Īsā atbilde: mākslīgais intelekts neaizstās kiberdrošību no sākuma līdz beigām, taču tas pārņems ievērojamu daļu atkārtota SOC un drošības inženierijas darba. Izmantojot to kā trokšņu mazinātāju un apkopotāju – ar cilvēka pārzināšanu –, tas paātrina triāžu un prioritāšu noteikšanu; uztverot to kā orākulu, tas var radīt riskantu viltus pārliecību.
Galvenie secinājumi:
Darbības joma : Mākslīgais intelekts aizstāj uzdevumus un darbplūsmas, nevis pašu profesiju vai atbildību.
Darba slodzes samazināšana : izmantojiet mākslīgo intelektu brīdinājumu grupēšanai, kodolīgiem kopsavilkumiem un žurnālu modeļu triāžai.
Lēmumu pieņemšana : Nodrošiniet cilvēkiem risku apetītes, incidentu vadības un stingru kompromisu veikšanu.
Izturība pret ļaunprātīgu izmantošanu : dizains paredzēts ātrai injekcijai, saindēšanai un pretinieku mēģinājumiem izvairīties no uzbrukumiem.
Pārvaldība : Nodrošiniet datu robežu ievērošanu, auditējamību un apstrīdamas cilvēku veiktās ignorēšanas rīku izstrādē.
Raksti, kurus jūs varētu vēlēties izlasīt pēc šī raksta:
🔗 Kā ģeneratīvais mākslīgais intelekts tiek izmantots kiberdrošībā
Praktiski veidi, kā mākslīgais intelekts uzlabo atklāšanu, reaģēšanu un draudu novēršanu.
🔗 Mākslīgā intelekta iekļūšanas testēšanas rīki kiberdrošībai
Labākie mākslīgā intelekta risinājumi testēšanas automatizēšanai un ievainojamību atrašanai.
🔗 Vai mākslīgais intelekts ir bīstams? Riski un realitāte
Skaidrs ieskats draudos, mītos un atbildīgos mākslīgā intelekta aizsardzības pasākumos.
🔗 Labāko mākslīgā intelekta drošības rīku ceļvedis
Labākie drošības rīki, kas izmanto mākslīgo intelektu sistēmu un datu aizsardzībai.
"Aizstāt" ietvars ir slazds 😅
Kad cilvēki saka: “Vai mākslīgais intelekts var aizstāt kiberdrošību?” , viņi parasti domā vienu no trim lietām:
-
Aizstāt analītiķus (cilvēki nav nepieciešami)
-
Aizstāt rīkus (viena mākslīgā intelekta platforma dara visu)
-
Aizstāt rezultātus (mazāk pārkāpumu, mazāks risks)
Mākslīgais intelekts vislabāk spēj aizstāt atkārtotus centienus un saīsināt lēmumu pieņemšanas laiku. Visvājāk tas spēj aizstāt atbildību, kontekstu un spriedumus. Drošība nav tikai atklāšana — tā ir sarežģīti kompromisi, uzņēmējdarbības ierobežojumi, politika (fui) un cilvēku uzvedība.
Ziniet, kā tas notiek — pārkāpums nebija “brīdinājumu trūkums”. Tas bija kāda cilvēka neticības, ka brīdinājumam ir nozīme, trūkums. 🙃
Kur mākslīgais intelekts jau “aizstāj” kiberdrošības darbu (praksē) ⚙️
Mākslīgais intelekts jau pārņem noteiktas darba kategorijas, pat ja organizācijas shēma joprojām izskatās tāda pati.
