Какво представлява ИИ за киберсигурността?
Дефиниране на ИИ за киберсигурност
ИИ за киберсигурност използва ИИ за анализиране и съпоставяне на данни за събития и киберзаплахи в множество източници, като ги превръща в ясни и водещи до действие прозрения, които специалистите по защитата използват за по-нататъшно разследване, отговор и докладване. Ако кибератака отговаря на определени критерии, дефинирани от екипа за защита, ИИ може да автоматизира отговора и да изолира засегнатите активи. Генеративният ИИ прави още една крачка напред като създава оригинален текст на естествен език, изображения и друго съдържание въз основа на модели в съществуващите данни.
Еволюцията на ИИ за киберсигурността
Общностите за защита са използвали ИИ за киберзащита най-малко от края на 80-те години със следните основни технологични постижения:
- В началото екипите за защита са използвали системи, базирани на правила за задействане на известявания въз основа на параметрите, които са дефинирани от самите екипи.
- От началото на 2000 г. постиженията в областта на машинното обучение – подмножество на ИИ, което анализира и се учи от големи набори от данни – дава възможност на екипите по операциите да разбират типичните модели на трафика и потребителските действия в организацията, за да идентифицират и отговорят, когато се случи нещо необичайно.
- Най-новото подобрение в областта на ИИ е генеративният ИИ, който създава ново съдържание въз основа на структурата на съществуващи данни. Хората взаимодействат с тези системи като използват естествен език, което позволява на професионалистите по защитата да се задълбочат в голям брой конкретни въпроси, без да използват език за заявки.
Но не само екипите по защитата използват ИИ. Извършителите на кибератаки, независимо дали са извършители, насочвани от държава, големи престъпни организации или физически лица, също могат да използват ИИ в своя полза. Злонамерените действащи лица заразяват системи за ИИ, използват ИИ, за да се въплъщават в легитимни хора, да автоматизират своите кибератаки и да разположат ИИ, за да помогнат за изследването и идентифицирането на кибератаки цели. Има също така риск хората да поставят чувствителни данни в подкани за ИИ и случайно да изтекат данни към обществеността.
Въздействие на генеративния ИИ върху киберсигурността
Генеративният ИИ все още е в начални етапи и едва неотдавна е въведен в защитата с обявяването на Microsoft Security Copilot. Той има потенциал да опрости радикално защитата за анализатори и други специалисти по защитата чрез:
- Синтезиране на данните в препоръки и прозрения, свързани с действия, с подходящ контекст, за да се помогне за насочване на разследванията на инциденти.
- Създаване на отчети и презентации, които могат да се четат от хора, за използване от анализаторите могат да използват, за да помагат на другите в организацията да разберат какво се случва.
- Отговаряне на въпроси за инциденти или уязвимости на естествен език или с графики.
Тъй като общността за защита изгражда генеративен ИИ в продукти и решения за защита, ще бъде важно той да бъде изграден отговорно. Хората трябва да знаят, че новите системи уважават поверителността, и са надеждни и безопасни. Точността и правдивостта са известни проблеми с текущите модели на генеративен ИИ, но с подобряването на технологията това ще помогне на организациите да изпреварват киберзаплахите, управлявани от ИИ.
Как работи ИИ за киберсигурността?
ИИ за киберсигурността работи чрез оценяване на огромни обеми данни от множество източници, за да се идентифицират моделите на дейност в дадена организация, например кога и къде хората влизат в системата, какви са обемите на трафика, устройствата и приложенията в облака, използвани от служителите. След като разбере какво е типично, възможно е да се идентифицира аномално поведение, което може да се наложи да бъде изследвано. За да се запази поверителността, данните на организацията не се използват за изходни данни с ИИ в други организации. Вместо това ИИ използва глобална аналитична информация за заплахи, синтезирана от няколко организации.
ИИ използва алгоритми за машинно обучение, за да се обучава непрекъснато въз основа на данните, които системата оценява. Когато генеративният ИИ идентифицира определени известни киберзаплахи, например злонамерен софтуер, той може да помогне за контекстуализирането на анализа на заплахите и да улесни разбирането като генерира нов текст или картини, за да се опише какво се случва.
