AI sztuczna inteligencja
Sztuczna inteligencja (Artificial intelligence - AI) i uczenie maszynowe (Machine Learning - ML) były integralnymi elementami cyberbezpieczeństwa na długo przed erą generatywnej AI. Technologie te zoptymalizowały zadania takie jak wykrywanie złośliwego oprogramowania, zapobieganie phishingowi i automatyzacja centrów operacji bezpieczeństwa (Security Operations Centers - SOC). Ze względu na szum wokół narzędzi AI i wprowadzenie wersji dla przedsiębiorstw, wykorzystanie tych rozwiązań prawdopodobnie znacznie wzrośnie w najbliższej przyszłości.
Przyjrzyjmy się korzyściom i ograniczeniom praktycznych przykładów wykorzystujących generatywną sztuczną inteligencję w zarządzaniu incydentami.
Sztuczna inteligencja w zarządzaniu incydentami. Lepsze wykrywanie zagrożeń
Krytycznym zadaniem dla obrońców cyberbezpieczeństwa jest identyfikacja wskaźnika zgodności (Indicators of Compromise - IoC). Technologie takie jak generatywna sztuczna inteligencja obiecują przyspieszyć to zadanie poprzez naśladowanie ludzkiej analizy tekstu w przyspieszonym tempie. Wyspecjalizowany skrypt może pomóc w tym przedsięwzięciu, wyodrębniając dzienniki zdarzeń bezpieczeństwa i uruchomione procesy z systemów docelowych. Poprzez zapytania do API OpenAI, metadane są oceniane pod kątem potencjalnie zagrożonych danych.
Istnieją jednak pewne ograniczenia, które utrudniają pełną automatyzację wymagającą udziału człowieka i starannych rozważań dotyczących użytkowania. Kiedy pojawiło się początkowe podekscytowanie generatywną sztuczną inteligencją, ważne było, aby ocenić jej skuteczność w wykrywaniu IoC. Wyniki ujawniły, że spośród 3577 zdarzeń bezpieczeństwa 74 zostały sklasyfikowane jako złośliwe, a 17 oznaczono jako fałszywie pozytywne. Metoda ta nie jest jednak całkowicie niezawodna. Rodzi obawy o koszty i ma konsekwencje prawne związane z przesyłaniem poufnych danych za pomocą OpenAI.
Sztuczna inteligencja w zarządzaniu incydentami. Łatwiejsza inżynieria wsteczna (reverse engineering – RE)
Inżynieria wsteczna odgrywa kluczową rolę w pomaganiu informatykom w zrozumieniu charakteru zagrożenia i odrębnych cech złośliwego oprogramowania. W tym kontekście technologie podobne do GPT okazują się cenne, zwięźle opisując funkcje kodu i pomagając w identyfikacji próbek złośliwego kodu i ich możliwości. Wsparcie to może przyspieszyć działania związane z analizą zagrożeń
Chociaż wykorzystanie generatywnej sztucznej inteligencji do inżynierii wstecznej zapewnia ciekawe informacje, nie jest pozbawione wad. Wyzwania związane z obsługą skomplikowanego kodu i kwestie prawne podkreślają potrzebę połączenia jej wykorzystania z ludzką wiedzą specjalistyczną w celu precyzyjnej i bezpiecznej analizy. Z pewnością dane wyjściowe powinny zostać poddane walidacji w celu zapewnienia niezawodności. Ponadto, podobnie jak w przypadku każdego innego scenariusza, należy zachować ostrożność podczas udostępniania potencjalnie wrażliwego kodu chatbotowi, ponieważ może to skutkować obawami o prywatność.
Sztuczna inteligencja w zarządzaniu incydentami. Prostsze instrukcje i raporty
Wykraczając poza zastosowania w wykrywaniu zagrożeń i inżynierii wstecznej, generatywna sztuczna inteligencja może również wspierać zadania, które są często wykonywane przez różnych specjalistów ds. bezpieczeństwa, od analityków poczynając. Zadaniem tym jest kompozycja tekstu. Co więcej, biorąc pod uwagę, że cyberbezpieczeństwo jest prawdziwie globalną sprawą, większość komunikacji odbywa się w językach innych niż ojczysty. W tym kontekście generatywna sztuczna inteligencja może niewątpliwie pomóc w przekształceniu wstępnych szkiców w dobrze ustrukturyzowany, wyraźny i spójny język biznesowy.
Liderzy ds. bezpieczeństwa mogą zlecić generatywnej sztucznej inteligencji sprawdzenie ostatecznego tekstu, usuwając wszystkie poufne szczegóły. Dobrze przygotowany monit powinien zawierać następujące kluczowe punkty:
- Poinstruuj narzędzie, kogo powinno naśladować, na przykład każąc mu naśladować amerykańskiego użytkownika języka angielskiego, który jest kierownikiem wysokiego szczebla ds. cyberbezpieczeństwa.
