Demo produktu zabezpieczającego opartego na sztucznej inteligencji wyglądało imponująco. Dostawca z przekonaniem wypowiadał się na temat autonomicznego wykrywania, samouczącej się obrony i korygowania opartego na sztucznej inteligencji. Wykresy zmieniały się w czasie rzeczywistym, alerty rozwiązywały się same, a zagrożenia zdawały się znikać, zanim analitycy je zauważyli.
Każdy dyrektor ds. bezpieczeństwa informacji (CISO) widział jakąś wersję tej historii. Ponieważ narzędzia bezpieczeństwa cybernetycznego oparte na sztucznej inteligencji lub udoskonalone przez nią są obecnie wszędzie, wyzwaniem nie jest tylko to, czy sztuczna inteligencja należy do bezpieczeństwa, ale także sposób identyfikacji praktyk, które naprawdę przynoszą wartość. Dla CISO i kupujących odróżnienie odpowiedniego bezpieczeństwa sztucznej inteligencji od szumu marketingowego ma kluczowe znaczenie dla podejmowania świadomych decyzji.
Wyniki w zakresie bezpieczeństwa a optyka AI: co tak naprawdę się poprawia?
Jedną z pierwszych rzeczywistości, którą muszą zaakceptować CISO, jest to, że sztuczna inteligencja w cyberbezpieczeństwie nie jest nowa. Uczenie maszynowe (ML) od ponad dekady obsługuje filtry spamu, wykrywanie anomalii, analizę zachowań użytkowników i systemy oszustw. Nowością jest pojawienie się dużych modeli językowych (LLM) i bardziej dostępnych narzędzi AI, które dostawcy szybko wdrażają w istniejących produktach. Ta zmiana zmieniła sposób, w jaki zespoły ds. bezpieczeństwa wchodzą w interakcję z danymi – podsumowania zamiast surowych logów, interfejsy konwersacyjne zamiast języków zapytań i automatyczne rekomendacje zamiast statycznych dashboardów.
To może być naprawdę pomocne. Ale stwarza to również iluzję inteligencji, mimo że podstawowe podstawy bezpieczeństwa mogły się nie zmienić. Błędem wielu organizacji jest założenie, że więcej sztucznej inteligencji automatycznie oznacza większe bezpieczeństwo. Tak nie jest.
Jedną z lekcji, która wciąż powraca, jest to, że architektura przewyższa funkcje. Sztuczna inteligencja oparta na słabych podstawach bezpieczeństwa Cię nie uratuje. Jeśli tożsamość zostanie naruszona, zarządzanie danymi jest niejasne lub widoczność sieci jest fragmentaryczna, sztuczna inteligencja po prostu działa na złych danych wejściowych i generuje niewiarygodne wyniki. CISO muszą także zrozumieć, że sztuczna inteligencja nie zastępuje podstaw, ona je wzmacnia.
Pranie sztucznej inteligencji: tam, gdzie twierdzenia dotyczące bezpieczeństwa stają się szumem
Kwestię mycia AI należy potraktować poważnie, ponieważ dostawcy wyolbrzymiają lub błędnie przedstawiają wykorzystanie sztucznej inteligencji w produktach, aby wykorzystać szum rynkowy, zamiast zapewniać rzeczywiste możliwości. W przypadku cyberbezpieczeństwa często oznacza to zmianę marki tradycyjnych zasad, heurystyki lub podstawowej automatyzacji na „oparte na sztucznej inteligencji” bez znaczących innowacji i mierzalnych wyników. Pranie AI dezorientuje kupujących, zawyża oczekiwania i przesłania rzeczywiste ryzyko, ukrywając się za niejasnymi twierdzeniami i nieprzejrzystymi modelami.
Problemy pojawiają się, gdy sztuczną inteligencję postrzega się jako w pełni autonomiczną, samonaprawiającą się lub zdolną do całkowitego zastąpienia ludzkiego osądu. W praktyce twierdzenia te często przesłaniają istotne ograniczenia. Jedną z czerwonych flag w prezentacji dostawców jest nieprzejrzystość sztucznej inteligencji. Jeśli dostawcy nie są w stanie jasno wyjaśnić, jakich danych wykorzystuje sztuczna inteligencja, w jaki sposób podejmuje decyzje lub jak radzi sobie z błędami, CISO powinni zachować ostrożność. Rozpoznanie tych ograniczeń pomaga liderom ds. bezpieczeństwa czuć się przygotowanym i unikać nadmiernego polegania na niepotwierdzonych twierdzeniach.
Dla CISO zagrożeniem nie są tylko zmarnowane inwestycje, ale także przyjęcie narzędzi, które zwiększają złożoność bez poprawy poziomu bezpieczeństwa.
AI to mnożnik siły i wartości
Sztuczna inteligencja jest multiplikatorem siły i wartości nie dlatego, że zastępuje ludzi lub procesy, ale dlatego, że wzmacnia to, co już istnieje. W cyberbezpieczeństwie sztuczna inteligencja przyspiesza wykrywanie, skaluje analizę i pomaga zespołom podejmować szybsze i bardziej świadome decyzje na podstawie ogromnych ilości danych, z którymi sam człowiek nie jest w stanie sobie poradzić. W połączeniu z silną architekturą, wysokiej jakości telemetrią i jasnymi celami operacyjnymi sztuczna inteligencja zwiększa wydajność, zasięg i wpływ. Prawdziwa wartość sztucznej inteligencji nie leży w samej automatyzacji, ale w tym, jak skutecznie organizacje ją projektują, zarządzają i operacjonalizują. Istnieje kilka obszarów, w których możliwości bezpieczeństwa oparte na sztucznej inteligencji już przynoszą wymierne korzyści.
