Sissejuhatus
Generatiivne tehisintellekt – tehisintellekti süsteemid, mis on võimelised looma uut sisu või ennustusi – on küberturvalisuses kujunemas murranguliseks jõuks. Sellised tööriistad nagu OpenAI GPT-4 on näidanud võimet analüüsida keerulisi andmeid ja genereerida inimlaadset teksti, võimaldades uusi lähenemisviise küberohtude vastu kaitsmiseks. Küberturvalisuse spetsialistid ja äriotsuste langetajad erinevates tööstusharudes uurivad, kuidas generatiivne tehisintellekt saab tugevdada kaitset arenevate rünnakute vastu. Alates rahandusest ja tervishoiust kuni jaemüügi ja valitsuseni seisavad iga sektori organisatsioonid silmitsi keerukate andmepüügikatsete, pahavara ja muude ohtudega, millele generatiivne tehisintellekt võib aidata vastu astuda. Selles valges raamatus uurime, kuidas generatiivset tehisintellekti saab küberturvalisuses kasutada , tuues esile reaalse maailma rakendused, tulevikuvõimalused ja olulised kaalutlused kasutuselevõtuks.
Generatiivne tehisintellekt erineb traditsioonilisest analüütilisest tehisintellektist selle poolest, et see mitte ainult ei tuvasta mustreid, vaid loob sisu – olgu selleks siis rünnakute simuleerimine kaitsemeetmete treenimiseks või keerukate turvaandmete loomulikus keeles selgituste loomine. See kahekordne võimekus muudab selle kahe teraga mõõgaks: see pakub võimsaid uusi kaitsevahendeid, kuid seda saavad ära kasutada ka ohutegelased. Järgmistes osades uuritakse laia valikut generatiivse tehisintellekti kasutusjuhtumeid küberturvalisuses, alates andmepüügi tuvastamise automatiseerimisest kuni intsidentidele reageerimise täiustamiseni. Samuti arutame nende tehisintellekti uuenduste lubatavaid eeliseid koos riskidega (nagu tehisintellekti „hallutsinatsioonid” või vaenulik väärkasutus), mida organisatsioonid peavad juhtima. Lõpuks pakume praktilisi õppetunde, mis aitavad ettevõtetel generatiivset tehisintellekti oma küberturvalisuse strateegiatesse hinnata ja vastutustundlikult integreerida.
Generatiivne tehisintellekt küberturvalisuses: ülevaade
Küberturvalisuses viitab generatiivne tehisintellekt tehisintellekti mudelitele – sageli suurtele keelemudelitele või muudele närvivõrkudele –, mis suudavad genereerida teadmisi, soovitusi, koodi või isegi sünteetilisi andmeid turvaülesannete täitmiseks. Erinevalt puhtalt ennustavatest mudelitest suudab generatiivne tehisintellekt simuleerida stsenaariume ja toota oma treeningandmete põhjal inimloetavaid väljundeid (nt aruandeid, hoiatusi või isegi pahatahtliku koodi näidiseid). Seda võimekust kasutatakse ennustamiseks, tuvastamiseks ja neile reageerimiseks dünaamilisemal viisil kui varem ( Mis on generatiivne tehisintellekt küberturvalisuses? – Palo Alto Networks ). Näiteks suudavad generatiivsed mudelid analüüsida ulatuslikke logisid või ohuteabe andmehoidlaid ning koostada kokkuvõtte või soovitatud tegevuse, toimides peaaegu nagu tehisintellekti „assistent“ turvameeskondadele.
Generatiivse tehisintellekti varased rakendused küberkaitses on osutunud paljulubavaks. 2023. aastal tutvustas Microsoft Security Copiloti , GPT-4-põhist abimeest turvaanalüütikutele, mis aitab tuvastada rikkumisi ja filtreerida läbi 65 triljoni signaali, mida Microsoft iga päev töötleb ( Microsoft Security Copilot on uus GPT-4 tehisintellekti abimees küberturvalisuse jaoks | The Verge ). Analüütikud saavad seda süsteemi käivitada loomulikus keeles (nt „Kokkuvõte kõigist turvaintsidentidest viimase 24 tunni jooksul” ) ja kopilot loob kasuliku narratiivse kokkuvõtte. Samamoodi kasutab Google'i ohtude luure tehisintellekt generatiivset mudelit nimega Gemini , et võimaldada vestlusotsingut Google'i ulatuslikus ohuteabe andmebaasis, analüüsides kiiresti kahtlast koodi ja tehes kokkuvõtteid pahavara otsijate abistamiseks ( Kuidas saab generatiivset tehisintellekti kasutada küberturvalisuses? 10 reaalse maailma näidet ). Need näited illustreerivad potentsiaali: generatiivne tehisintellekt suudab seedida keerulisi ja ulatuslikke küberturvalisuse andmeid ning esitada teadmisi ligipääsetaval kujul, kiirendades otsuste tegemist.
Samal ajal suudab generatiivne tehisintellekt luua väga realistlikku võltsitud sisu, mis on õnnistus simulatsiooniks ja koolituseks (ja kahjuks ka ründajatele, kes sepitsevad sotsiaalset manipuleerimist). Konkreetsete kasutusjuhtude juurde liikudes näeme, et generatiivse tehisintellekti võime nii sünteesida kui ka analüüsida on selle paljude küberturvalisuse rakenduste aluseks. Allpool süveneme peamistesse kasutusjuhtudesse, mis hõlmavad kõike alates andmepüügi ennetamisest kuni turvalise tarkvaraarenduseni, tuues näiteid selle kohta, kuidas igaüht neist erinevates tööstusharudes rakendatakse.
Generatiivse tehisintellekti peamised rakendused küberturvalisuses
Joonis: Generatiivse tehisintellekti peamised kasutusjuhud küberturvalisuses hõlmavad tehisintellekti kaaspiloote turvameeskondadele, koodi haavatavuste analüüsi, adaptiivset ohu tuvastamist, nullpäeva rünnaku simulatsiooni, täiustatud biomeetrilist turvalisust ja andmepüügi tuvastamist ( 6 kasutusjuhtu generatiivse tehisintellekti jaoks küberturvalisuses [+ näited] ).