Хората все още са играят важна роля за киберсигурността, но ИИ им помага да увеличат уменията си за идентифициране и разрешаване на заплахите по-бързо.
Случаи на използване на защитата с ИИ
Вместо да замества специалистите по защитата, ИИ е най-ефективен, когато се използва, за да им помага да вършат работата си по-ефективно. Някои често използвани случаи на защита с ИИ са:
-
Управление на самоличности и достъп
ИИ се използва за управление на самоличности и достъпи (IAM), за да се разберат моделите в поведението при влизане на потребителя и да се открива и показва аномално поведение, за да могат специалистите по защитата да извършват последващи действия. Също така може да се използва за автоматично принудително двустепенно удостоверяване или нулиране на паролата, когато са изпълнени определени условия. И ако е необходимо, може да блокира влизането на потребител, ако има причина да се предполага, че даден акаунт е бил компрометиран.
-
Защита и управление на крайна точка
ИИ помага на специалистите по защитата да идентифицират всички крайни точки, използвани в рамките на организацията, и им помага да бъдат актуализирани с най-новите операционни системи и решения за защита. ИИ може също да помогне за откриването на злонамерен софтуер и други доказателства за кибератака срещу устройства на организацията.
-
Защита в облака
Повечето организации инвестират много в облака. Те управляват инфраструктурата при един или повече от доставчиците на услуги в облака и използват приложения в облака от различни доставчици. ИИ помага на екипите да получават видимост за рисковете и уязвимостите в имуществото си в. множество облаци.
-
Откриване на киберзаплахи
Решенията Разширено откриване и реакция (XDR) и информация за защита и управление на събития (SIEM) помагат на екипите за защита да откриват киберзаплахи в цялото предприятие. За тази цел и двете решения разчитат много на ИИ. XDR решенията наблюдават крайни точки, имейли, самоличности и приложения в облака за аномално поведение и появяване на инциденти пред екипа, или отговарят автоматично в зависимост от правилата, дефинирани от операциите по защитата. Решенията на SIEM използват ИИ за събиране на сигнали от всяко предприятие, което дава на екипите по-добра видимост за това, което се случва.
-
Защита на информацията
Екипите за защита използват ИИ, за да идентифицират и обозначават чувствителни данни в цялата среда, независимо дали се намират в инфраструктурата на организацията, или в приложение в облака. ИИ може също да помогне за откриването, когато някой се опитва да премести данни извън фирмата, и или да блокира действието, или да уведоми екипа за защита за проблема.
-
Разследване и отговор на инциденти
По време на за проблема специалистите по защитата трябва да обработват огромни обеми данни, за да разкрият потенциални кибератаки. ИИ помага за идентифицирането и съпоставянето на най-полезните събития в множество източници на данни, спестявайки на професионалистите ценно време. Генеративният ИИ опростява разследването още повече като превежда анализа на естествен език и отговаря на въпроси, също на естествен език.
Ползи от защитата с ИИ
В условията на нарастващ брой киберзаплахи, увеличаване на обемите на данните и разширяваща се повърхност на кибератаките има няколко начина, по които ИИ помага на екипите за операции по защитата да бъдат по-ефективни.
-
Откриване на критични киберзаплахи по-бързо
Много решения за защита, например SIEM или XDR, регистрират хиляди и хиляди събития, които показват потенциално аномално поведение. Въпреки че по-голямата част от тези събития са безобидни, някои не са, а рискът от пропускане на потенциална киберзаплаха може да бъде огромен. ИИ помага да се идентифицират инцидентите, които наистина са важни. Също така помага за разпознаване на поведение, което може да не изглежда подозрително, но когато е свързано с други дейности, показва потенциална киберзаплаха.
-
Опростяване на отчитането
Инструментите, които използват генеративен ИИ, могат да извличат информация от няколко източника на данни, за да създават лесни за разбиране отчети, които специалистите по защитата могат бързо да споделят с други хора в организацията.
-
Идентифициране на уязвимости
ИИ помага за откриването на потенциални рискове, например неизвестни устройства и приложения в облака, остарели операционни системи или незащитени чувствителни данни.
