Генеративный ИИ: оружие кибербезопасности, но не без адаптируемых, творческих (человеческих) мыслителей
23 августа 2023 г.Генеративный ИИ стал, что неудивительно, предметом разговоров на конференции Black Hat 2023, где различные дискуссии и основные доклады обсуждали, в какой степени ИИ может заменить или поддержать людей в операциях по обеспечению безопасности.
Кейн МакГладри, член IEEE и ветеран кибербезопасности с более чем 25-летним опытом, утверждает, что человеческий элемент — особенно люди с разными интересами, опытом и талантами — незаменим в кибербезопасности. Вкратце, будучи начинающим актером, МакГладри видит возможности не только для технических специалистов, но и для творческих людей занять некоторые из многих вакантных мест в операциях по обеспечению безопасности по всему миру.
Почему? Люди, не имеющие опыта работы в области компьютерных наук, могут увидеть совершенно другой набор картинок в облаках кибербезопасности.
МакГладри, полевой директор по информационной безопасности компании Hyperproof, занимающейся безопасностью и управлением рисками, и представитель инициативы IEEE Public Visibility, рассказал TechRepublic на конференции Black Hat о том, как кибербезопасность должна развиваться с помощью генеративного искусственного интеллекта.
Перейти к:
- Мы все еще находимся на «специальной» стадии?
Поддержит ли ИИ аналитиков SOC начального уровня или заменит их?
Благо для SOC, когда смола попадает в вентилятор
Поиск талантов в области кибербезопасности за пределами технологий
Мы все еще находимся на «специальной» стадии кибербезопасности?
Карл Гринберг: Джефф Мосс (основатель Black Hat) и Мария Маркстедтер (основатель и главный исполнительный директор Azeria Labs) говорили во время основного доклада о растущем спросе на исследователей в области безопасности, которые знают, как работать с генеративными моделями искусственного интеллекта. Как, по вашему мнению, ИИ повлияет на перспективы трудоустройства в сфере кибербезопасности, особенно на уровне 1 (начальный уровень)?
Кейн МакГладри: Мы говорим об этом последние три, четыре или пять лет, так что это не новая проблема. Мы все еще находимся в цикле ажиотажа вокруг оптимизма по поводу потенциала искусственного интеллекта.
Карл Гринберг: В том числе, как он заменит должности охранников начального уровня или многие из этих функций?
Кейн МакГладри: Компании, которые рассматривают возможность использования ИИ для сокращения общего количества сотрудников, занимающихся кибербезопасностью? Это маловероятно. И причина, по которой я говорю это, не связана с недостатками искусственного интеллекта, отдельных людей или ошибок в организационном дизайне. Это связано с экономикой.
В конечном счете, субъекты угроз — будь то спонсируемые, санкционированные или управляемые государством или преступные группы — имеют экономический стимул для разработки новых и инновационных способов проведения кибератак с целью получения прибыли. Этот инновационный цикл, наряду с разнообразием в их цепочке поставок, будет удерживать людей на должностях в сфере кибербезопасности, при условии, что они готовы быстро адаптироваться к новым условиям.
Карл Гринберг: Потому что ИИ не может идти в ногу с постоянными изменениями в тактике и технологиях?
Кейн МакГладри: Подумайте об этом так: если у вас есть полис домовладельца, автомобильный полис или пожарный полис, актуарии этих (страховых) компаний знают, сколько существует различных типов автомобильных аварий или сколько различных типов домашних пожаров. есть. У нас есть огромное количество человеческого опыта и данных, показывающих все, что мы можем сделать для достижения определенного результата, но в сфере кибербезопасности этого не происходит.
СМОТРИТЕ: При правильном использовании генеративный искусственный интеллект является благом для кибербезопасности (TechRepublic)
Многие из нас могут ошибочно полагать, что после 25 или 50 лет данных у нас есть хороший корпус, но, к сожалению, мы находимся на его вершине с точки зрения того, как компания может потерять данные или неправильно их обработать или его украли или использовали против них. Я не могу не думать, что сейчас мы все еще находимся на специальной стадии. Нам нужно будет постоянно адаптировать имеющиеся у нас инструменты вместе с людьми, чтобы противостоять угрозам и рискам, с которыми продолжают сталкиваться бизнес и общество.
Поддержит ли ИИ аналитиков SOC начального уровня или заменит их?
