ИИ великолепен, но он все еще заставляет людей обеспечивать кибербезопасность

Когда дело доходит до защиты компьютеров и информационных систем от кибератак, искусственный интеллект и машинное обучение могут помочь, но они не являются панацеей от растущей проблемы.

По словам Рэнди Уоткинса, технического директора Critical Start, Inc., несмотря на нынешний ажиотаж по поводу ИИ и его растущей способности побеждать людей на многих фронтах, это не волшебная палочка для укрепления кибербезопасности.

ИИ отлично справляется с управлением огромными объемами данных, включая предупреждения о возможных нарушениях безопасности. Проблема заключается в том, как он интерпретирует эту информацию.

Оповещения обрабатываются в порядке их поступления. Затем они расставляются по приоритетам и оцениваются на предмет соответствующего уровня угрозы. Человеческие аналитики, обладающие глубокими знаниями и опытом в бизнесе, умеют помещать каждое предупреждение в соответствующий контекст. Машин не так много. Система, управляемая искусственным интеллектом, может обнаруживать аномальную активность пользователя, но менее эффективна для определения того, связано ли событие со злым умыслом.

«Я не скептически отношусь ко всему, что касается ИИ, - говорит Уоткинс, - но ИИ и машинное обучение не в состоянии применить множество аргументов к тому, что они делают».

Машины не особенно хороши в минимизации ложных срабатываний. Возьмем, к примеру, Microsoft PowerShell, популярную платформу для автоматизации задач. Машина не может точно определить, должен ли данный пользователь этого инструмента выполнять команду в определенное время. Аномалия может быть или не быть результатом злонамеренной атаки.

Термин «машинное обучение» подразумевает, что система становится лучше с опытом, но Уоткинс говорит, что возможности ограничены. Чтобы научить алгоритм реагировать должным образом, необходимо использовать большое количество предыдущих примеров, как хороших, так и плохих. И это по-прежнему не решает проблему ложных отрицаний - реальных атак, которые система пропускает. «Вы должны иметь возможность отбрасывать выбросы, которые могут исказить ваши данные», - говорит Уоткинс.

Выяснение того, является ли событие вредоносным, не всегда означает ответ «да» или «нет». Во-первых, компании должны определить, насколько чувствительной должна быть система. Должен ли он поднимать тревогу в случае 100%, казалось бы, аномальных событий? Как насчет 80%? Слишком много, и вы будете завалены предупреждениями и потенциальными отключениями системы. Слишком мало, и бреши, скорее всего, останутся незамеченными.

«Когда вы вводите больше переменных, вам требуются дополнительные наборы данных, больше контекста о предмете и поведении [системы]», - отмечает Уоткинс. «Как только вы начнете задавать эти вопросы, машина развалится».

Эффективное обнаружение кибератак зависит от совокупной оценки риска, что хорошо получается у людей. «Каждый раз, когда мы смотрим на событие, мы решаем, подозрительно ли оно», - говорит Уоткинс. «Но вы также можете применить разум и предыдущие знания о безопасности, которых нет у алгоритмов.

«Машина может быстро сканировать огромные объемы данных», - продолжает он. «Но дайте ему абстрактное понятие, например, наименьшие привилегии, и примените его к набору предупреждений - будет ли он распознавать повышение привилегий? Есть много неопасных действий, которые выглядят вредоносными ».

Нет сомнений в том, что машинное обучение будет развиваться, даже когда кибер-воры будут изобретать новые способы избежать обнаружения. Microsoft, равно как и Palo Alto Networks, мировой лидер в области кибербезопасности, добилась успехов в совершенствовании автоматизированных систем обнаружения. «Но, в конце концов, - говорит Уоткинс, - вам все равно нужен человек, который сказал бы:« Да, отключите этот контроллер домена ». Компании постоянно стремятся минимизировать стоимость простоя системы, вызванного ошибочными предупреждениями.

При этом не хватает специалистов-людей, чтобы удовлетворить потребность в кибербезопасности во всех секторах. «В отрасли определенно не хватает талантов, - говорит Уоткинс. Отсюда и обращение к внешней поддержке в форме управляемого обнаружения и реагирования.

Нехватка талантов - не новость. «Он существует с тех пор, как существовала безопасность», - говорит Уоткинс. Только в последние 10 лет компании и университеты начали осознавать необходимость повышения качества подготовки и обучения будущих экспертов по кибербезопасности.

И людям, и машинам есть куда идти, если они хотят сотрудничать в защите жизненно важных систем от постоянно растущей угрозы кибератак. «Мы начали с нуля, когда нам нужно было достичь 60», - говорит Уоткинс. «Теперь нам должно быть 90, а нам 60».