ИБ-специалисты знают, как быстро злоумышленники изобретают новые стратегии атак, чтобы продавить защиту компании, ставшей их целью. Злоумышленники непредсказуемы. Например, праздники они рассматривают как отличную возможность для проникновения в систему кибербезопасности организации. В результате ИБ-службы работают в режиме 24×7, включая выходные и праздничные дни, борясь с выгоранием, усталостью от тревог и отсутствием баланса в своей жизни. Трудная работа.
Искусственный интеллект и ChatGPT в частности могут использоваться для снижения нагрузки на сотрудников отдела информационной безопасности. О том, как это сделать, мы сейчас и расскажем. Также напоминаем, что у нас есть сервис аудита ИТ-систем на уязвимости.
Технические средства обнаружения угроз
Технология обнаружения потенциальных атак основана на компьютерном мониторинге и реагировании на возможные угрозы безопасности в режиме реального времени. При этом искусственный интеллект может обучаться на основе реальных угроз, а не ложных сигналов, что позволяет более точно обнаруживать и реагировать на угрозы. Кроме того, уменьшается влияние человеческого фактора, что делает возможным более тщательный анализ больших объемов данных и поиск новых закономерностей в них.
Ускорение реакции на инциденты
Компьютерная платформа способна быстро отреагировать на инцидент безопасности и предлагать ИБ-специалистам точные и действенные рекомендации. В сложных ситуациях ИИ будет сложнее действовать правильно, но базовые сценарии ей вполне доступны. А при последовательном обучении и добавлении глубины контекста можно повысить эффективность работы алгоритмов. При последовательном обучении и углублении контекста можно увеличить эффективность работы алгоритмов, а автоматизация процедуры реагирования позволит высвободить время ИБ-специалистов.
Оптимизация работы ИБ-отдела
Обученные модели ИИ вроде ChatGPT способны снизить повышенную нагрузку с аналитиков-безопасникам, в автоматическом режиме изучая инциденты и вырабатывая рекомендации по реагированию в настоящее время и долгосрочной перспективе. Также возможно выполнение компьютерными моделями базового консультирования сотрудников по вопросам политик безопасности и алгоритмов действия в разных ситуациях. Компьютер вполне способен взять на себя процесс обучения сотрудников, повышая общий уровень компьютерной грамотности.
Работа над обеспечением видимости в реальном времени и контроля уязвимостей
Сейчас это выглядит недостижимым, но в перспективе компьютерные модели могут объединять информацию о разрозненно действующих инструментах ИБ-защиты и визуализировать эти данные. Задача непростая, но важная. Визуализация помогает выявлять узкие места в защите и быстрее обновлять её, если какие-то инструменты окажутся устаревшими/скомпрометированными. Кроме того, сотрудникам отдела информационной безопасности будет крайне полезен ИИ, обучающийся работе с данными и в режиме реального времени предоставляющий отчёты об уязвимостях. В отчётах перечислены все обнаруженные риски или уязвимости. Уязвимости могут быть ранжированы по уровням риска, рекомендациям и степени серьёзности.
Повышение конкретности информации об угрозах
Искусственный интеллект уже показал себя эффективным инструментом в прогнозировании угроз и сценариев вторжений на основе анализа мониторинга корпоративных сетей и базы знаний, создаваемой большими языковыми моделями. Некоторые ИБ-службы в крупных компаниях уже выполняют тестирование компьютерных моделей, чтобы определить, способна ли система отличать ложные срабатывания от настоящих угроз. Очень интересует многих экспертов потенциал этих языковых моделей с точки зрения анализа огромного количества данных об угрозах собираемых организациями. Анализ этих сведений, поступающих от разных организаций, позволит найти новые закономерности и способы защиты компьютерной инфраструктуры компаний.
Определение способов тонкой настройки и оптимизации конфигураций безопасности для конкретного набора угроз
Ручная настройка защитных систем и различных инструментов обнаружения угроз является одной из основных причин успешного взлома, если по незнанию или забывчивости сделать что-то неправильно. Обученная компьютерная модель способна найти проблемы и предложить улучшения. ИИ проанализирует особенности защитного контура, покажет его слабые стороны и предложит способы повышения надёжности, чтобы усилить защиту от разного рода атак. Ещё одна полезная опция — рекомендации по настройке конфигурации системы защиты, с целью минимизации ложных срабатываний, спровоцированных не самой оптимальной настройкой.
Повышение качества ранжирования, анализа и рекомендаций
Потеря времени на отработку ложных срабатываний — одна из причин, по которой многие компании ищут способ задействовать компьютерные алгоритмы, способные быстро анализировать ситуацию и делать выводы. Неэффективно тратить время людей на отработку угроз, которые на поверку оказываются ложными. Результаты исследовательской работы компании Enterprise Strategy Group показывают, что средства защиты веб-приложений и API в среднем каждый день генерируют 53 предупреждения, причём порядка 45% угроз оказываются ложными — а это значит, что сотрудники вынуждены чуть ли не половину дня заниматься ненужной работой. Искусственный интеллект способен сократить объём неэффективно используемого времени, автоматически отрабатывая по ложным срабатываниям и закрывая алерты, которые не связаны с реальными угрозами.
Более тщательный и точный анализ кода
Обученный на конкретных примерах ИИ способен справиться со сложным анализом кода. Был эксперимент, в рамках которого компьютерная модель провела сканирование целевой системы. Искусственный интеллект он выдал отчет о сканировании, дополненный сгенерированными ChatGPT выводами. Сканер успешно выявил два вредоносных процесса из 137 одновременно запущенных, не допустив ни одного ложного срабатывания. По сути, ИИ-сканер успешно выявил подозрительные инсталляции и выдвинул гипотезу о том, что код используется для отключения протоколирования или других мер безопасности в системе Windows. И это действительно было так.