1) Triāža un trauksmes klasterizācija
-
Līdzīgu brīdinājumu grupēšana vienā incidentā
-
Trokšņaino signālu dedublēšana
-
Ranžēšana pēc iespējamās ietekmes
Tas ir svarīgi, jo triāžas laikā cilvēki zaudē dzīvotgribu. Ja mākslīgais intelekts kaut nedaudz samazina troksni, tas ir kā ugunsgrēka signalizācijas izslēgšana, kas jau nedēļām ilgi kliedz 🔥🔕
2) Žurnālu analīze un anomāliju noteikšana
-
Aizdomīgu modeļu noteikšana mašīnas ātrumā
-
Atzīmējot ar karodziņu “tas ir neparasti salīdzinājumā ar sākotnējo situāciju”
Tas nav perfekts, bet var būt vērtīgs. Mākslīgais intelekts ir kā metāla detektors pludmalē — tas daudz pīkst, un dažreiz tas ir pudeles korķis, bet reizēm tas ir gredzens 💍… vai kompromitēta administratora žetons.
3) Ļaunprogrammatūras un pikšķerēšanas klasifikācija
-
Pielikumu, URL un domēnu klasificēšana
-
Līdzīgu zīmolu un viltojumu modeļu noteikšana
-
Smilškastes spriedumu kopsavilkumu automatizācija
4) Ievainojamību pārvaldības prioritāšu noteikšana
Nevis “kādas CVE pastāv” — mēs visi zinām, ka to ir pārāk daudz. Mākslīgais intelekts palīdz atbildēt uz:
-
Kuras, visticamāk, šeit var izmantot. EPSS (PIRMAIS)
-
Kas ir pakļauti ārēji
-
Kura saite attiecas uz vērtīgiem aktīviem. CISA KEV katalogs
-
Kurš vispirms būtu jālabo, neaizskarot organizāciju. NIST SP 800-40 Rev. 4 (Uzņēmuma ielāpu pārvaldība)
Un jā, arī cilvēki to varētu izdarīt – ja laiks būtu bezgalīgs un neviens nekad neņemtu brīvdienas.
Kas padara mākslīgā intelekta versiju labu kiberdrošībā 🧠
Šo daļu cilvēki izlaiž un tad vaino “mākslīgo intelektu”, it kā tas būtu viens produkts ar sajūtām.
Labai mākslīgā intelekta versijai kiberdrošībā parasti ir šādas īpašības:
-
Augsta signāla un trokšņa disciplīna
-
Tam ir jāsamazina troksnis, nevis jārada papildu troksnis ar izsmalcinātu frāzējumu.
-
-
Izskaidrojamība, kas palīdz praksē
-
Ne romāns. Ne vibrācijas. Īstas norādes: ko tas redzēja, kāpēc tam rūp, kas mainījās.
-
-
Cieša integrācija ar jūsu vidi
-
IAM, galapunktu telemetrija, mākoņa stāvokļa noteikšana, biļešu pārdošana, aktīvu inventarizācija… nepievilcīgās lietas.
-
-
Iebūvēta cilvēka vadības ignorēšana
-
Analītiķiem tas ir jālabo, jāuzlabo un dažreiz jāignorē. Tāpat kā jaunākais analītiķis, kurš nekad neguļ, bet reizēm krīt panikā.
-
-
Droša datu apstrāde
-
Skaidras robežas attiecībā uz to, kas tiek glabāts, apmācīts vai saglabāts. NIST AI RMF 1.0
-
-
Izturība pret manipulācijām
-
Uzbrucēji mēģinās veikt tūlītēju injekciju, saindēšanu un maldināšanu. Viņi to vienmēr dara. OWASP LLM01: Ātra injekcija Apvienotās Karalistes mākslīgā intelekta kiberdrošības prakses kodekss
-
Būsim atklāti — daudzas “mākslīgā intelekta drošības” sistēmas neizdodas, jo tās ir apmācītas izklausīties droši, nevis pareizi. Pārliecība nav kontrole. 😵💫
Detaļas, kuras mākslīgajam intelektam ir grūti nomainīt — un tas ir svarīgāk, nekā izklausās 🧩
Lūk, nepatīkamā patiesība: kiberdrošība nav tikai tehniska. Tā ir sociotehniska. Tie ir cilvēki, sistēmas un stimuli.