Andmepüügi tuvastamine ja ennetamine
Andmepüük on endiselt üks levinumaid küberohte, mis meelitab kasutajaid pahatahtlikele linkidele klõpsama või volitusi avaldama. Generatiivset tehisintellekti kasutatakse nii andmepüügikatsete tuvastamiseks kui ka kasutajate koolituse täiustamiseks, et vältida edukaid rünnakuid. Kaitsepoolelt saavad tehisintellekti mudelid analüüsida e-kirjade sisu ja saatjate käitumist, et märgata peeneid andmepüügi märke, mida reeglipõhised filtrid võivad kahe silma vahele jätta. Õppides suurtest andmekogumitest, mis sisaldavad õigustatud ja petturlikke e-kirju, saab generatiivne mudel märkida tooni, sõnastuse või konteksti anomaaliaid, mis viitavad pettusele – isegi kui grammatika ja õigekiri seda enam ei reeda. Tegelikult märgivad Palo Alto Networksi teadlased, et generatiivne tehisintellekt suudab tuvastada „peeneid märke andmepüügikirjadest, mis muidu võivad jääda avastamata“, aidates organisatsioonidel petturitest sammu võrra ees olla ( Mis on generatiivne tehisintellekt küberturvalisuses? - Palo Alto Networks ).
Turvameeskonnad kasutavad koolituse ja analüüsi eesmärgil ka generatiivset tehisintellekti andmepüügirünnakute simuleerimiseks . Näiteks tutvustas Ironscales GPT-l põhinevat andmepüügi simulatsioonitööriista, mis genereerib automaatselt organisatsiooni töötajatele kohandatud võltsitud andmepüügikirju ( Kuidas saab generatiivset tehisintellekti kasutada küberturvalisuses? 10 reaalse maailma näidet ). Need tehisintellekti loodud meilid peegeldavad uusimaid ründajate taktikaid, andes töötajatele realistlikku praktikat andmepüügisisu märkamiseks. Selline personaalne koolitus on ülioluline, kuna ründajad ise võtavad tehisintellekti kasutusele veenvamate peibutiste loomiseks. Märkimisväärne on see, et kuigi generatiivne tehisintellekt suudab luua väga lihvitud andmepüügisõnumeid (murtud inglise keele kergesti märgatava päevad on möödas), on kaitsjad leidnud, et tehisintellekt pole ületamatu. 2024. aastal viisid IBM-i turbeteadlased läbi eksperimendi, milles võrreldi inimeste kirjutatud andmepüügikirju tehisintellekti loodud meilidega, ja „üllatavalt oli tehisintellekti loodud e-kirju siiski lihtne tuvastada, hoolimata nende korrektsest grammatikast“ ( 6 generatiivse tehisintellekti kasutusjuhtu küberturvalisuses [+ näited] ). See viitab sellele, et inimese intuitsioon koos tehisintellekti abil toimuva tuvastamisega suudab siiski ära tunda peeneid vastuolusid või metaandmete signaale tehisintellekti kirjutatud pettustes.
Generatiivne tehisintellekt aitab andmepüügivastast kaitset ka muul viisil. Mudelite abil saab genereerida automaatseid vastuseid või filtreid , mis testivad kahtlaseid e-kirju. Näiteks võib tehisintellekti süsteem vastata e-kirjale teatud päringutega, et kontrollida saatja õiguspärasust, või kasutada õigusteaduse moodulit (LLM), et analüüsida e-kirja linke ja manuseid liivakastis ning seejärel kokku võtta kõik pahatahtlikud kavatsused. NVIDIA turbeplatvorm Morpheus demonstreerib tehisintellekti võimsust selles valdkonnas – see kasutab genereerivaid keelelise töötlemise mudeleid e-kirjade kiireks analüüsimiseks ja klassifitseerimiseks ning leiti, et see parandas odavõngimise teel saadetud e-kirjade tuvastamist 21% võrreldes traditsiooniliste turbetööriistadega ( 6 kasutusjuhtu generatiivse tehisintellekti jaoks küberturvalisuses [+ näited] ). Morpheus profiilib isegi kasutajate suhtlusmustreid, et tuvastada ebatavalist käitumist (näiteks kasutaja saadab ootamatult e-kirju paljudele välistele aadressidele), mis võib viidata ohustatud kontole, mis saadab andmepüügikirju.
Praktikas hakkavad ettevõtted erinevates tööstusharudes usaldama tehisintellekti e-posti ja veebiliikluse filtreerimisel sotsiaalse manipuleerimise rünnakute suhtes. Näiteks finantsettevõtted kasutavad generatiivset tehisintellekti suhtluse skannimiseks, et tuvastada isikuandmete võltsimiskatseid, mis võivad viia pettuseni, samas kui tervishoiuteenuse osutajad kasutavad tehisintellekti patsientide andmete kaitsmiseks andmepüügiga seotud rikkumiste eest. Realistlike andmepüügistsenaariumide genereerimise ja pahatahtlike sõnumite tunnuste tuvastamise abil lisab generatiivne tehisintellekt andmepüügi ennetamise strateegiatele võimsa kihi. Kokkuvõte: tehisintellekt aitab andmepüügirünnakuid kiiremini ja täpsemalt tuvastada ja kahjutuks teha, isegi kui ründajad kasutavad sama tehnoloogiat oma mängu täiustamiseks.
Pahavara tuvastamine ja ohtude analüüs
Kaasaegne pahavara areneb pidevalt – ründajad genereerivad uusi variante või varjavad koodi, et viirusetõrje signatuuridest mööda hiilida. Generatiivne tehisintellekt pakub uudseid tehnikaid nii pahavara tuvastamiseks kui ka selle käitumise mõistmiseks. Üks lähenemisviis on tehisintellekti kasutamine pahavara „kurjade kaksikute” genereerimiseks : turvauurijad saavad teadaoleva pahavara näidise sisestada generatiivsesse mudelisse, et luua selle pahavara palju muteerunud variante. Nii tehes ennetavad nad tõhusalt ründaja võimalikke muudatusi. Neid tehisintellekti loodud variante saab seejärel kasutada viirusetõrje- ja sissetungimise tuvastamise süsteemide treenimiseks, nii et isegi pahavara modifitseeritud versioonid tuntakse ära ( 6 generatiivse tehisintellekti kasutusjuhtu küberturvalisuses [+ näited] ). See ennetav strateegia aitab murda tsükli, kus häkkerid muudavad oma pahavara veidi, et avastamist vältida, ja kaitsjad peavad iga kord uusi signatuure kirjutama. Nagu ühes valdkonna taskuhäälingus märgiti, kasutavad turvaeksperdid nüüd generatiivset tehisintellekti „võrguliikluse simuleerimiseks ja pahatahtlike koormuste genereerimiseks, mis jäljendavad keerukaid rünnakuid”, testides oma kaitset terve ohtude perekonna, mitte ühe eksemplari suhtes. See adaptiivne ohutuvastus tähendab, et turvatööriistad muutuvad vastupidavamaks polümorfse pahavara suhtes, mis muidu läbi lipsaks.