-
Помага на анализаторите да развиват уменията си
Тъй като генеративният ИИ помага за превода на данните от киберзаплахите и анализа на естествен език, анализаторите с по-малко технически умения могат да бъдат по-продуктивни. Генеративният ИИ помага за идентифицирането на стъпките за отстраняване на грешки като позволява на новите членове на екипа бързо да научат как ефективно да реагират на кибератаки.
-
Предоставя анализ и прозрения за киберзаплахи
Опитните извършители на кибератаки обикновено се опитват да избягват откриването като преминават през различни самоличности, устройства, приложения и инфраструктура. Тъй като ИИ може бързо да обработва много данни от различни източници, той може да помогне за идентифицирането на това подозрително поведение и да приоритизира на кои киберзаплахи трябва да обърнат внимание специалистите в областта на защитата.
-
Защита с ИИ за откриване и предотвратяване на киберзаплахи
Едно от най-критичните приложения на ИИ за киберсигурност е откриването и предотвратяването на киберзаплахи. Има няколко начина, по които алгоритмите за машинно обучение и ИИ помагат за идентифицирането и предотвратяването на киберзаплахи:
- Наблюдаваните модели на обучение използват обозначени с етикети и класифицирани данни, за да помогнат за обучението на системата. Например определен известен злонамерен софтуер има уникални подписи, които го отличават от други типове кибератаки.
- В режим на контролирано обучение алгоритмите за машинно обучение идентифицират моделите в данните, които не са обозначени. По този начин ИИ открива усъвършенствани или нововъзникващи киберзаплахи, които нямат известни подписи. Те търсят дейност, която попада извън нормата, или търсят модели, които наподобяват други кибератаки.
- Чрез анализа на поведението на потребителите и обектите системите оценяват моделите на потребителски трафик, за да разберат известните поведения, така че да могат да идентифицират кога даден потребител прави нещо неочаквано или подозрително, което може да означава компрометиране на акаунта.
- Системите с ИИ също използват обработка на естествен език, за да анализират неструктурирани източници на данни, например социални мрежи, за да генерират разузнаване на заплахи.
Какво представляват инструментите за киберсигурност с подкрепа на ИИ?
ИИ е интегриран в няколко инструмента за киберсигурност, за да помогне за подобряването на ефективността им. Няколко примера са:
- Защитни стени от следващо поколение и ИИ: Традиционните защитни стени вземат решения за разрешаване или блокиране на трафика въз основа на правила, дефинирани от администратор. Защитните стени от следващо поколение надхвърлят тези възможности като използват ИИ, за да се вникват в данните за разузнаване на заплахи, за да помогнат за идентифициране на нови киберзаплахи.
- Решения за защита на крайни точки, подобрени чрез ИИ: Решенията за защита на крайна точка използват ИИ за идентифициране на уязвимости в крайна точка, например остаряла операционна система. ИИ може също така да помогне да се установи дали злонамерен софтуер е инсталиран на дадено устройство, или ако се ексфилтрират необичайни количества данни към или от крайна точка. Освен това ИИ може да помогне за спирането на кибератаки в крайните точки чрез изолиране на крайната точка от останалата част от цифровата среда.
- Системи за откриване и предотвратяване на проникване в мрежата, управлявани от ИИ: Тези инструменти наблюдават мрежовия трафик, за да разкриват неупълномощени потребители, които се опитват да проникнат в организацията чрез мрежата. ИИ помага на тези системи да обработват данните по-бързо, за да идентифицират и блокират кибератаките, преди да навредят твърде много.
- ИИ и решения за защита в облака: Тъй като толкова много организации използват множество облаци за своята инфраструктура и приложения, може да е трудно да се проследяват киберзаплахи, които се преместват между различни облаци и приложения. ИИ помага за защита в облака , анализирайки данни от всички тези източници, за да идентифицира уязвимости и потенциални кибератаки.
- Защитата на устройства с интернет на нещата (IoT) с помощта на ИИ: Подобно на крайните точки и приложенията, организациите обикновено имат много устройства с IoT, които са потенциални вектори на кибератаки. AI помага за откриването на киберзаплахи срещу всяко едно устройство с IoT, както и за откриване на модели на подозрителна дейност на множество устройства с IoT.