Mākslīgajam intelektam ir grūtības ar:
1) Uzņēmējdarbības konteksts un riska apetīte
Drošības lēmumi reti kad ir "vai tas ir slikti". Tie drīzāk ir šādi:
-
Vai tas ir pietiekami nopietns, lai apturētu ieņēmumus
-
Vai ir vērts pārtraukt izvietošanas procesu
-
Vai vadības komanda pieņems dīkstāvi
Mākslīgais intelekts var palīdzēt, bet nevar to uzņemties. Kāds paraksta lēmumu. Kāds saņem zvanu pulksten 2 naktī 📞
2) Incidentu vadība un komandu savstarpēja koordinācija
Reālu incidentu laikā “darbs” ir:
-
Pareizo cilvēku piesaistīšana telpā
-
Faktu pieņemšana bez panikas
-
Saziņas, pierādījumu, juridisko problēmu un klientu ziņojumapmaiņas pārvaldība NIST SP 800-61 (Incidentu apstrādes rokasgrāmata)
Mākslīgais intelekts var izstrādāt laika grafiku vai apkopot žurnālus, protams. Vadības nomaiņa spiediena apstākļos ir… optimistiska. Tas ir kā lūgt kalkulatoram veikt ugunsgrēka trauksmes mācības.
3) Draudu modelēšana un arhitektūra
Draudu modelēšana ir daļēji loģika, daļēji radošums, daļēji paranoja (lielākoties veselīga paranoja).
-
Uzskaitot, kas varētu noiet greizi
-
Paredzot, ko uzbrucējs darīs
-
Lētākās vadības ierīces izvēle, kas maina uzbrucēja matemātiku
Mākslīgais intelekts var ieteikt modeļus, taču patiesā vērtība rodas, pārzinot savas sistēmas, cilvēkus, īsceļus un īpašās mantojuma atkarības.
4) Cilvēciskie faktori un kultūra
Pikšķerēšana, akreditācijas datu atkārtota izmantošana, ēnu IT, paviršas piekļuves pārskatīšanas — tās ir cilvēciskas problēmas, kas tērptas tehniskos kostīmos 🎭
Mākslīgais intelekts var atklāt, bet nevar novērst, kāpēc organizācija rīkojas tā, kā tā rīkojas.
Uzbrucēji izmanto arī mākslīgo intelektu, tāpēc spēles laukums sasveras uz sāniem 😈🤖
Jebkurā diskusijā par kiberdrošības aizstāšanu jāiekļauj acīmredzamais: uzbrucēji nestāv uz vietas.
Mākslīgais intelekts palīdz uzbrucējiem:
-
Rakstiet pārliecinošākus pikšķerēšanas ziņojumus (mazāk gramatikas kļūdu, vairāk konteksta). FBI brīdinājums par pikšķerēšanu, izmantojot mākslīgo intelektu. IC3 PSA par ģeneratīvo krāpšanu/pikšķerēšanu, izmantojot mākslīgo intelektu.
-
Ātrāk ģenerējiet polimorfas ļaunprogrammatūras variācijas OpenAI apdraudējumu izlūkošanas ziņojumi (ļaunprātīgas izmantošanas piemēri)
-
Automatizēta izlūkošana un sociālā inženierija. Europol “ChatGPT ziņojums” (ļaunprātīgas izmantošanas pārskats).
-
Lēti mērogojiet mēģinājumus
Tātad aizstāvju ilgtermiņa izvēle nav mākslīgā intelekta ieviešana. Drīzāk… jūs ņemat līdzi lukturīti, jo otra puse tikko ieguva nakts redzamības brilles. Neveikla metafora. Tomēr zināmā mērā patiesa.
Tāpat uzbrucēji mērķēs uz pašām mākslīgā intelekta sistēmām:
-
Ātra injekcija drošības kopilotos OWASP LLM01: Ātra injekcija
-
Datu saindēšana , lai kropļotu modeļus. Apvienotās Karalistes mākslīgā intelekta kiberdrošības prakses kodekss.