Lisaks tuvastamisele abistab generatiivne tehisintellekt pahavara analüüsis ja pöördprojekteerimises , mis on traditsiooniliselt ohuanalüütikute jaoks töömahukad ülesanded. Suurtele keelemudelitele saab anda ülesandeks uurida kahtlast koodi või skripte ja selgitada lihtsas keeles, mida kood peaks tegema. Reaalse maailma näide on VirusTotal Code Insight , Google'i VirusTotali funktsioon, mis kasutab generatiivset tehisintellekti mudelit (Google'i Sec-PaLM), et luua potentsiaalselt pahatahtliku koodi loomulikus keeles kokkuvõtteid ( Kuidas saab generatiivset tehisintellekti kasutada küberturvalisuses? 10 reaalse maailma näidet ). See on sisuliselt „turvakodeerimisele pühendatud ChatGPT tüüp“, mis toimib tehisintellekti pahavara analüütikuna, kes töötab ööpäevaringselt, et aidata inimanalüütikutel ohte mõista ( 6 generatiivse tehisintellekti kasutusjuhtu küberturvalisuses [+ näited] ). Tundmatu skripti või binaarkoodi kallal süvenemise asemel saab turvameeskonna liige tehisintellektilt kohese selgituse – näiteks: „See skript proovib XYZ-serverist faili alla laadida ja seejärel süsteemi seadeid muuta, mis viitab pahavara käitumisele.“ See kiirendab märkimisväärselt intsidentidele reageerimist, kuna analüütikud saavad uut pahavara kiiremini sorteerida ja mõista.
Generatiivset tehisintellekti kasutatakse ka pahavara tuvastamiseks massiivsetes andmekogumites . Traditsioonilised viirusetõrjemootorid skannivad faile teadaolevate signatuuride suhtes, kuid generatiivne mudel suudab hinnata faili omadusi ja isegi ennustada, kas see on pahatahtlik, tuginedes õpitud mustritele. Analüüsides miljardite failide (nii pahatahtlike kui ka healoomuliste) atribuute, võib tehisintellekt tabada pahatahtlikke kavatsusi ka siis, kui otsest signatuuri pole olemas. Näiteks võib generatiivne mudel märgistada käivitatava faili kahtlaseks, kuna selle käitumisprofiil "näeb välja" nagu väike variatsioon lunavarast, mida see treeningu ajal nägi, isegi kui binaarfail on uus. See käitumispõhine tuvastamine aitab võidelda uudse või nullpäeva pahavara vastu. Google'i ohuluure tehisintellekt (osa Chronicle'ist/Mandiant) kasutab väidetavalt oma generatiivset mudelit potentsiaalselt pahatahtliku koodi analüüsimiseks ja "turvaspetsialistide tõhusamaks ja tulemuslikumaks abistamiseks pahavara ja muud tüüpi ohtude vastu võitlemisel". ( Kuidas saab generatiivset tehisintellekti kasutada küberturvalisuses? 10 reaalse maailma näidet ).
Teisest küljest peame tunnistama, et ründajad saavad ka siin kasutada generatiivset tehisintellekti – et luua automaatselt kohanduvat pahavara. Tegelikult hoiatavad turbeeksperdid, et generatiivne tehisintellekt aitab küberkurjategijatel luua raskemini tuvastatavat pahavara ( Mis on generatiivne tehisintellekt küberturvalisuses? - Palo Alto Networks ). Tehisintellekti mudelile saab anda käsu pahavara korduvalt muuta (muuta selle failistruktuuri, krüpteerimismeetodeid jne), kuni see pääseb kõigist teadaolevatest viirusetõrjekontrollidest. See vastaspoolte kasutamine on üha suurem probleem (mõnikord nimetatakse seda ka „tehisintellektil põhinevaks pahavaraks“ või polümorfseks pahavaraks teenusena). Arutame neid riske hiljem, kuid see rõhutab, et generatiivne tehisintellekt on tööriist selles kassi ja hiire mängus, mida kasutavad nii kaitsjad kui ka ründajad.
Üldiselt parandab generatiivne tehisintellekt pahavara kaitset, võimaldades turvameeskondadel mõelda nagu ründajal – genereerides uusi ohte ja lahendusi ettevõttesiseselt. Olenemata sellest, kas tegemist on sünteetilise pahavara tootmisega tuvastusmäärade parandamiseks või tehisintellekti kasutamisega võrkudes leiduva päris pahavara selgitamiseks ja ohjeldamiseks, kehtivad need tehnikad kõigis tööstusharudes. Pank võib kasutada tehisintellektil põhinevat pahavara analüüsi, et kiiresti analüüsida arvutustabelis olevat kahtlast makrot, samas kui tootmisettevõte võib tehisintellektile tugineda tööstuslike juhtimissüsteemide sihtimiseks mõeldud pahavara tuvastamiseks. Täiendades traditsioonilist pahavara analüüsi generatiivse tehisintellektiga, saavad organisatsioonid reageerida pahavarakampaaniatele kiiremini ja ennetavamalt kui varem.
Ohuanalüüs ja automatiseeritud analüüs
Iga päev pommitatakse organisatsioone ohuandmetega – alates äsja avastatud kompromiteerimisnäitajate (IOC) voogudest kuni analüütikute aruanneteni tekkivate häkkeritaktikate kohta. Turvameeskondade väljakutseks on selle infotulva läbisõelumine ja tegutsemiskõlblike teadmiste ammutamine. Generatiivne tehisintellekt osutub hindamatuks ohuandmete analüüsi ja tarbimise automatiseerimisel . Selle asemel, et käsitsi lugeda kümneid aruandeid või andmebaasikirjeid, saavad analüütikud tehisintellekti abil ohuandmeid masina kiirusel kokku võtta ja kontekstualiseerida.
Üks konkreetne näide on Google'i ohtude luure komplekt, mis integreerib generatiivse tehisintellekti (Gemini mudel) Google'i ohtude andmete kogumitega Mandiant'ist ja VirusTotal'ist. See tehisintellekt pakub „vestlusotsingut Google'i ulatuslikus ohtude teabehoidlas“ , võimaldades kasutajatel esitada loomulikke küsimusi ohtude kohta ja saada selgeid vastuseid ( Kuidas saab generatiivset tehisintellekti kasutada küberturvalisuses? 10 reaalse maailma näidet ). Näiteks võib analüütik küsida: „Kas oleme näinud oma valdkonda sihikule võtmas ohtude rühmaga X seotud pahavara?“ ja tehisintellekt hangib asjakohase teabe, märkides näiteks : „Jah, ohurühm X oli eelmisel kuul seotud andmepüügikampaaniaga, mis kasutas pahavara Y“ , koos selle pahavara käitumise kokkuvõttega. See vähendab oluliselt aega, mis kulub teadmiste kogumiseks, mis muidu nõuaks mitme tööriista päringute tegemist või pikkade aruannete lugemist.