Wykrywanie zagrożeń na dużą skalę pozostaje jednym z najmocniejszych przypadków użycia sztucznej inteligencji. Nowoczesne środowiska generują więcej danych telemetrycznych, niż ludzie są w stanie realistycznie przeanalizować. Sztuczna inteligencja specjalizuje się w wykrywaniu wzorców w przepływach sieciowych, zachowaniach tożsamości, aktywności punktów końcowych i sygnałach w chmurze – zwłaszcza gdy napastnicy celowo wtapiają się w codzienne operacje.
Istnieją również wyraźne korzyści w zakresie operacji związanych z bezpieczeństwem i segregacją. LLM mogą podsumowywać incydenty, wyjaśniać, dlaczego alert ma znaczenie, korelować sygnały między narzędziami i skracać czas dochodzenia. Nie zastępuje to analityków, ale znacząco poprawia produktywność, zapewniając istotną przewagę w dobie niedoborów kadrowych.
Trzeci obszar, w którym sztuczna inteligencja może znacząco zmienić, to inżynieria wykrywania i analiza luk. Może pomóc zespołom ocenić zasięg, zasugerować nowe wykrycia i zidentyfikować słabe punkty w egzekwowaniu zasad. Ostrożnie stosowany wzmacnia postawę obronną, nie zwiększając hałasu.
W takich przypadkach sztuczna inteligencja działa jako mnożnik siły, a nie decydent, i to rozróżnienie ma znaczenie.
Pytania, które powinni zadać CISO
Aby przełamać ten szum, CISO powinni przenieść rozmowy z dostawcami z modnych haseł związanych ze sztuczną inteligencją na rzecz rzeczywistości operacyjnej. Celem powinno być omówienie kontekstowego wykorzystania sztucznej inteligencji w cyberbezpieczeństwie. Zadawanie ukierunkowanych pytań, np. jakie konkretne problemy związane z bezpieczeństwem rozwiązuje sztuczna inteligencja lepiej niż istniejące narzędzia lub w jaki sposób zarządza się błędami, może pomóc ocenić rzeczywiste możliwości i uniknąć szumu.
- Jaki konkretny problem bezpieczeństwa rozwiązuje ta sztuczna inteligencja lepiej niż istniejące narzędzia?
- Co się dzieje, gdy sztuczna inteligencja się myli – i jak często się to zdarza?
- Czy nadzór ludzki jest wbudowany w przepływ pracy, czy opcjonalny?
- Jakie dane opuszczają nasze środowisko i w jaki sposób są chronione?
- Jak to integruje się z naszą obecną architekturą i elementami sterującymi?
Celem nie jest uniknięcie sztucznej inteligencji, ale zapewnienie, że sztuczna inteligencja wzmocni bezpieczeństwo, a nie wprowadzanie nowego, niezarządzanego ryzyka. Dzięki przemyślanemu i pełnemu zrozumieniu sztucznej inteligencji CISO mogą czuć się upoważnieni do podejmowania strategicznych decyzji zwiększających bezpieczeństwo bez niepotrzebnego narażania się na nieznane.
Podejmowanie właściwej decyzji dla Twojej organizacji
Właściwa inwestycja w bezpieczeństwo sztucznej inteligencji zależy od dojrzałości. Dla niektórych organizacji największą wygraną jest widoczność i segregacja wspomagana sztuczną inteligencją. W przypadku innych jest to inżynieria wykrywania lub analiza behawioralna. Bardzo niewielu jest gotowych na całkowicie autonomiczną reakcję – i to jest w porządku. CISO, którzy odnoszą sukcesy dzięki sztucznej inteligencji, przyjmują wyważone podejście oparte na przypadkach użycia. Prowadzą pilotaż, weryfikują wyniki i zachowują odpowiedzialność ludzką. Żądają przejrzystości, a nie modnych sloganów. I pamiętają, że bezpieczeństwo ostatecznie polega na ograniczaniu ryzyka, a nie na nowościach technologicznych.
Sztuczna inteligencja nie jest ani złotym środkiem, ani chwilową modą w dziedzinie bezpieczeństwa cybernetycznego. To potężne narzędzie – takie, które może znacząco poprawić obronę, jeśli zostanie zastosowane w sposób przemyślany, i równie łatwo stworzyć nowe ryzyko, jeśli zostanie zastosowane bez zastrzeżeń. Celem CISO i kupujących nie jest kupno „bezpieczeństwa AI”. To zakup bezpieczeństwa, które wykorzystuje sztuczną inteligencję w sposób odpowiedzialny, przejrzysty i skuteczny. Organizacje, które zrobią to dobrze, nie będą tymi, które mają najwięcej sztucznej inteligencji; to oni dokonali najinteligentniejszych wyborów dotyczących tego, gdzie, dlaczego i jak z niego skorzystać.
Aditya K Sood jest wiceprezesem ds. inżynierii bezpieczeństwa i strategii AI w firmie Aryaka.