- XDR и SIEM: Решенията XDR и SIEM извличат информация от множество продукти за защита, регистрационни файлове и външни източници, за да помогнат на анализаторите да разбират какво се случва в тяхната среда. ИИ помага за синхронизирането на всички тези данни в ясни прозрения.
Най-добри практики за ИИ за киберсигурност
Използването на ИИ за поддръжка на операции по защитата изисква внимателно планиране и внедряване, но с правилния подход можете да представите инструменти, които правят смислени подобрения в оперативната ефективност и благополучието на вашия екип.
-
Разработване на стратегия
Има множество продукти и решения с ИИ за използване в защитата, но не всички от тях ще бъдат подходящи за вашата организация. Важно е вашите решения с ИИ да се интегрират добре помежду си и с вашата архитектура за защита, или в противния случай те може да създадат повече работа за вашия екип. Първо помислете за най-големите си предизвикателства пред защитата и след това идентифицирайте решения с ИИ, които да ви помогнат да решавате тези проблеми. Отделете време, за да разработите план за интегрирането на ИИ във вашите текущи процеси и системи.
-
Интегриране на вашите инструменти за защита
ИИ за защита е най-ефективен, когато може да анализира данни в цялата организация. Това е трудно, ако вашите инструменти работят в силози. Инвестирайте в инструменти, които работят с вашата текуща среда и работят заедно безпроблемно, например интегрирани решения XDR и SIEM. Или, ако е необходимо, отделете време и ресурси за вашия екип, за да интегрирате инструменти, така че да получите пълна видимост в цялото си дигитално имущество.
-
Управление на поверителността и качеството на данните
AI системите вземат решения и предоставят прозрения въз основа на данните, използвани за обучението и управлението им. Ако има грешки в данните или са повредени, ИИ ще предостави лоши прозрения и ще взема лоши решения. Докато планирате се уверете, че имате въведени процеси за почистване на данни и защита на поверителността.
-
Непрекъснато тестване на вашите системи с ИИ
След внедряването, ако тествате редовно системите си, това ще ви помогне да идентифицирате отклонения или проблеми с качеството, когато се генерират нови данни.
-
Използвайте ИИ етично
Много от данните, натрупани през годините, са неточни, предубедени или остарели. Освен това алгоритмите и логиката на ИИ не винаги са прозрачни, което затруднява точното разбиране на начина, по който ИИ генерира прозрения и резултати. Важно е да се гарантира, че ИИ не е крайният вземащ решения в случаите, когато може да третира определени лица нечестно поради предубедеността на данните, които използва. Научете повече за Отговорен AI.
-
Дефиниране на правила за използване на генеративен ИИ
Уверете се, че служителите и партньорите ви разбират правилата на вашата организация за използване на инструменти с генеративен ИИ. Особено важно е хората да не поставят поверителни и чувствителни данни в подкани за генеративен ИИ, тъй като има риск тези данни да станат публични.
Бъдещето на ИИ за киберсигурност
Ролята на AI за защита само ще продължи да расте. През следващите години специалистите по защитата могат да очакват, че:
- ИИ ще стане по-добър в откриването на киберзаплахи, и ще дава по-малко грешни положителни резултати.
- Екипите за операции по защитата ще автоматизират по-досадната си работа, тъй като ИИ става по-добър в отговарянето и смекчаването на по-голямо разнообразие от типове кибератаки.
- Организациите ще използват ИИ, за да ви помогнат да се справите с уязвимостите и да подобрите положението на защитата.
- Специалистите по защитата все още ще бъдат много търсени.
- Хората ще поемат по-стратегически роли, например справяне с най-сложните инциденти със защитата и проактивно търсене на заплахи.
Не само общността за защита ще стане по-ефективна с ИИ. Кибератаките инвестират и в ИИ, и вероятно ще използват тази технология, за да:
- Разбиване на големи количества пароли наведнъж.
- Създаване на сложни кампании за фишинг , които са трудни за разграничаване от оригинални имейли.
- Разработване на невероятно труден за откриване злонамерен софтуер.
