Профессия в области кибербезопасности стоит на пороге кардинальных перемен, и специалистам по безопасности необходимо начинать осваивать инструменты ИИ для борьбы с новыми угрозами путем создания более автономных систем защиты в режиме реального времени.
Эксперты на недавней сессии конференции DTX в Манчестере под названием «Бот против бота: выживание в эпоху автономной кибервойны» подчеркнули, что внедрение ИИ в стек безопасности без ослабления ее основ стало необходимостью для центров управления безопасностью (SOC). Они также акцентировали внимание на важности сохранения человеческого надзора за такими системами.
Хотя технологии ИИ мощны, они не являются панацеей для незрелых корпоративных архитектур безопасности и могут быть успешно применены только после того, как будут надежно обеспечены основы киберзащиты, утверждали несколько экспертов-практиков по безопасности. Этот базовый уровень, по их словам, включает усиление защиты систем, установку патчей, контроль доступа, мониторинг и тому подобное.
Даррен Кимули, руководитель отдела информационной безопасности в перестраховочной компании Canopius Group, заявил делегатам, что внедрение ИИ должно соответствовать ожиданиям бизнеса, включая то, как организация выполняет свои нормативные обязательства.
«Меня больше волнует, что ИИ дополняет, а не заменяет», — сказал Кимули.
Изменение ролей
Дивайн Узодинма, аналитик по кибербезопасности в компании Radius, предоставляющей управляемые услуги и телекоммуникационные решения, отметил, что системы ИИ помогают аналитикам по безопасности сопоставлять и классифицировать журналы безопасности — традиционно трудоемкую задачу.
«ИИ может анализировать и сопоставлять журналы, а также приоритизировать оповещения, пока аналитики продолжают свое расследование», — сказал Узодинма.
Мухаммад Хан, руководитель отдела кибербезопасности в Bridgewater Finance Group, добавил, что инструменты безопасности на базе ИИ минимизируют усталость от оповещений — постоянную проблему в отрасли и основную причину выгорания персонала.
Более широкое использование систем ИИ привело к тому, что роль аналитиков по безопасности вышла за рамки мониторинга и реагирования и теперь включает «проверку входных данных» и оценку риска галлюцинаций моделей ИИ.
По данным консалтинговой компании Secarma, предприятиям необходимо проверять устойчивость систем безопасности на базе ИИ к современным векторам атак, таким как те, что направлены против приложений и облака, а также против доступа поставщиков и фишинга.
Джордж Рис, старший консультант по кибербезопасности в Secarma, отметил, что ИИ уже переопределяет правила кибербезопасности в таких областях, как управление рисками и устойчивость.
Перекроенное поле кибербитвы
На панели конференции DTX также обсуждалось, как автономные инструменты злоумышленников меняют ландшафт угроз.
Корпоративная среда угроз эволюционирует в поле битвы «машина против машины», что означает, что руководителям по информационной безопасности (CISO) и другим специалистам по безопасности необходимо инициировать изменения в своих организациях, иначе они рискуют быть безнадежно обойденными противниками, которые все шире используют технологии ИИ для организации атак.
Более того, необходима ясность в отношении ролей киберкоманд и надзора при использовании автоматизации для принятия решений.
По мнению участников дискуссии, необходимо переопределить роли в сфере кибербезопасности, чтобы люди могли интерпретировать автономные решения по безопасности и осуществлять надзор за ними.
По словам Риса, эти меняющиеся роли означают, что такие навыки, как промпт-инжиниринг и анализ рисков, становятся все более важными для специалистов по безопасности и менеджеров по найму.
«ИИ создает возможности для большего числа наймов в сфере GRC [управление, риски и соответствие требованиям]», поскольку этот набор навыков хорошо подходит для новой среды угроз, — добавил Рис.
Рис сравнил масштаб и темпы изменений, предвещаемых ИИ, с периодом 1970-х и 1980-х годов, когда предприятия переходили от зависимости от пишущих машинок к ведению бизнеса с использованием компьютеров.
Обсуждение было своевременным, поскольку предприятия все чаще сталкиваются с ускоренной с помощью ИИ разведкой, фишингом и разработкой вредоносного ПО, а не исключительно с атаками, инициированными людьми.
Дебаты сместились от вопроса, использовать ли ИИ в безопасности, к вопросу о том, как использовать его безопасно, не теряя надзора и контроля. Многие ответы участников дискуссии на конференции DTX продемонстрировали эволюцию мышления с тех пор, как CSO провел опрос специалистов по безопасности о применении ИИ для функций безопасности в сентябре прошлого года.
Уроки войны Microsoft против мошенников
Келли Бисселл, бывший корпоративный вице-президент по злоупотреблению продуктами и рискам в Microsoft, выступивший с основным докладом о киберустойчивости и ИИ в начале конференции DTX, рассказал CSO после мероприятия, что между специалистами по кибербезопасности и злоумышленниками идет гонка вооружений.
«Ранние последователи — как правило — имеют преимущество», — сказал Бисселл.
Здесь, по словам Бисселла, злоумышленники в области кибербезопасности получают преимущество, поскольку они могут игнорировать правила и нормы, такие как законы о конфиденциальности, но защитники могут вернуть себе преимущество на других фронтах.
«Благодаря масштабам данных, с которыми мы работали в Microsoft, мы могли использовать методы машинного обучения для выявления поведенческих тенденций», — пояснил Бисселл.
Например, Microsoft разработала нейронную сеть, способную выявлять домены с опечатками (typosquatted domains), создаваемые перед атаками с целью выдачи себя за других, с очень низким уровнем ложных срабатываний. «Наша миссия состояла в том, чтобы оказать давление на бот-группировки» и сорвать их деятельность, — сказал Бисселл.
По словам Бисселла, CISO делятся на три лагеря: ориентированные на соответствие требованиям, сфокусированные на пакетах решений или элитные практики.
«Элитные практики с удовольствием будут использовать ИИ для улучшения своих операций», — сказал Бисселл, добавив, что технологии ИИ следует внедрять в процессе, аналогичном жизненному циклу разработки программного обеспечения, с обширным пентестом и ограничительными механизмами, прежде чем они будут допущены к производственным системам.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John Leyden