Generatiivne tehisintellekt suudab ka ohtude trende korreleerida ja kokku võtta . See võib läbi kammida tuhandeid turvablogipostitusi, rikkumisuudiseid ja tumeveebi vestlusi ning seejärel genereerida CISO briifingu jaoks kokkuvõtte „selle nädala peamistest küberohtudest“. Traditsiooniliselt nõudis selline analüüsi ja aruandluse tase märkimisväärset inimtööd; nüüd saab hästi häälestatud mudel selle koostada sekunditega, kusjuures inimesed peavad vaid väljundit täpsustama. Ettevõtted nagu ZeroFox on välja töötanud FoxGPT , generatiivse tehisintellekti tööriista, mis on spetsiaalselt loodud „kiirendamiseks luureandmete analüüsi ja kokkuvõtmiseks suurtes andmekogumites“, sealhulgas pahatahtlikus sisus ja andmepüügiandmetes ( Kuidas saab generatiivset tehisintellekti kasutada küberturvalisuses? 10 reaalse maailma näidet ). Automatiseerides andmete lugemise ja ristviidete loomise raske töö, võimaldab tehisintellekt ohtude luuremeeskondadel keskenduda otsuste tegemisele ja reageerimisele.
Teine kasutusjuhtum on vestluslik ohtude otsimine . Kujutage ette, et turvaanalüütik suhtleb tehisintellekti abilisega: „Näita mulle viimase 48 tunni jooksul toimunud andmete lekke märke“ või „Millised on peamised uued haavatavused, mida ründajad sel nädalal ära kasutavad?“ Tehisintellekt suudab päringut tõlgendada, otsida sisemistest logidest või välistest luureallikatest ning vastata selge vastuse või isegi asjakohaste intsidentide loendiga. See pole kaugelt ulatuv – tänapäevased turvateabe ja sündmuste haldamise (SIEM) süsteemid hakkavad lisama loomuliku keele päringuid. Näiteks IBM-i QRadar turvakomplekt lisab 2024. aastal generatiivseid tehisintellekti funktsioone, mis võimaldavad analüütikutel intsidendi kokkuvõtliku rünnakutee kohta“ „tõlgendada ja kokku võtta väga asjakohast ohuteavet“ ( Kuidas saab generatiivset tehisintellekti kasutada küberturvalisuses? 10 reaalse maailma näidet ). Põhimõtteliselt muudab generatiivne tehisintellekt tehniliste andmete mäed nõudmisel vestluse suurusteks teadmisteks.
Sellel on suured tagajärjed erinevates tööstusharudes. Tervishoiuteenuse osutaja saab tehisintellekti abil olla kursis uusimate haiglaid sihtivate lunavararühmadega, ilma et peaks analüütikut täiskohaga uurimistööle pühendama. Jaemüügiettevõtte SOC saab kaupluse IT-töötajaid juhendades kiiresti kokku võtta uued POS-i pahavara taktikad. Ja valitsuses, kus tuleb sünteesida erinevate asutuste ohuandmeid, saab tehisintellekt luua ühtsed aruanded, mis toovad esile peamised hoiatused. Ohuteabe kogumise ja tõlgendamise automatiseerimise aitab genereeriv tehisintellekt organisatsioonidel kiiremini reageerida tekkivatele ohtudele ja vähendab müras peituvate kriitiliste hoiatuste märkamise ohtu.
Turvaoperatsioonide keskuse (SOC) optimeerimine
Turvaoperatsioonide keskused on kurikuulsad häirete väsimuse ja tohutu andmemahu poolest. Tüüpiline SOC-analüütik võib iga päev läbi kahluda tuhandete häirete ja sündmustega, uurides potentsiaalseid intsidente. Generatiivne tehisintellekt toimib SOC-des jõukordajana, automatiseerides rutiinset tööd, pakkudes intelligentseid kokkuvõtteid ja isegi orkestreerides mõningaid vastuseid. Eesmärk on optimeerida SOC-i töövooge nii, et inimanalüütikud saaksid keskenduda kõige kriitilisematele probleemidele, samal ajal kui tehisintellekti kaaspiloot tegeleb ülejäänuga.
Üks peamine rakendus on generatiivse tehisintellekti kasutamine „analüütiku kaaspiloodina“ . Microsofti turvakopilot, mida varem mainiti, on selle näide: see „on loodud turvaanalüütiku töö abistamiseks, mitte asendamiseks“, aidates intsidentide uurimisel ja aruandlusel ( Microsoft Security Copilot on uus GPT-4 tehisintellekti abiline küberturvalisuse jaoks | The Verge ). Praktikas tähendab see, et analüütik saab sisestada toorandmeid – tulemüüri logisid, sündmuste ajajoont või intsidendi kirjeldust – ja paluda tehisintellektil neid analüüsida või kokku võtta. Kaaspiloot võib väljastada narratiivi, näiteks: „Näib, et kell 2:35 õnnestus IP-aadressilt X serverisse Y kahtlane sisselogimine, millele järgnesid ebatavalised andmeedastused, mis viitavad selle serveri võimalikule rikkumisele.“ Selline kohene kontekstualiseerimine on hindamatu väärtusega, kui aeg on oluline.
Tehisintellekti kaaspiloodid aitavad vähendada ka 1. taseme triaažikoormust. Valdkonna andmete kohaselt võib turvameeskond kulutada 15 tundi nädalas ainuüksi umbes 22 000 hoiatuse ja valepositiivse tulemuse läbitöötamisele ( 6 generatiivse tehisintellekti kasutusjuhtu küberturvalisuses [+ näited] ). Generatiivse tehisintellekti abil saab paljusid neist hoiatustest automaatselt triaažida – tehisintellekt saab kõrvale jätta need, mis on selgelt ohutud (koos põhjendusega), ja esile tõsta need, mis vajavad tõeliselt tähelepanu, mõnikord isegi soovitades prioriteeti. Tegelikult tähendab generatiivse tehisintellekti tugevus konteksti mõistmisel seda, et see suudab ristkorreleerida hoiatusi, mis võivad eraldi tunduda kahjutud, kuid koos viitavad mitmeastmelisele rünnakule. See vähendab rünnaku märkamata jätmise võimalust „hoiatusväsimuse” tõttu.
