардов миль симуляции вождения и более 20 миллионов миль опыта вождения в общественных местах.. Waymo применяет строгий подход к тестированию на разных уровнях точности (моделирование, закрытый курс, реальный мир), выполняя сценарии с тысячами вариантов, при этом собирая данные с целью улучшения.
Это не идеальная аналогия для ИИ в сфере безопасности, но она довольно хороша — тестирование с использованием смоделированных данных, тестирование в лабораторных условиях с использованием смоделированных или реальных атак, а также тестирование в реальных условиях на различных предприятиях. Проблемы с безопасностью, связанные с естественным доступом к более чистым данным, возникнут при использовании продуктов, основанных на искусственном интеллекте, раньше, чем более серьезные проблемы с данными во всем стеке корпоративной безопасности. Чтобы достичь этого, потребуются время и капитал, а инновации, которые безжалостно сосредоточены на проблеме данных, будут в первую очередь способствовать широкой трансформации. Сегодня многие инструменты безопасности просто не фокусируются на нормализации данных, потому что они, как правило, разрознены в конкретных болевых точках в общей инфраструктуре.
Как будет выглядеть преобразующий ИИ в сфере безопасности
Представьте себе, что каждая ИТ-инициатива, конфигурация, журнал безопасности и предупреждение могут быть проверены ведущим мировым экспертом по безопасности человека в данной области в режиме реального времени без прерывания бизнес-операций. Представьте, что корпоративные аналитики могут проконсультироваться с этим экспертом и получить от него указания. ИИ в сфере безопасности в конечном итоге будет ощущаться именно так.
Как? Продукты, созданные на основе продуманных ресурсов данных, которые уменьшают сложность данных, в конечном итоге станут королями категорий, иначе продукт не будет работать от клиента к покупателю, и это будет продукт с маржой, подобной сервису, и не будет масштабироваться. (Andreesen Horowitz интересно обнаружил, что большинство их корпоративных ИИ-компаний имеют гораздо более низкую маржу, чем сопоставимые предприятия SaaS, из-за неотъемлемых затрат на создание и масштабирование ИИ..)
Этим будущим королям категорий сначала придется инвестировать в инфраструктуру и сбор данных, вероятно, в течение многих лет, прежде чем их данные можно будет действительно считать активом и способствовать самосовершенствованию их продукта. Однако, как только эти короли компаний получат реальный актив данных для ИИ, их темпы инноваций будут трудными, если не невозможными, чтобы соответствовать конкурентам, и они будут коронованы королем категории, пока им все еще удается поддерживать интуитивно понятный продукт. Точно так же, как категория поисковых систем быстро объединилась с Google, то же самое произойдет и с решениями кибербезопасности, требующими большого объема данных. В частности, обратите внимание на серьезную консолидацию информации о безопасности и Управление событиями (SIEM), Расширенное обнаружение и реагирование (XDR), Обнаружение конечной точки и ответ (EDR) и Сетевое обнаружение и реагирование (NDR) рынки.
Таким образом, ИИ появляется в области безопасности в первую очередь для решения более мелких проблем, где данные менее сложны, как отмечалось ранее в примерах мошенничества с электронной почтой и вредоносного ПО. Затем ИИ будет постепенно развертываться для решения более сложных проблем с данными, но только продукты, которые безжалостно сосредоточены на управлении сложностью данных, будут иметь значимые последствия. Двигатели ИИ. Чтобы быть эффективной, программа безопасности на основе ИИ должна иметь возможность собирать данные со всех доступных инструментов безопасности и каналов угроз, а затем нормализовать эти данные, чтобы они были полезны для обучения механизма ИИ. Вот как будет выглядеть будущее ИИ в сфере кибербезопасности.
Об авторе
Сэм Джонс (Sam Jones) — вице-президент по управлению продуктами в Stellar Cyber, Inc. Он является опытным руководителем разработки продуктов с опытом создания продуктов для ИИ и безопасности, которые нравятся клиентам. У него большой опыт в области искусственного интеллекта и машинного обучения, инфраструктуры данных, безопасности, SaaS, дизайна продуктов и защиты. Сэм занимал продуктовые и инженерные должности в таких компаниях, как Palantir Technologies и Shield AI, а также работал в ВВС США над стратегией киберзащиты. Он получил степень бакалавра в области электротехники и вычислительной техники в Корнельском университете.