Тъй като злонамерените атакуващи интегрират по-усъвършенстван ИИ в своите методи за кибератаки, ще стане още по-наложително общността за защита да инвестира в ИИ, за да изпреварва винаги тези киберзаплахи.
ИИ решения за защита
Организациите са изправени пред нарастващ брой киберзаплахи с разширяваща се повърхност на кибератаките. Поддържането на по-добра работа може да бъде непреодолимо за специалистите по киберсигурността, особено предвид недостига на таланти. Като поема повече от досадните, ниско квалифицирани задачи, ИИ обещава да направи работните места на специалистите по защитата по-удовлетворяващи и стратегически. Организациите могат да започнат да се подготвят за бъдеще с повече кибератаки, управлявани от ИИ, като включат ИИ в операциите по защитата сега. Започнете със стратегия и след това инвестирайте в инструменти, които най-вероятно ще ви помогнат да се справите с най-големите си предизвикателства пред защитата днес.
Научете повече за Microsoft Security
Microsoft Security Copilot
Дайте възможност на екипите по защитата да откриват скрити модели и да отговарят на инциденти по-бързо с помощта на генеративен ИИ.
Откриване и реакция на заплахи за самоличността (ITDR)
Получете цялостна защита за всички ваши идентичности и инфраструктурата за идентичност.
Разузнаване за заплахи на Microsoft Defender
Разкривайте и елиминирайте съвременните киберзаплахи и тяхната инфраструктура с помощта на динамично разузнаване за заплахи.
Microsoft Defender за облака
Укрепете положение на защитата си, защитете работните натоварвания и разработвайте защитени приложения.
Microsoft Defender за крайна точка
Бързо спиране на кибератаки, мащабиране на ресурсите за защита и развиване на защити на всички мрежови устройства.
Microsoft Sentinel
Преглеждайте и спирайте заплахите в цялото си предприятие чрез интелигентен анализ на защитата.
Трансформиране на защитата с помощта на ИИ
В този епизод на The Defender’s Watch научете как ИИ ще умножи силата на екипите за защита.
Прекъсване на атаки в реално време | Microsoft
В този епизод на The Defender’s Watch научете как XDR използва ИИ, за да прекъсва автоматично кибератаките.
Често задавани въпроси
-
ИИ за киберсигурност използва ИИ за анализиране и съпоставяне на данни за събития и киберзаплахи в множество източници, като ги превръща в ясни и практични прозрения, които анализаторите на защитата използват за по-нататъшно разследване и смекчаване на кибератаките. Ако дадена кибератака отговаря на определени критерии, определени от екипа за защита, ИИ може да автоматизира отговора, и да изолира и отстрани атакуващия с кибератаката или вируса.
-
ИИ се използва в много аспекти на защитата, включително защита на самоличността, защита на крайни точки, защита в облака, защита на данните, откриване на киберзаплахи и разследване и реакция при инциденти.
-
Чудесен пример за ИИ за защита е използването на алгоритми за машинно обучение, за да анализират поведението на потребителя за идентифициране на модели. Разбирайки какво е нормално, тези системи могат да откриват аномално поведение, което може да е индикатор за кибератака. В друг пример специалистите по защитата използват генеративен ИИ, за да зададе въпрос за конкретен инцидент или среда и даде отговор във вид на диаграма или на естествен език, предоставяйки допълнителен контекст и прозрения от множество източници на данни.
-
Машинното обучение е поднабор на ИИ, който открива модели в огромни количества данни. Системите за защита, които използват машинно обучение, с течение на времето могат да научат какви са типичните модели на трафик и действията на потребителите в организацията, и да идентифицират кога се случва нещо необичайно. Те могат също така да оценяват събития от няколко различни системи, които може да изглеждат безобидни самостоятелно, но заедно да представляват риск.
-
ИИ за защита предлага много ползи за фирмите, включително:
Намаляване на времето за реакция при инциденти.
Откриване на киберзаплахи по-рано и с по-голяма точност.
Автоматизиране на отговора за определени известни киберзаплахи.
Освобождаване на специалисти по защитата, за да се фокусират върху проактивни задачи.
Подобряване на положението на защитата.
Опростяване на докладването.
Помага на анализаторите да подобряват уменията си.
Следвайте Microsoft Security