SOC-analüütikud kasutavad ohtude otsimise ja uurimise kiirendamiseks ka loomulikku keelt koos tehisintellektiga. Näiteks Purple AI „esitada keerulisi ohtude otsimise küsimusi lihtsas inglise keeles ja saada kiireid ning täpseid vastuseid“ ( Kuidas saab generatiivset tehisintellekti kasutada küberturvalisuses? 10 reaalse maailma näidet ). Analüütik võib tippida küsimuse: „Kas viimase kuu jooksul on domeeniga badguy123[.]com suhelnud mingeid lõpp-punkte?“ ja Purple AI otsib vastuse saamiseks logidest läbi. See säästab analüütiku andmebaasipäringute või skriptide kirjutamisest – tehisintellekt teeb seda kapoti all. See tähendab ka seda, et nooremanalüütikud saavad hakkama ülesannetega, mis varem nõudsid päringkeeltes osavat kogenud inseneri, täiendades meeskonna oskusi tehisintellekti abi abil . Analüütikud teatavad, et generatiivse tehisintellekti juhendamine „suurendab nende oskusi ja pädevust“ , kuna nooremandmetöötajad saavad nüüd tehisintellektilt nõudmisel kodeerimistuge või analüüsinõuandeid, vähendades sõltuvust pidevast abi küsimisest vanemmeeskonna liikmetelt ( 6 generatiivse tehisintellekti kasutusjuhtu küberturvalisuses [+ näited] ).
Teine SOC optimeerimine on automatiseeritud intsidentide kokkuvõtete koostamine ja dokumenteerimine . Pärast intsidendi käsitlemist peab keegi kirjutama aruande – ülesanne, mida paljud peavad tüütuks. Generatiivne tehisintellekt saab võtta kohtuekspertiisi andmed (süsteemilogid, pahavara analüüs, toimingute ajajoon) ja genereerida intsidendiaruande esimese mustandi. IBM ehitab selle funktsiooni QRadarisse, et „ühe klõpsuga“ saaks koostada intsidendi kokkuvõtte erinevatele sidusrühmadele (juhid, IT-meeskonnad jne) ( Kuidas saab generatiivset tehisintellekti kasutada küberturvalisuses? 10 reaalse maailma näidet ). See mitte ainult ei säästa aega, vaid tagab ka selle, et aruandes ei jää midagi kahe silma vahele, kuna tehisintellekt saab kõik olulised üksikasjad järjepidevalt lisada. Samamoodi saab tehisintellekt vastavuse ja auditeerimise jaoks täita vorme või tõendustabeleid intsidendiandmete põhjal.
Reaalsed tulemused on veenvad. Swimlane'i tehisintellektil põhineva SOAR-i (turvalisuse orkestreerimine, automatiseerimine ja reageerimine) varajased kasutuselevõtjad teatavad tohutust tootlikkuse kasvust – näiteks Global Data Systemsi puhul haldas nende SecOps meeskond palju suuremat juhtumite koormust; üks direktor ütles, et „see, mida ma täna teen 7 analüütikuga, nõuaks ilmselt 20 töötajat ilma“ tehisintellektil põhineva automatiseerimiseta ( Kuidas saab generatiivset tehisintellekti kasutada küberturvalisuses ). Teisisõnu, tehisintellekt SOC-is võib võimsust mitmekordistada . Erinevates tööstusharudes, olgu selleks siis pilveturbehoiatustega tegelev tehnoloogiaettevõte või OT-süsteeme jälgiv tootmisüksus, saavad SOC-meeskonnad generatiivsete tehisintellektil põhinevate assistentide kasutuselevõtuga kiiremat tuvastamist ja reageerimist, vähem vastamata intsidente ja tõhusamat tegevust. Asi on nutikamas töötamises – masinate lubamises käsitleda korduvaid ja andmemahukaid ülesandeid, et inimesed saaksid oma intuitsiooni ja teadmisi rakendada seal, kus see on kõige olulisem.
Haavatavuse haldamine ja ohtude simulatsioon
Haavatavuste – tarkvara või süsteemide nõrkuste, mida ründajad saavad ära kasutada – tuvastamine ja haldamine on küberturvalisuse põhifunktsioon. Generatiivne tehisintellekt parandab haavatavuste haldamist, kiirendades avastamist, aidates kaasa paranduste prioriseerimisele ja isegi simuleerides nende haavatavuste rünnakuid valmisoleku parandamiseks. Sisuliselt aitab tehisintellekt organisatsioonidel oma soomusrüüs olevaid auke kiiremini leida ja parandada ning ennetavalt enne, kui seda teevad päris ründajad.
Üks oluline rakendus on generatiivse tehisintellekti kasutamine koodi automaatseks ülevaatamiseks ja haavatavuste avastamiseks . Suured koodibaasid (eriti pärandsüsteemid) sisaldavad sageli turvaauke, mis jäävad märkamata. Generatiivse tehisintellekti mudeleid saab treenida turvaliste kodeerimistavade ja levinud veamustrite osas ning seejärel rakendada neid lähtekoodi või kompileeritud binaarfailide peal, et leida potentsiaalseid haavatavusi. Näiteks NVIDIA teadlased töötasid välja generatiivse tehisintellekti torujuhtme, mis suudab analüüsida pärandtarkvara konteinereid ja tuvastada haavatavusi „suure täpsusega – kuni 4 korda kiiremini kui inimeksperdid”. ( 6 generatiivse tehisintellekti kasutusjuhtu küberturvalisuses [+ näited] ). Tehisintellekt õppis sisuliselt tundma, milline ebaturvaline kood välja näeb, ja suutis skannida aastakümneid vana tarkvara, et märgistada riskantseid funktsioone ja teeke, kiirendades oluliselt käsitsi koodi auditeerimise tavaliselt aeglast protsessi. Selline tööriist võib olla mängumuutja sellistele tööstusharudele nagu rahandus või valitsus, mis tuginevad suurtele, vanematele koodibaasidele – tehisintellekt aitab turvalisust kaasajastada, otsides välja probleeme, mille leidmiseks töötajatel võib kuluda kuid või aastaid (kui üldse).