-
Konfrontācijas piemēri , lai izvairītos no atklāšanas MITRE ATLAS
-
Modeļa ekstrakcijas mēģinājumi dažās MITRE ATLAS
Drošība vienmēr ir bijusi kā kaķa un peles spēle. Mākslīgais intelekts padara kaķus ātrākus un peles atjautīgākas 🐭
Īstā atbilde: mākslīgais intelekts aizstāj uzdevumus, nevis atbildību ✅
Šis ir "neērtais vidusceļš", kurā nonāk lielākā daļa komandu:
-
Mākslīgais intelekts apstrādā mērogošanu
-
Cilvēki rīkojas ar likmēm
-
Kopā viņi pārvalda ātrumu un spriestspēju
Manā testēšanā dažādās drošības darbplūsmās mākslīgais intelekts ir vislabākais, ja ar to rīkojas šādi:
-
Triāžas asistents
-
Apkopotājs
-
Korelācijas dzinējs
-
Politikas palīgs
-
Koda pārskatīšanas partneris riskantiem modeļiem
Mākslīgais intelekts ir sliktākais, ja pret to izturas šādi:
-
Orākuls
-
Viens patiesības punkts
-
Aizsardzības sistēma “iestati un aizmirsti”
-
Iemesls nepietiekami nodrošināt komandu (tas vēlāk… stipri iekritīs)
Tas ir kā nolīgt sargsuni, kurš arī raksta e-pastus. Lieliski. Bet dažreiz tas rej uz putekļsūcēju un nepamana puisi, kurš lec pāri žogam. 🐶🧹
Salīdzināšanas tabula (komandas ikdienā izmanto populārākās iespējas) 📊
Zemāk ir praktiska salīdzināšanas tabula — ne perfekta, nedaudz nevienmērīga, kā reālajā dzīvē.
| Rīks/platforma | Vislabāk piemērots (auditorijai) | Cenas vibrācija | Kāpēc tas darbojas (un kādas ir tā īpatnības) |
|---|---|---|---|
| Microsoft Sentinel Microsoft Learn | SOC komandas, kas dzīvo Microsoft ekosistēmās | $$ - $$$ | Spēcīgi mākoņpakalpojumos balstīti SIEM modeļi; daudz savienotāju, var radīt troksni, ja tie nav noregulēti… |
| Splunk Splunk uzņēmuma drošība | Lielākas organizācijas ar lielu reģistrēšanas apjomu + pielāgotām vajadzībām | $$$ (bieži vien $$$$, atklāti sakot) | Jaudīga meklēšana + informācijas paneļi; pārsteidzoši, ja tie ir rūpīgi atlasīti, bet sāpīgi, ja datu higiēna nav neviena īpašumā |
| Google drošības operācijas Google Cloud | Komandas, kas vēlas pārvaldīta mēroga telemetriju | $$ - $$$ | Piemērots lieliem datu apjomiem; tāpat kā daudzas citas lietas, atkarīgs no integrācijas brieduma |
| CrowdStrike Falcon CrowdStrike | Ar galapunktiem saistītas organizācijas, IR komandas | $$$ | Spēcīga galapunktu redzamība; liels noteikšanas dziļums, taču joprojām ir nepieciešami cilvēki, kas veicinātu reaģēšanu |
| Microsoft Defender galapunktam Microsoft Learn | M365-biežās organizācijas | $$ - $$$ | Cieša integrācija ar Microsoft; var būt lieliska, bet nepareizi konfigurēta var radīt "700 brīdinājumus rindā" |
| Palo Alto Cortex XSOAR Palo Alto Networks | Uz automatizāciju orientēti SOC | $$$ | Rokasgrāmatas samazina pūles; prasa rūpību vai automatizē nekārtību (jā, tā ir lieta) |
| Wiz Wiz platforma | Mākoņdrošības komandas | $$$ | Spēcīga mākoņpakalpojumu redzamība; palīdz ātri noteikt risku prioritāti, tomēr tam joprojām ir nepieciešama pārvaldība |