Карл Гринберг: Будут ли рабочие места аналитиков безопасности первого уровня вытеснены машинами? В какой степени инструменты генеративного ИИ затруднят получение опыта, если машина будет выполнять многие из этих задач за них через интерфейс на естественном языке?
Кейн МакГладри: Машины играют ключевую роль в правильном форматировании данных, как и все остальное. Я не думаю, что мы полностью избавимся от карьеры SOC (центра операций по обеспечению безопасности) первого уровня, но я думаю, что ожидания от того, чем они зарабатывают на жизнь, действительно улучшатся. Прямо сейчас, у аналитиков SOC, в первый день, у них есть контрольный список – это очень рутинно. Им приходится выслеживать каждый фальшивый флаг, каждый красный флаг, надеясь найти эту иголку в стоге сена. И это невозможно. Океан каждый день омывает их стол, и они каждый день тонут. Никто этого не хочет.
Карл Гринберг: …все потенциальные фишинговые электронные письма, телеметрия…
Кейн МакГладри: Именно, и им приходится расследовать все вручную. Я думаю, что перспектива ИИ состоит в том, чтобы иметь возможность классифицировать, получать телеметрические данные из других сигналов и понимать, на что на самом деле стоит обратить внимание человеку.
На данный момент лучшая стратегия, которую могут использовать некоторые субъекты угроз, называется «тарпиттингом», при котором, если вы знаете, что собираетесь враждебно взаимодействовать с организацией, вы будете одновременно участвовать в нескольких векторах угроз. И поэтому, если у компании недостаточно ресурсов, они будут думать, что имеют дело с фишинговой атакой, а не с атакой вредоносного ПО и фактически с чьими-то украденными данными. Поскольку это тупик, злоумышленник высасывает все ресурсы и заставляет жертву сосредоточиться на одном инциденте, вместо того, чтобы сосредоточиться на реальном инциденте.
Благо для SOC, когда смола попадает в вентилятор
Карл Гринберг: Вы говорите, что такого рода атака слишком сложна для команды SOC с точки зрения способности ее понять? Могут ли инструменты генеративного искусственного интеллекта в SOC снизить эффективность тарпиттинга?
Кейн МакГладри: С точки зрения синей команды, это худший день за всю историю, потому что они имеют дело со всеми этими потенциальными инцидентами и не могут увидеть более широкую картину происходящего. Это очень эффективная стратегия противостояния, и нет, вы не сможете выбраться из нее, если только вы не являетесь правительством, и все равно вам придется нелегко. Именно здесь нам действительно нужна возможность добиться масштаба и эффективности за счет применения искусственного интеллекта, просматривая данные обучения (на предмет потенциальных угроз) и предоставляя их людям, чтобы они могли работать с ними, прежде чем выделять ресурсы ненадлежащим образом.
Поиск талантов в области кибербезопасности за пределами технологий
Карл Гринберг: Смещая тему, я спрашиваю об этом, потому что другие уже высказали эту точку зрения: если бы вы сегодня нанимали новых талантов на должности в области кибербезопасности, вы бы рассмотрели кого-то, скажем, с опытом работы в области гуманитарных наук или компьютерных наук?
Кейн МакГладри: Боже мой, да. На данный момент я думаю, что компании, которые не ищут выхода за рамки традиционной работы — ни в сфере ИТ, ни в области кибербезопасности — оказывают себе медвежью услугу. Почему мы видим этот предполагаемый разрыв в найме до трех миллионов человек? Потому что в HR слишком высока планка. Один из моих любимых аналитиков угроз, с которыми я когда-либо работал на протяжении многих лет, был концертирующим скрипачом. Совершенно другой подход к случаям вредоносного ПО.
Карл Гринберг: Вы хотите сказать, что традиционные кандидаты в области информатики или технологий недостаточно креативны?
Кейн МакГладри: Дело в том, что у многих из нас очень похожий жизненный опыт. Следовательно, при наличии умных субъектов угроз национальные государства, которые делают это в больших масштабах, фактически осознают, что у этого социально-экономического населения есть эти «слепые зоны», и будут их эксплуатировать. Слишком многие из нас думают почти одинаково, что позволяет очень легко ладить с коллегами, но также позволяет как субъекту угрозы очень легко манипулировать этими защитниками.
Отказ от ответственности: Barracuda Networks оплатила мне авиабилеты и проживание на Black Hat 2023.
Оригинал