Generatiivne tehisintellekt abistab ka haavatavuste haldamise töövooge , töödeldes haavatavuste skaneerimise tulemusi ja seades neile prioriteedi. Tööriistad, nagu Tenable'i ExposureAI , kasutavad generatiivset tehisintellekti, et võimaldada analüütikutel haavatavuste andmeid lihtsas keeles pärida ja koheselt vastuseid saada ( Kuidas saab generatiivset tehisintellekti kasutada küberturvalisuses? 10 reaalse maailma näidet ). ExposureAI suudab „kokku võtta kogu rünnakutee narratiivis“ , selgitades, kuidas ründaja saaks selle teiste nõrkustega siduda, et süsteemi ohtu seada. See soovitab isegi parandusmeetmeid ja vastab riski kohta käivatele järelküsimustele. See tähendab, et kui teatatakse uuest kriitilisest CVE-st (Common Vulnerabilities and Exposures – levinud haavatavused ja riskid), saab analüütik tehisintellektilt küsida: „Kas see CVE mõjutab mõnda meie serverit ja milline on halvim stsenaarium, kui me haavatavusi ei paranda?“ ning saada organisatsiooni enda skaneerimisandmete põhjal selge hinnangu. Haavatavuste kontekstualiseerimise abil (nt see on avatud internetile ja väärtuslikul serveril, seega on see esmatähtis) aitab generatiivne tehisintellekt meeskondadel piiratud ressurssidega nutikalt haavatavusi parandada.
Lisaks teadaolevate haavatavuste leidmisele ja haldamisele aitab generatiivne tehisintellekt kaasa penetratsioonitestimisele ja rünnakute simuleerimisele – sisuliselt avastades tundmatuid haavatavusi või testides turvakontrolle. Generatiivseid vastasvõrke (GAN), mis on generatiivse tehisintellekti tüüp, on kasutatud sünteetiliste andmete loomiseks, mis jäljendavad reaalset võrguliiklust või kasutajakäitumist, mis võib sisaldada varjatud rünnakumustreid. 2023. aasta uuring soovitas GAN-ide kasutamist realistliku nullpäeva rünnakuliikluse genereerimiseks sissetungimise tuvastamise süsteemide treenimiseks ( 6 generatiivse tehisintellekti kasutusjuhtu küberturvalisuses [+ näited] ). Varustades sissetungimise tuvastamise süsteeme tehisintellekti loodud rünnakustsenaariumidega (mis ei riski tegeliku pahavara kasutamisega tootmisvõrkudes), saavad organisatsioonid oma kaitsemehhanisme treenida uute ohtude äratundmiseks, ilma et peaksid ootama, kuni need neid reaalsuses tabavad. Samamoodi saab tehisintellekt simuleerida ründajat süsteemi uurimas – näiteks proovides automaatselt erinevaid ärakasutamistehnikaid turvalises keskkonnas, et näha, kas mõni neist õnnestub. USA Kaitsealaste Täiustatud Uurimisprojektide Agentuur (DARPA) näeb siin potentsiaali: selle 2023. aasta tehisintellekti küberväljakutse kasutab võistluse osana „automaatselt leida ja parandada avatud lähtekoodiga tarkvara haavatavusi“ DARPA eesmärk on arendada tehisintellekti ja autonoomiarakendusi, mida Warfighters Can Trust > USA kaitseministeerium > Kaitseministeeriumi uudised ). See algatus rõhutab, et tehisintellekt ei aita mitte ainult teadaolevaid auke lappida, vaid ka aktiivselt uusi avastada ja parandusi pakkuda, mis on traditsiooniliselt piiratud oskuslike (ja kallite) turvauurijatega.
Generatiivne tehisintellekt suudab kaitseks luua isegi intelligentseid meepotte ja digitaalseid kaksikuid . Startupid arendavad tehisintellektil põhinevaid peibutussüsteeme, mis veenvalt jäljendavad päris servereid või seadmeid. Nagu üks tegevjuht selgitas, suudab generatiivne tehisintellekt „kloonida digitaalseid süsteeme, et jäljendada päris süsteeme ja meelitada häkkereid“ ( 6 kasutusjuhtu generatiivse tehisintellekti jaoks küberturvalisuses [+ näited] ). Need tehisintellekti loodud meepotid käituvad nagu päris keskkond (näiteks võlts IoT-seade, mis saadab tavalist telemeetriat), kuid eksisteerivad ainult ründajate ligimeelitamiseks. Kui ründaja sihib peibutist, on tehisintellekt sisuliselt petnud neid oma meetodeid paljastama, mida kaitsjad saavad seejärel uurida ja kasutada päris süsteemide tugevdamiseks. See generatiivsel modelleerimisel põhinev kontseptsioon pakub tulevikku suunatud viisi ründajate vastu olukorra pööramiseks , kasutades tehisintellekti täiustatud pettust.
Erinevates tööstusharudes tähendab kiirem ja nutikam haavatavuste haldamine vähem rikkumisi. Näiteks tervishoiu IT-s võib tehisintellekt kiiresti tuvastada meditsiiniseadmes haavatava aegunud teeki ja käivitada püsivara paranduse enne, kui ründaja seda ära kasutab. Panganduses võib tehisintellekt simuleerida siserünnakut uuele rakendusele, et tagada kliendiandmete turvalisus igas olukorras. Seega toimib generatiivne tehisintellekt nii mikroskoobi kui ka stressitestrina organisatsioonide turvaseisundi hindamiseks: see valgustab varjatud vigu ja avaldab süsteemidele loomingulisi survet, et tagada vastupidavus.
Turvaline koodi genereerimine ja tarkvaraarendus
Generatiivse tehisintellekti anded ei piirdu ainult rünnakute tuvastamisega – need laienevad ka turvalisemate süsteemide loomisele algusest peale . Tarkvaraarenduses aitavad tehisintellekti koodigeneraatorid (nagu GitHub Copilot, OpenAI Codex jne) arendajatel koodi kiiremini kirjutada, pakkudes välja koodilõike või isegi terveid funktsioone. Küberturvalisuse nurgakivi seisneb selles, et tagada nende tehisintellekti soovitatud kooditükkide turvalisus ja kasutada tehisintellekti kodeerimistavade parandamiseks.
Ühelt poolt saab generatiivne tehisintellekt toimida kodeerimisassistendina, mis hõlmab parimaid turvalisuse tavasid . Arendajad saavad käivitada tehisintellekti tööriista „Genereeri Pythonis parooli lähtestamise funktsioon“ ja ideaalis saada tagasi koodi, mis on mitte ainult funktsionaalne, vaid järgib ka turvajuhiseid (nt nõuetekohane sisendi valideerimine, logimine, veatöötlus ilma teabe lekkimiseta jne). Selline assistent, kes on koolitatud ulatuslike turvaliste koodinäidete abil, aitab vähendada inimlikke vigu, mis viivad haavatavusteni. Näiteks kui arendaja unustab kasutaja sisendi puhastada (avades ukse SQL-süstimisele või sarnastele probleemidele), võib tehisintellekt selle kas vaikimisi lisada või neid hoiatada. Mõnda tehisintellekti kodeerimistööriista täiustatakse nüüd turvalisusele keskendunud andmetega, et just seda eesmärki täita – sisuliselt ühendab tehisintellekt programmeerimise turvateadvusega .