| Snyk Snyk platforma | Izstrādātāju organizācijas, lietotņu drošība | $$ - $$$ | Izstrādātājiem draudzīgas darbplūsmas; panākumi ir atkarīgi no izstrādātāju ieviešanas, ne tikai skenēšanas |
Neliela piezīme: neviens rīks “neuzvar” pats par sevi. Vislabākais rīks ir tas, ko jūsu komanda lieto katru dienu, nejūtot par to aizvainojumu. Tā nav zinātne, tā ir izdzīvošana 😅
Reālistisks darbības modelis: kā komandas uzvar ar mākslīgā intelekta palīdzību 🤝
Ja vēlaties, lai mākslīgais intelekts būtiski uzlabotu drošību, parasti jāievēro šāds rīcības plāns:
1. darbība. Izmantojiet mākslīgo intelektu, lai samazinātu slodzi
-
Brīdinājumu bagātināšanas kopsavilkumi
-
Biļešu sagatavošana
-
Pierādījumu vākšanas kontrolsaraksti
-
Žurnāla vaicājumu ieteikumi
-
Konfigurāciju atšķirības sadaļā “Kas mainījās”
2. darbība. Izmantojiet cilvēkus apstiprināšanai un lēmumu pieņemšanai
-
Apstipriniet ietekmi un darbības jomu
-
Izvēlieties ierobežošanas darbības
-
Koordinēt starpkomandas labojumus
3. darbība: automatizējiet seifu darbību
Labi automatizācijas mērķi:
-
Zināmu bojātu failu karantīna ar augstu pārliecību
-
Akreditācijas datu atiestatīšana pēc pārbaudīta kompromitēšanas
-
Acīmredzami ļaunprātīgu domēnu bloķēšana
-
Politikas novirzes korekcijas (rūpīga) īstenošana
Riskanti automatizācijas mērķi:
-
Ražošanas serveru automātiska izolācija bez drošības pasākumiem
-
Resursu dzēšana, pamatojoties uz neskaidriem signāliem
-
Lielu IP adrešu diapazonu bloķēšana, jo "modelim tā šķita" 😬
4. darbība. Iegūstiet pieredzi atpakaļ vadības elementos
-
Pēcincidenta regulēšana
-
Uzlabota noteikšana
-
Labāka aktīvu uzskaite (mūžīgās sāpes)
-
Šaurākas privilēģijas
Šeit ļoti palīdz mākslīgais intelekts: apkopo pēcnāves datus, kartē noteikšanas nepilnības, pārvērš traucējumus atkārtojamos uzlabojumos.
Mākslīgā intelekta vadītas drošības slēptie riski (jā, tādi ir daži) ⚠️
Ja jūs intensīvi izmantojat mākslīgo intelektu, jums jāplāno klupšanas akmeņi:
-
Izgudrota pārliecība
-
Drošības komandām ir nepieciešami pierādījumi, nevis stāstu stāstīšana. Mākslīgajam intelektam patīk stāstu stāstīšana. NIST AI RMF 1.0
-
-
Datu noplūde
-
Uzvednēs var nejauši iekļaut sensitīvu informāciju. Ja ieskatās rūpīgāk, žurnāli ir pilni ar noslēpumiem. OWASP 10 labākie LLM pieteikumiem
-
-
Pārmērīga paļaušanās
-
Cilvēki pārstāj mācīties pamatus, jo otrais pilots "vienmēr zina"... līdz brīdim, kad viņš vairs zina.
-
-
Modeļa nobīde
-
Vide mainās. Uzbrukumu modeļi mainās. Atklātie dati nemanāmi trūd. NIST AI RMF 1.0
-
-
Pretrunīga vardarbība
-
Uzbrucēji mēģinās vadīt, mulsināt vai izmantot mākslīgā intelekta darbplūsmas. Drošu mākslīgā intelekta sistēmu izstrādes vadlīnijas (NSA/CISA/NCSC-UK).
-
Tas ir līdzīgi kā uzbūvēt ļoti gudru slēdzeni un tad atstāt atslēgu zem paklājiņa. Slēdzene nav vienīgā problēma.
Tātad… Vai mākslīgais intelekts var aizstāt kiberdrošību: skaidra atbilde 🧼
Vai mākslīgais intelekts var aizstāt kiberdrošību?
