Директор по информационной безопасности SentinelOne определяет «самую насущную проблему» для киберпрофессионалов

Генеративный ИИ был в центре внимания на конференции ISC2 Security Congress в Лас-Вегасе в октябре 2024 года. Насколько генеративный ИИ изменит возможности злоумышленников и защитников?

Алекс Стамос, директор по информационной безопасности в SentinelOne и профессор компьютерных наук в Стэнфордском университете, встретился с TechRepublic, чтобы обсудить самые актуальные проблемы кибербезопасности на сегодняшний день и то, как ИИ может как помогать, так и мешать злоумышленникам. Кроме того, узнайте, как в полной мере воспользоваться Месяцем осведомленности о кибербезопасности.

Это интервью было отредактировано для большей краткости и ясности.

Когда малый и средний бизнес сталкивается с крупными злоумышленниками

TechRepublic: Что сегодня вызывает наибольшую озабоченность у специалистов по кибербезопасности?

Стамос: Я бы сказал, что подавляющее большинство организаций просто не оснащены для борьбы с любым уровнем противника, с которым они сталкиваются. Если вы малый или средний бизнес, вы сталкиваетесь с финансово мотивированным противником, который научился нападать на крупные предприятия. Они практикуются каждый день, взламывая компании. Они довольно преуспели в этом.

Итак, к тому времени, как они проникают в вашу архитектурную фирму с 200 сотрудниками или в вашу небольшую региональную больницу, они уже очень хороши. А в сфере безопасности мы не проделали хорошую работу по созданию продуктов безопасности, которые могут быть развернуты небольшими региональными больницами.

Несоответствие наборов навыков, которые вы можете нанять и создать, противникам, с которыми вы сталкиваетесь, встречается почти на каждом уровне крупного предприятия. Вы можете создать хорошие команды, но сделать это в масштабе, необходимом для защиты от действительно высококлассных противников российской СВР [Службы внешней разведки] или китайских НОАК [Народно-освободительной армии] и МГБ [Министерства государственной безопасности] — тех противников, с которыми вы сталкиваетесь, если имеете дело с геополитической угрозой — чрезвычайно сложно. И поэтому на каждом уровне у вас есть некое несоответствие.

Защитники имеют преимущество в плане использования генеративного ИИ

TechRepublic: Изменит ли генеративный ИИ правила игры с точки зрения расширения прав и возможностей противников?

Стамос: Прямо сейчас ИИ был чистым позитивом для защитников, потому что защитники потратили деньги на проведение НИОКР. Одной из основополагающих идей SentinelOne было использование того, что мы привыкли называть ИИ, машинного обучения, для обнаружения вместо обнаружения на основе сигнатур. Мы используем генеративный ИИ для создания эффективности в SOC. Поэтому вам не нужно быть высококвалифицированным в использовании нашей консоли, чтобы иметь возможность задавать простые вопросы, такие как «покажите мне все компьютеры, которые загрузили новую часть программного обеспечения за последние 24 часа». Вместо того, чтобы придумывать сложный запрос, вы можете задать его на английском языке. Поэтому защитники первыми видят преимущества.

Атакующие начинают его использовать и пока не получили всех преимуществ, что, я думаю, самое страшное. Пока что большинство выходных данных GenAI предназначены для чтения людьми. Фишка GenAI в том, что для больших языковых моделей или моделей диффузии для изображений выходное пространство вещей, которые языковая модель может выдать, которые вы увидите как легитимный английский текст, фактически бесконечно. Выходное пространство количества эксплойтов, которые будет выполнять ЦП, крайне ограничено.

СМОТРЕТЬ: ИТ-менеджеры в Великобритании ищут специалистов с навыками работы с ИИ.

Одна из вещей, с которой GenAI борется, — это структурированные выходы. При этом это одна из самых интенсивных областей исследований: структурированные входы и выходы ИИ. Существуют всевозможные законные, хорошие цели, для которых можно было бы использовать ИИ, если бы были установлены лучшие ограничения на выходы и если бы ИИ был лучше в структурированных входах и выходах.

Сейчас GenAI на самом деле используется только для фишинговых приманок или для упрощения переговоров на языках, на которых не говорят злоумышленники, занимающиеся вымогательством... Я думаю, что настоящая проблема в том, когда мы начнем заставлять ИИ действительно хорошо писать код эксплойта. Когда вы можете добавить новый баг в систему ИИ, и она напишет код эксплойта, который будет работать на полностью исправленной Windows 11 24H2.

Навыки, необходимые для написания этого кода прямо сейчас, принадлежат только паре сотен людей. Если бы вы могли закодировать это в модель GenAI, и это могли бы использовать 10 000 или 50 000 инженеров по наступательной безопасности, это был бы огромный шаг вперед в наступательных возможностях.

TechRepublic: Какие риски могут возникнуть при использовании генеративного ИИ в кибербезопасности? Как можно смягчить или минимизировать эти риски?

Стамос: Где вам нужно быть осторожным, так это в гиперавтоматизации и оркестровке. Использование [ИИ] в ситуациях, когда он все еще контролируется людьми, не так уж и рискованно. Если я использую ИИ для создания запроса для себя, а затем просматриваю вывод этого запроса, то это не так уж и важно. Если я прошу ИИ «найти все машины, которые соответствуют этим критериям, а затем изолировать их», то это становится страшнее. Потому что вы можете создать ситуации, в которых он может совершать эти ошибки. А если у него есть возможность затем автономно принимать решения, то это может стать очень рискованным. Но я думаю, что люди хорошо это знают. Аналитики SOC-систем тоже совершают ошибки.

Как сделать осведомленность о кибербезопасности увлекательной

TechRepublic: Учитывая, что октябрь является месяцем осведомленности о кибербезопасности, есть ли у вас какие-либо предложения по организации мероприятий по повышению осведомленности, которые действительно помогут изменить поведение сотрудников?

Стамос: Месяц осведомленности о кибербезопасности — это один из немногих случаев, когда вам следует заниматься фишинговыми упражнениями. Люди, которые занимаются фишингом весь год, выстраивают негативные отношения между командой безопасности и людьми. Я думаю, что мне нравится делать во время Месяца осведомленности о кибербезопасности веселье, геймифицировать его и вручать призы в конце.

Я думаю, что мы на самом деле проделали очень хорошую работу в Facebook; мы назвали это Hacktober. У нас были призы, игры и футболки. У нас было две таблицы лидеров, техническая и нетехническая. Можно было ожидать, что технические ребята пойдут искать ошибки. Все могли участвовать в нетехнической части.

Если вы ловили наши фишинговые письма, если вы проходили наши тесты и т. п., вы могли принять участие и получить призы.

Итак, один: немного геймификации и превращения этого в забавное занятие, потому что я думаю, что многое из этого в конечном итоге воспринимается как наказание и сложность. И это просто не лучшее место для служб безопасности.

Во-вторых, я думаю, что службам безопасности просто нужно быть честными с людьми относительно той угрозы, с которой мы сталкиваемся, и того, что мы все в этой ситуации вместе.

Отказ от ответственности: ISC2 оплатила мне перелет, проживание и питание на мероприятии ISC2 Security Congres, которое проходило с 13 по 16 октября в Лас-Вегасе.