Siiski on ka teine külg: generatiivne tehisintellekt võib sama kergesti haavatavusi tekitada, kui seda korralikult ei hallata. Nagu Sophos turvaekspert Ben Verschaeren märkis, on generatiivse tehisintellekti kasutamine kodeerimiseks „sobiv lühikese, kontrollitava koodi jaoks, kuid riskantne, kui kontrollimata kood integreeritakse“ tootmissüsteemidesse. Risk seisneb selles, et tehisintellekt võib toota loogiliselt korrektset koodi, mis on ebaturvaline viisil, mida mitte-ekspert ei pruugi märgata. Lisaks võivad pahatahtlikud osalejad avalikke tehisintellekti mudeleid tahtlikult mõjutada, külvates neid haavatavate koodimustritega (andmete mürgitamise vorm), nii et tehisintellekt soovitab ebaturvalist koodi. Enamik arendajaid ei ole turvaeksperdid , seega kui tehisintellekt pakub välja mugava lahenduse, võivad nad seda pimesi kasutada, mõistmata, et sellel on viga ( 6 kasutusjuhtu generatiivse tehisintellekti jaoks küberturvalisuses [+ näited] ). See mure on reaalne – tegelikult on nüüd olemas OWASP-i 10 parima nimekiri LLM-ide (suurte keelemudelite) jaoks, mis kirjeldab selliseid levinud riske tehisintellekti kasutamisel kodeerimiseks.
Nende probleemide lahendamiseks soovitavad eksperdid „võidelda generatiivse tehisintellektiga generatiivse tehisintellektiga“ . Praktikas tähendab see tehisintellekti kasutamist koodi ülevaatamiseks ja testimiseks . Tehisintellekt suudab uusi koodimuudatusi skannida palju kiiremini kui inimene-koodi ülevaataja ja märgistada potentsiaalseid haavatavusi või loogikaprobleeme. Juba näeme tekkimas tööriistu, mis integreeruvad tarkvaraarenduse elutsüklisse: kood kirjutatakse (võib-olla tehisintellekti abiga), seejärel vaatab turvalise koodi põhimõtetel treenitud generatiivne mudel selle üle ja genereerib aruande kõikidest probleemidest (näiteks aegunud funktsioonide kasutamine, puuduvad autentimiskontrollid jne). NVIDIA uuring, mida varem mainiti, mis saavutas koodis 4 korda kiirema haavatavuste tuvastamise, on näide tehisintellekti rakendamisest turvaliseks koodianalüüsiks ( 6 kasutusjuhtu generatiivse tehisintellekti jaoks küberturvalisuses [+ näited] ).
Lisaks saab genereeriv tehisintellekt aidata luua turvalisi konfiguratsioone ja skripte . Näiteks kui ettevõte peab juurutama turvalise pilveinfrastruktuuri, võib insener paluda tehisintellektil genereerida konfiguratsiooniskriptid (infrastruktuur koodina) koos sisseehitatud turvakontrollidega (nagu nõuetekohane võrgu segmenteerimine, vähimate privileegidega IAM-rollid). Tehisintellekt, olles treenitud tuhandete selliste konfiguratsioonide jaoks, saab luua baasjoone, mida insener seejärel peenhäälestab. See kiirendab süsteemide turvalist seadistamist ja vähendab valekonfiguratsiooni vigu – pilveturbeintsidentide levinud allikat.
Mõned organisatsioonid kasutavad genereerivat tehisintellekti ka turvaliste kodeerimismustrite teadmusbaasi haldamiseks. Kui arendaja pole kindel, kuidas teatud funktsiooni turvaliselt rakendada, saab ta päringu esitada sisemisele tehisintellektile, mis on õppinud ettevõtte varasematest projektidest ja turvajuhistest. Tehisintellekt võib tagastada soovitatava lähenemisviisi või isegi koodilõigu, mis on kooskõlas nii funktsionaalsete nõuete kui ka ettevõtte turvastandarditega. Seda lähenemisviisi on kasutanud sellised tööriistad nagu Secureframe'i küsimustiku automatiseerimine , mis ammutab vastuseid ettevõtte poliitikatest ja varasematest lahendustest, et tagada järjepidevad ja täpsed vastused (sisuliselt turvalise dokumentatsiooni genereerimine) ( Kuidas saab genereerivat tehisintellekti kasutada küberturvalisuses? 10 reaalse maailma näidet ). See kontseptsioon tähendab kodeerimist: tehisintellekt, mis „mäletab“, kuidas olete midagi varem turvaliselt rakendanud, ja juhendab teid seda uuesti samamoodi tegema.
Kokkuvõttes mõjutab genereeriv tehisintellekt tarkvaraarendust, muutes turvalise kodeerimise abi kättesaadavamaks . Tööstusharud, mis arendavad palju kohandatud tarkvara – tehnoloogia, rahandus, kaitse jne – saavad kasu tehisintellekti kaaspilootidest, kes mitte ainult ei kiirenda kodeerimist, vaid toimivad ka pidevalt valvsa turvalisuse ülevaatajana. Nõuetekohase haldamise korral saavad need tehisintellekti tööriistad vähendada uute haavatavuste teket ja aidata arendusmeeskondadel järgida parimaid tavasid, isegi kui meeskonnal pole igal sammul kaasatud turvaeksperti. Tulemuseks on tarkvara, mis on rünnakute suhtes esimesest päevast alates vastupidavam.
Juhtumitele reageerimise tugi
Küberintsidendi toimumise korral – olgu selleks pahavarapuhang, andmete rikkumine või rünnakust tingitud süsteemikatkestus – on aeg kriitilise tähtsusega. Generatiivset tehisintellekti kasutatakse üha enam intsidentidele reageerimise meeskondade toetamiseks intsidentide kiiremal ohjeldamisel ja kõrvaldamisel, kasutades selleks rohkem teavet. Idee seisneb selles, et tehisintellekt saab intsidendi ajal võtta enda kanda osa uurimis- ja dokumenteerimiskoormusest ning isegi soovitada või automatiseerida mõningaid reageerimismeetmeid.