Tas var aizstāt daudz atkārtota darba kiberdrošībā. Tas var paātrināt atklāšanu, triāžu, analīzi un pat daļu no reaģēšanas. Taču tas nevar pilnībā aizstāt disciplīnu, jo kiberdrošība nav viens uzdevums — tā ir pārvaldība, arhitektūra, cilvēku uzvedība, incidentu vadība un nepārtraukta pielāgošanās.
Ja vēlaties visatklātāko kadrējumu (nedaudz skarbu, atvainojiet):
-
Mākslīgais intelekts aizstāj aizņemto darbu
-
Mākslīgais intelekts uzlabo labas komandas
-
Mākslīgais intelekts atklāj sliktus procesus
-
Cilvēki joprojām ir atbildīgi par risku un realitāti
Un jā, dažas lomas mainīsies. Visstraujāk mainīsies sākuma līmeņa uzdevumi. Taču parādīsies arī jauni uzdevumi: drošas darbplūsmas, modeļu validācija, drošības automatizācijas inženierija, noteikšanas inženierija ar mākslīgā intelekta atbalstītiem rīkiem… darbs nepazūd, tas mutē 🧬
Noslēguma piezīmes un īss kopsavilkums 🧾✨
Ja jūs izlemjat, ko darīt ar mākslīgo intelektu drošības jomā, lūk, praktisks secinājums:
-
Izmantojiet mākslīgo intelektu, lai saīsinātu laiku — ātrāka triāža, ātrāki kopsavilkumi, ātrāka korelācija.
-
Paturiet cilvēkus spriedumu — konteksts, kompromisi, vadība, atbildība.
-
Pieņemsim, ka uzbrucēji arī izmanto mākslīgo intelektu — dizains maldināšanai un manipulācijām. MITRE ATLAS vadlīnijas drošu mākslīgā intelekta sistēmu izstrādei (NSA/CISA/NCSC-UK).
-
Nepērciet “maģiju” — pērciet darbplūsmas, kas izmērāmi samazina risku un slodzi.
Tātad, jā, mākslīgais intelekts var aizstāt daļu darba, un bieži vien tas notiek tādos veidos, kas sākumā šķiet nemanāmi. Uzvarētājs ir padarīt mākslīgo intelektu par savu ietekmes avotu, nevis aizstājēju.
Un, ja jūs uztraucaties par savu karjeru, koncentrējieties uz tām jomām, ar kurām mākslīgajam intelektam ir grūtības: sistēmiskā domāšana, incidentu vadība, arhitektūra un spēja atšķirt “interesantu brīdinājumu” no “mums tūlīt būs ļoti slikta diena”. 😄🔐
Bieži uzdotie jautājumi
Vai mākslīgais intelekts var pilnībā aizstāt kiberdrošības komandas?
Mākslīgais intelekts var pārņemt ievērojamas kiberdrošības darba daļas, bet ne visu disciplīnu no sākuma līdz beigām. Tas izceļas ar atkārtotiem caurlaidspējas uzdevumiem, piemēram, brīdinājumu klasterizāciju, anomāliju noteikšanu un pirmās kārtas kopsavilkumu sagatavošanu. Tas neaizstāj atbildību, biznesa kontekstu un spriestspēju, ja likmes ir augstas. Praksē komandas nonāk “neērtā vidusceļā”, kur mākslīgais intelekts nodrošina mērogu un ātrumu, savukārt cilvēki saglabā atbildību par būtiskiem lēmumiem.
Kur mākslīgais intelekts jau aizstāj ikdienas SOC darbu?
Daudzās sociālās pārvaldības sistēmās (SOC) mākslīgais intelekts jau uzņemas laikietilpīgus darbus, piemēram, triāžu, dublēšanos novēršanu un brīdinājumu klasificēšanu pēc iespējamās ietekmes. Tas var arī paātrināt žurnālu analīzi, atzīmējot modeļus, kas atšķiras no sākotnējās uzvedības. Rezultātā netiek burvju gājiena rezultātā samazināts incidentu skaits, bet gan tiek pavadīts mazāk stundu, kas pavadītas, pētot troksni, tāpēc analītiķi var koncentrēties uz svarīgām izmeklēšanām.
