AI Rising: искусственный интеллект в кибербезопасности

21-й век открывает новый список стартапов, демократизирующих искусственный интеллект (ИИ) и машинное обучение (МО) в этой четвертой промышленной революции, которая меняет целые отрасли. AI и ML теперь радикально меняют исследования рака, автомобилестроение, а теперь и кибербезопасность. По данным KPMG, в 2017 году венчурные инвестиции в ИИ-стартапы по всему миру удвоились и достигли $12 млрд.

ИИ — это способность машин или программного обеспечения демонстрировать интеллект; понимать и воспринимать свое окружение и предпринимать действия, основанные на этой адаптации, или даже улучшать свои собственные возможности благодаря этому пониманию. Системы искусственного интеллекта и машинного обучения способны выполнять когнитивные функции, такие как обучение и решение проблем, и продолжают развиваться по мере создания и вывода на рынок большего количества систем, управляемых искусственным интеллектом.

В индустрии кибербезопасности устаревшие решения, способные обнаруживать атаки на сеть или саму конечную точку, исторически полагались на известные шаблоны или сигнатуры для выявления потенциально вредоносного поведения. Например, идентификация NOP-следа (последовательности бездействующих инструкций, предназначенных для скольжения потока выполнения инструкций ЦП к его конечному, желаемому месту назначения в памяти — обычно шелл-коду) или просто текстовые строки в полезной нагрузке пакет, например Gobble Gobble.

За последнее десятилетие рынок кибербезопасности пережил массовую консолидацию за счет слияний и поглощений, а также изменения ландшафта управления безопасностью сетей и конечных точек, вызванного ростом числа передовых вредоносных программ, оставивших многие компании беззащитными, поскольку устаревшие системы обнаружения на основе сигнатур не могут их обнаружить. Новые участники меняют конкурентную среду, такие компании, как Cylance, Vectra и Dark Trace, представили продукты на основе AI и ML для хорошей борьбы. Palo Alto Networks недавно приобрела LightCyber ​​за 105 млн долларов, чтобы добавить AI в свой портфель межсетевых экранов UTM. Хотя эти решения эффективны в борьбе с неизвестными угрозами, они не обходятся без компромиссов (читай: ложных срабатываний). Однако они гораздо эффективнее обнаруживают эксплойты нулевого дня и вредоносное ПО, чем их собратья на основе сигнатур. Кроме того, корпоративные сети представляют собой постоянно меняющуюся и развивающуюся среду, поскольку системы и программное обеспечение регулярно обновляются, обновляются или развертываются. Поэтому то, что может постоянно учиться и динамически приспосабливаться к изменяющейся среде, имеет решающее значение.

LightCyber ​​Magna (теперь Palo Alto Networks) изучает поведение конечных точек, синтезируя и профилируя сетевые пакеты, потоковые данные и другие метаданные, собранные с помощью сетевых зондов, без необходимости устанавливать агенты на каждую конечную точку.

Сегодня устаревшие средства управления безопасностью сети и конечных точек содержат базу данных сигнатур, которые отслеживают известное плохое поведение, что значительно ограничивает их видимость при обнаружении неизвестных, новых атак, где нет известного шаблона, а также при обнаружении трафика управления и контроля (c2), который обычно шифруется. Механизмы распознавания образов неэффективны против сетевых пакетов, зашифрованных через туннели SSL/TLS или VPN.

Элементы управления кибербезопасностью, которые не используют сигнатуры, используют «машинное обучение» для профилирования или «базового определения» поведения систем в сети путем анализа их трафика и оповещения об отклонениях от установленного хорошего поведения. разработан.

ИИ в кибербезопасности — это необходимая следующая эволюция в киберзащите для компаний, уставших постоянно играть в «дурака-крота» по мере появления новых инфекций или компрометаций из-за недостаточной эффективности обнаружения, вызванной сигнатурным антивирусом или обнаружением вторжений. Я ожидаю, что в самом ближайшем будущем поставщикам придется полностью отказаться от обнаружения на основе сигнатур, если они не дополнят его с помощью ИИ или МО, или столкнутся с тем, что они устаревают, поскольку ландшафт угроз продолжает развиваться вместе с тактикой, методами и процедурами. противников.

Если вы начинаете оценивать различные решения AI/ML для нового развертывания, вот несколько вопросов, которые следует задать поставщику:

  1. Каковы требования к процессору и памяти решения?
  2. Может ли система AI/ML выполнять все функции, если хост находится в автономном режиме и не может подключиться к Интернету?
  3. Когда был разработан механизм искусственного интеллекта и использовался ли он для эффективного обнаружения современных вредоносных программ и эксплойтов?
  4. Требуется ли первоначальное заражение хоста, чтобы начать обнаруживать вредоносное поведение/трафик?

Об Алиссе Найт

Алисса Найт — старший аналитик практики кибербезопасности Aite Group. Г-жа Найт занимается вопросами кибербезопасности в сфере финансовых услуг и здравоохранения, выступая в качестве идейного лидера и доверенного советника финансовых учреждений, признанных поставщиков технологий, стартапов и фирм венчурного капитала. Она дает практические рекомендации клиентам, создавая исследовательские работы, выступая на конференциях, взаимодействуя с клиентами и руководя консалтинговыми проектами в качестве поставщика исследований и консультационных услуг по наиболее важным темам управления современными ИТ-рисками.

Самые последние исследования г-жи Найт касались кибербезопасности систем точек продаж, предотвращения потери данных, искусственного интеллекта, систем управления ИТ-рисками и управления доступом к идентификационным данным. Совсем недавно г-жа Найт была управляющим партнером группы Brier & Thorn, где она отвечала за операции в США, Европе и Азии, а также возглавляла практику кибербезопасности подключенных автомобилей. Сейчас она входит в совет директоров в качестве его председателя.

Г-жа Найт проработала в сфере кибербезопасности более 18 лет в качестве тестера на проникновение и специалиста по реагированию на инциденты, является опубликованным автором и запустила и продала два предыдущих стартапа в области кибербезопасности, прежде чем создать свой собственный венчурный фонд. В настоящее время г-жа Найт учится в Школе бизнеса Фокса Университета Темпл, чтобы получить степень в области экономики.