Ukryte zagrożenia wynikające z nadmiernego polegania na sztucznej inteligencji w cyberbezpieczeństwie

Sztuczna inteligencja (AI) i automatyzacja zmieniają zasady gry w cyberbezpieczeństwie. Narzędzia oparte na AI pomagają teraz zespołom do spraw cyberbezpieczeństwa szybciej wykrywać zagrożenia, korelować dane w różnych systemach, a nawet automatycznie reagować na incydenty. Platformy takie jak XDR (Extended Detection and Response) konsolidują spostrzeżenia z różnych punktów końcowych, usług w chmurze, poczty e-mail i systemów tożsamości — wszystko to wspierane przez uczenie maszynowe.

Ale wraz z tą nową falą wydajności pojawia się cichsze ryzyko: nadmierne poleganie. Podczas gdy AI i automatyzacja są nieocenione, zbytnie poleganie na nich może wprowadzić nowe luki, osłabić czujność ludzi i ostatecznie stworzyć martwe punkty w twoich obronach. Przyjrzyjmy się temu, co się dzieje, gdy zespoły ds. cyberbezpieczeństwa zbyt mocno polegają na sztucznej inteligencji, i jak znaleźć właściwą równowagę między automatyzacją a ludzką oceną.

Pokusa pełnej automatyzacji

Łatwo zrozumieć, dlaczego zespoły skłaniają się ku automatyzacji. Wraz ze wzrostem powierzchni ataku, ograniczoną liczbą pracowników i eskalacją zagrożeń, atrakcyjność „AI na ratunek” jest silna. Nowoczesne narzędzia potrafią analizować miliony punktów danych w ciągu kilku sekund, wykrywać anomalie, których ludzie by nie zauważyli, a nawet uruchamiać wstępnie zdefiniowane scenariuszei, aby powstrzymać zagrożenia, zanim ktokolwiek wypije poranną kawę.

Ale automatyzacja jest tak dobra, jak dane, z których się uczy — a AI nie myśli jak człowiek. Nie posiada intuicji, kontekstu biznesowego i świadomości etycznej. Nie potrafi zrozumieć intencji ani dostosować się do niuansów tak, jak potrafi doświadczony analityk.

Kiedy traktujemy AI jako nieomylną lub pozwalamy zautomatyzowanym systemom podejmować decyzje dotyczące bezpieczeństwa bez nadzoru, ryzykujemy podważeniem bezpieczeństwa, które próbujemy poprawić. Musimy znaleźć nowy punkt odniesienia, który maksymalizuje zarówno ludzką, jak i sztuczną inteligencję.

Gdzie współpraca AI i człowieka błyszczy: XDR w akcji

Przyjrzyjmy się praktycznemu przykładowi, w jaki sposób platforma XDR oparta na sztucznej inteligencji i współpracująca z analitykiem prowadzi do lepszych wyników niż sama automatyzacja.

Scenariusz: próba ataku wielowektorowego

Nietypowe zachowania podczas logowania: Oparty na sztucznej inteligencji system XDR wykrywa w ciągu kilku minut logowanie tego samego użytkownika z dwóch krajów — najpierw z Rumunii, a następnie z Japonii.

Podejrzana aktywność punktu końcowego: W tym samym czasie urządzenie użytkownika uruchamia skrypt programu PowerShell, próbując wyłączyć zabezpieczenia punktu końcowego — jest to powszechna technika „Living Off the Land” (LOTL).

Korelacja zagrożeń: Platforma XDR łączy te elementy i automatycznie tworzy ujednoliconą historię incydentu.

Ocena ryzyka i ustalanie priorytetów: Na podstawie taktyk MITRE ATT&CK, informacji o zagrożeniach i wrażliwości systemu (urządzenie należy do menedżera finansowego) alert zostaje oceniony jako wysokiego ryzyka.

Sztuczna inteligencja automatycznie uruchamia działania powstrzymujące zestaw wstępnie zatwierdzonych reakcji, takich jak odizolowanie urządzenia od sieci, zablokowanie złośliwego adresu IP i zawieszenie sesji użytkownika.

Narzędzie XDR oparte na sztucznej inteligencji powiadamia analityka ds. bezpieczeństwa o pełnym harmonogramie ataku, wskaźnikach zagrożenia i analizie wpływu. Analityk bada i potwierdza pochodzenie ataku, ocenia cele atakującego i podejmuje decyzje o dalszych działaniach, które mają sens w kontekście organizacji i incydentu.

Wynik Bez platformy XDR opartej na sztucznej inteligencji wykrycie tego ataku zajęłoby godziny — być może dni — w przypadku różnych narzędzi silosowych. Bez analityka, sztuczna inteligencja mogłaby przegapić szerszy kontekst, zareagować nadmiernie lub niedostatecznie.

Jednak w tym przypadku człowiek i sztuczna inteligencja współpracowały, aby stworzyć szybką, precyzyjną i świadomą obronę.

Przyszłość AI, automatyzacji i ludzi w cyberbezpieczeństwie

AI i automatyzacja nie są tutaj, aby zastąpić specjalistów od cyberbezpieczeństwa — są tutaj, aby ich wzmocnić. Najskuteczniejsze operacje bezpieczeństwa łączą prędkość maszyn z ludzką strategią.

Oznacza to wykorzystanie sztucznej inteligencji do analizowania i korelowania danych na dużą skalę, przy jednoczesnym utrzymywaniu ludzi w pętli w celu przeprowadzenia dochodzenia, podejmowania decyzji i eskalacji. Jednocześnie kontynuuj szkolenie swojego zespołu w zakresie podstawowych elementów cyberbezpieczeństwa, wykraczając daleko poza pulpit nawigacyjny.

Łącząc precyzję i szybkość platform opartych na sztucznej inteligencji, takich jak GravityZone XDR, z wiedzą i intuicją wykwalifikowanych analityków, organizacje mogą budować odporną, elastyczną postawę w zakresie cyberbezpieczeństwa i unikać ukrytych zagrożeń wynikających z nadmiernego polegania na sztucznej inteligencji.