- Określenie zadania, takiego jak korekta raportu. Liderzy ds. bezpieczeństwa mogą również poprosić model o zwiększenie przejrzystości, spójności i płynności, używając aktywnych czasowników i języka technicznego.
- Aby zapobiec nieoczekiwanym treściom, liderzy ds. bezpieczeństwa mogą polecić narzędziu, aby nie wprowadzało faktów nieuwzględnionych w oryginalnym tekście.
Pamiętaj, aby sprawdzić wynikowy tekst. Główną wadą jest to, że teksty korekty generatywnej sztucznej inteligencji wymagają dokładnego uważnego sprawdzenia, ponieważ narzędzie ma tendencję do pomijania faktów z oryginalnego tekstu, dodawania nowych, zmieniania znaczenia, a nawet popełniania błędów rzeczowych.
Sztuczna inteligencja w zarządzaniu incydentami. Szybsze opracowywanie skryptów analizy zagrożeń
W cyberbezpieczeństwie do wyszukiwania i identyfikowania zagrożeń wykorzystywane są różnego rodzaju skrypty. Niektóre powszechnie używane języki skryptowe do celów cyberbezpieczeństwa obejmują Python, Bash, PowerShell i Perl. Jednak zmaganie się ze skomplikowaną składnią języka i wyzwaniami związanymi z debugowaniem może być zarówno obciążające, jak i czasochłonne. W tym miejscu pomaga generatywna sztuczna inteligencja, umożliwiając szybkie tworzenie skryptów dostosowanych do zadania, jednocześnie zmniejszając potrzebę głębokiej wiedzy i doświadczenia w określonych obszarach, takich jak narzędzia Linux i składnia wyrażeń regularnych. Dodatkowo, jeśli istnieje potrzeba, aby skrypt działał na starszych systemach, aby zapewnić kompatybilność. Aby w pełni wykorzystać możliwości generatywnej sztucznej inteligencji, instrukcje muszą być jasne. Należy określić zadanie, takie jak wyszukiwanie skryptów Bash i analizowanie zadań cron, wraz z określeniem danych wyjściowych i szczegółów kontekstowych.
Podczas gdy generatywna sztuczna inteligencja oferuje wygodę podczas pisania skryptów, oprócz standardowych obaw o prywatność, ograniczenia obejmują potencjalny nadzór nad złożonymi scenariuszami. Dane wyjściowe generowane przez generatywną sztuczną inteligencję są ograniczone pod względem liczby słów, które mogą wygenerować. Dlatego analityk może być zmuszony do ręcznego łączenia różnych segmentów kodu otrzymanego od generatywnej sztucznej inteligencji, co może być trudnym zadaniem. Po wygenerowaniu skryptu należy go dokładnie sprawdzić i przeprowadzić test w celu zapewnienia dokładności. W razie potrzeby dopracuj wynik.
Sztuczna inteligencja w zarządzaniu incydentami. Szybsze tworzenie skryptów naprawczych
Znaczna część cyklu życia incydentu składa się z fazy naprawczej. Na tym etapie specjaliści ds. cyberbezpieczeństwa mogą na przykład usuwać złośliwe pliki lub blokować ich wykonywanie, izolować hosty w sieci, wyłączać konta użytkowników i wykonywać inne zadania w celu uzdrowienia dotkniętego systemu. Potrzebne są do tego skrypty, a generatywna sztuczna inteligencja może w tym pomóc, podobnie jak w przypadku skryptów do fazy analizy. Narzędzie AI przyspiesza proces tworzenia skryptów, przyspieszając usuwanie złośliwego oprogramowania, które ma wpływ na biznes. Dodatkowo ułatwia ten proces, dostarczając przykłady i funkcje kodu, poprawiając przepływ pracy dla młodszych analityków.
Ważne, aby do tego typu skryptów należy podchodzić z ostrożnością. Potrzeba dzielenia się IoC z generatywną sztuczną inteligencją budzi obawy o prywatność. Co więcej, jeśli skrypt wyjściowy okaże się błędny - a prawdopodobieństwo tego jest dość spore - istnieje ryzyko usunięcia istotnych komponentów systemu i poważnego zakłócenia jego działania. Przed wdrożeniem tych skryptów należy dokładnie zweryfikować dane wyjściowe z narzędzia AI i upewnić się, że istnieje kopia zapasowa danych.
Sztuczna inteligencja w zarządzaniu incydentami.
Ważne jest, aby pamiętać, że chociaż narzędzia AI mogą obsługiwać podstawowe zadania z pewną kreatywnością, nie są jeszcze gotowe, aby całkowicie je przejąć, szczególnie w złożonych dziedzinach, takich jak cyberbezpieczeństwo. Prawdziwe zadania związane z cyberbezpieczeństwem wymagają precyzji, szybkości i niezawodności, które obecnie mogą zapewnić tylko doświadczeni eksperci ludzcy, stąd popyt na usługi, w których eksperci ludzcy odkrywają i neutralizują złośliwe oprogramowanie, które wymknęło się istniejącym rozwiązaniom bezpieczeństwa firmy.