Kā mākslīgā intelekta rīki palīdz ievainojamību pārvaldībā un ielāpu prioritāšu noteikšanā?
Mākslīgais intelekts palīdz novirzīt ievainojamību pārvaldību no “pārāk daudz CVE” uz “ko mums vispirms vajadzētu ievainot”. Izplatīta pieeja apvieno izmantošanas iespējamības signālus (piemēram, EPSS), zināmos izmantošanas sarakstus (piemēram, CISA KEV katalogu) un jūsu vides kontekstu (interneta iedarbība un resursu kritiskums). Pareizi īstenots, tas samazina minējumus un atbalsta ielāpu ieviešanu, neapdraudot uzņēmējdarbību.
Kas kiberdrošības ziņā atšķir “labu” mākslīgo intelektu no trokšņaina mākslīgā intelekta?
Labs mākslīgais intelekts kiberdrošībā samazina troksni, nevis rada pārliecinoši skanošu jucekli. Tas piedāvā praktisku izskaidrojamību — konkrētas norādes, piemēram, kas mainījās, ko tas novēroja un kāpēc tas ir svarīgi —, nevis garus, neskaidrus stāstus. Tas arī integrējas ar pamatsistēmām (IAM, galapunkti, mākonis, biļešu pārdošana) un atbalsta cilvēka veiktu ignorēšanu, lai analītiķi varētu to labot, pielāgot vai ignorēt, kad tas nepieciešams.
Kuras kiberdrošības daļas mākslīgajam intelektam ir grūti aizstāt?
Vislielākās grūtības mākslīgajam intelektam ir ar sociotehnisko darbu: riska apetīti, incidentu vadību un komandu koordināciju. Incidentu laikā darbs bieži vien kļūst par komunikāciju, pierādījumu apstrādi, juridiskām problēmām un lēmumu pieņemšanu nenoteiktības apstākļos – jomās, kurās vadība ir svarīgāka par modeļu saskaņošanu. Mākslīgais intelekts var palīdzēt apkopot žurnālus vai izstrādāt laika grafikus, taču tas neaizstāj atbildību spiediena apstākļos.
Kā uzbrucēji izmanto mākslīgo intelektu, un vai tas maina aizstāvja darbu?
Uzbrucēji izmanto mākslīgo intelektu (MI), lai mērogotu pikšķerēšanu, ģenerētu pārliecinošāku sociālo inženieriju un ātrāk apstrādātu ļaunprogrammatūras variantus. Tas maina spēles noteikumus: laika gaitā aizstāvju MI ieviešana kļūst mazāk izvēles iespēja. Tas arī rada jaunus riskus, jo uzbrucēji var mērķēt uz MI darbplūsmām, izmantojot tūlītēju injekciju, saindēšanas mēģinājumus vai pretinieku izvairīšanos, kas nozīmē, ka arī MI sistēmām ir nepieciešamas drošības kontroles, nevis akla uzticēšanās.
Kādi ir lielākie riski, paļaujoties uz mākslīgo intelektu drošības lēmumu pieņemšanā?
Būtisks risks ir izdomāta pārliecība: mākslīgais intelekts var izklausīties pārliecināts pat tad, ja tas kļūdās, un pārliecība nav kontrole. Datu noplūde ir vēl viena izplatīta kļūda — drošības uzvednēs var netīšām iekļaut sensitīvu informāciju, un žurnālos bieži vien ir noslēpumi. Pārmērīga paļaušanās var arī graut pamatprincipus, savukārt modeļa nobīde nemanāmi pasliktina atklāšanas iespējas, mainoties videi un uzbrucēju uzvedībai.
Kāds ir reālistisks darbības modelis mākslīgā intelekta izmantošanai kiberdrošībā?
Praktisks modelis izskatās šādi: izmantojiet mākslīgo intelektu (AI), lai samazinātu slodzi, atstājiet cilvēkus validācijai un lēmumu pieņemšanai un automatizējiet tikai drošās lietas. Mākslīgais intelekts ir spēcīgs bagātināšanas kopsavilkumu, pieprasījumu sagatavošanas, pierādījumu kontrolsarakstu un “kas mainījās” atšķirību noteikšanai. Automatizācija vislabāk piemērota augstas uzticamības darbībām, piemēram, zināmu sliktu domēnu bloķēšanai vai akreditācijas datu atiestatīšanai pēc pārbaudītas kompromitēšanas, ar drošības pasākumiem, lai novērstu pārmērīgu piekļuvi.
Vai mākslīgais intelekts aizstās sākuma līmeņa kiberdrošības lomas, un kādas prasmes kļūs vērtīgākas?
Iesācēja līmeņa uzdevumu kaudzes, visticamāk, mainīsies visstraujāk, jo mākslīgais intelekts var absorbēt atkārtotu triāžas, apkopošanas un klasifikācijas darbu. Taču parādās arī jauni uzdevumi, piemēram, drošu darbplūsmu veidošana, modeļu rezultātu validācija un inženiertehniskās drošības automatizācija. Karjeras noturība parasti rodas no prasmēm, ar kurām mākslīgajam intelektam ir grūtības: sistēmiskā domāšana, arhitektūra, incidentu vadība un tehnisko signālu pārveidošana biznesa lēmumos.
Atsauces
-
FIRST — EPSS (FIRST) — first.org
-
Kiberdrošības un infrastruktūras drošības aģentūra (CISA) — zināmo izmantoto ievainojamību katalogs — cisa.gov
-
Nacionālais standartu un tehnoloģiju institūts (NIST) — SP 800-40 Rev. 4 (Uzņēmumu ielāpu pārvaldība) — csrc.nist.gov
-
Nacionālais standartu un tehnoloģiju institūts (NIST) — AI RMF 1.0 — nvlpubs.nist.gov
-
OWASP — LLM01: Ātra injekcija — genai.owasp.org
-
Apvienotās Karalistes valdība — Mākslīgā intelekta kiberdrošības prakses kodekss — gov.uk
-
Nacionālais standartu un tehnoloģiju institūts (NIST) — SP 800-61 (Incidentu apstrādes rokasgrāmata) — csrc.nist.gov
-
Federālais izmeklēšanas birojs (FIB) brīdina par pieaugošiem kibernoziedznieku draudiem, izmantojot mākslīgo intelektu — fbi.gov
-
FBI interneta noziegumu sūdzību centrs (IC3) — IC3 PSA par ģeneratīvo mākslīgā intelekta krāpšanu/pikšķerēšanu — ic3.gov
-
OpenAI — OpenAI apdraudējumu izlūkošanas ziņojumi (ļaunprātīgas izmantošanas piemēri) — openai.com
-
Eiropols — Eiropola “ChatGPT ziņojums” (ļaunprātīgas izmantošanas pārskats) — europol.europa.eu
-
LEŅĶIS - LEŅĶU ATLASS - mitre.org
-
OWASP — OWASP 10 labākie LLM pieteikumi — owasp.org
-
Nacionālās drošības aģentūra (NSA) — vadlīnijas mākslīgā intelekta sistēmu izstrādes nodrošināšanai (NSA/CISA/NCSC-UK un partneri) — nsa.gov
-
Microsoft Learn — Microsoft Sentinel pārskats — learn.microsoft.com
-
Splunk — Splunk uzņēmuma drošība — splunk.com
-
Google Cloud — Google drošības operācijas — cloud.google.com
-
CrowdStrike — CrowdStrike Falcon platforma — crowdstrike.com
-
Microsoft Learn — Microsoft Defender galapunktu aizsardzībai — learn.microsoft.com
-
Palo Alto Networks — Cortex XSOAR — paloaltonetworks.com
-
Wiz — Wiz platforma — wiz.io
-
Snyk — Snyk platforma — snyk.io