Üks tehisintellekti võtmerollidest andmekaitses on reaalajas intsidentide analüüs ja kokkuvõtete tegemine . Intsidendi keskel võivad reageerijad vajada vastuseid küsimustele nagu „Kuidas ründaja sisse sai?“ , „Milliseid süsteeme on mõjutatud?“ ja „Millised andmed võivad olla ohustatud?“ . Generatiivne tehisintellekt saab analüüsida mõjutatud süsteemide logisid, teateid ja kohtuekspertiisi andmeid ning anda kiiresti teavet. Näiteks võimaldab Microsoft Security Copilot intsidendireageerijal sisestada mitmesuguseid tõendeid (faile, URL-e, sündmuste logisid) ja küsida ajajoont või kokkuvõtet ( Microsoft Security Copilot on uus GPT-4 tehisintellekti abiline küberturvalisuse jaoks | The Verge ). Tehisintellekt võib vastata järgmiselt: „Rikke sai tõenäoliselt alguse andmepüügimeilist, mis saadeti kasutajale JohnDoe kell 10:53 GMT ja mis sisaldas pahavara X. Pärast käivitamist lõi pahavara tagaukse, mida kasutati kaks päeva hiljem, et liikuda edasi finantsserverisse, kus see andmeid kogus.“ Selle sidusa pildi omamine minutite, mitte tundide jooksul võimaldab meeskonnal teha teadlikke otsuseid (näiteks milliseid süsteeme isoleerida) palju kiiremini.
Generatiivne tehisintellekt saab soovitada ka ohjeldamis- ja parandusmeetmeid . Näiteks kui lõpp-punkt on lunavaraga nakatunud, võib tehisintellekti tööriist genereerida skripti või juhiste komplekti selle masina isoleerimiseks, teatud kontode keelamiseks ja teadaolevate pahatahtlike IP-aadresside blokeerimiseks tulemüüril – sisuliselt käsiraamatu täitmine. Palo Alto Networks märgib, et generatiivne tehisintellekt on võimeline „genereerima intsidendi olemuse põhjal sobivaid toiminguid või skripte“ , automatiseerides reageerimise esialgseid samme ( Mis on generatiivne tehisintellekt küberturvalisuses? - Palo Alto Networks ). Stsenaariumi korral, kus turvameeskond on ülekoormatud (näiteks laialt levinud rünnak sadades seadmetes), võib tehisintellekt mõnda neist toimingutest isegi otse eelnevalt heakskiidetud tingimustel täita, toimides nagu väsimatult töötav noorem reageerija. Näiteks võib tehisintellekti agent automaatselt lähtestada volikirjad, mida ta peab ohustatuks, või karantiini panna hostid, mis näitavad intsidendi profiilile vastavat pahatahtlikku tegevust.
Intsidendile reageerimise ajal on suhtlus ülioluline – nii meeskonnasisene kui ka sidusrühmadega. Generatiivne tehisintellekt saab aidata, koostades kohe intsidendi värskendusaruandeid või lühiülevaateid . Selle asemel, et insener peataks tõrkeotsingu ja kirjutaks e-kirja värskenduse, võiksid nad tehisintellektilt küsida: „Tehke juhtkonna teavitamiseks kokkuvõte selle intsidendi seni toimunust.“ Pärast intsidendiandmete allaneelamist saab tehisintellekt koostada lühikese kokkuvõtte: „Kella 15.00 seisuga on ründajad pääsenud juurde 2 kasutajakontole ja 5 serverile. Mõjutatud andmete hulka kuuluvad kliendikirjed andmebaasis X. Ohutusmeetmed: ohustatud kontode VPN-juurdepääs on tühistatud ja serverid isoleeritud. Järgmised sammud: võimalike püsivusmehhanismide skannimine.“ Seejärel saab reageerija seda kiiresti kontrollida või kohandada ja välja saata, tagades, et sidusrühmad on kursis täpse ja ajakohase teabega.
Pärast tolmu settimist tuleb tavaliselt koostada üksikasjalik intsidendi aruanne ja koguda saadud õppetunnid. See on veel üks valdkond, kus tehisintellekti tugi särab. See saab üle vaadata kõik intsidendiandmed ja genereerida intsidendijärgse aruande, mis hõlmab algpõhjust, kronoloogiat, mõju ja soovitusi. Näiteks IBM integreerib generatiivset tehisintellekti, et luua nupuvajutusega „lihtsaid kokkuvõtteid turvajuhtumitest ja -intsidentidest, mida saab sidusrühmadega jagada“ Kuidas saab generatiivset tehisintellekti kasutada küberturvalisuses? 10 reaalse maailma näidet ). Järeltegevuse aruandluse sujuvamaks muutmise abil saavad organisatsioonid kiiremini parandusi rakendada ja neil on ka parem dokumentatsioon vastavuse tagamiseks.
Üks uuenduslik tulevikku suunatud kasutusala on tehisintellektil põhinevad intsidentide simulatsioonid . Sarnaselt tulekahjuõppuse läbiviimisele kasutavad mõned ettevõtted generatiivset tehisintellekti, et läbi töötada „mis siis, kui“ intsidentide stsenaariume. Tehisintellekt võib simuleerida, kuidas lunavara võib võrgu paigutuse korral levida või kuidas siseringi isik saaks andmeid välja filtreerida, ja seejärel hinnata praeguste reageerimisplaanide tõhusust. See aitab meeskondadel enne reaalse intsidendi toimumist ette valmistada ja täiustada tegevuskavasid. See on nagu pidevalt arenev intsidentidele reageerimise nõustaja, kes pidevalt testib teie valmisolekut.
Sellistes kõrge riskiga valdkondades nagu finants- või tervishoid, kus seisakud või andmete kadu intsidentidest on eriti kulukad, on need tehisintellektil põhinevad andmekaitsevõimalused väga atraktiivsed. Küberintsidendiga haigla ei saa endale lubada pikki süsteemikatkestusi – tehisintellekt, mis aitab kiiresti intsidendi ohjeldamisel, võib sõna otseses mõttes elusid päästa. Samamoodi saab finantsasutus tehisintellekti abil kell 3 öösel kahtlustatava pettuse esmast sorteerimist hallata, nii et selleks ajaks, kui valvepersonal on võrgus, on suur osa eeltööst (mõjutatud kontode väljalogimine, tehingute blokeerimine jne) juba tehtud. Täiendades intsidentidele reageerimise meeskondi generatiivse tehisintellektiga , saavad organisatsioonid oluliselt lühendada reageerimisaega ja parandada oma käsitlemise põhjalikkust, leevendades lõppkokkuvõttes küberintsidentide tekitatud kahju.
Käitumisanalüüs ja anomaaliate tuvastamine
Paljusid küberrünnakuid saab tabada, kui märgatakse kõrvalekaldumist „tavapärasest” käitumisest – olgu selleks siis kasutajakonto, mis laadib alla ebatavaliselt palju andmeid, või võrguseade, mis äkki suhtleb tundmatu hostiga. Generatiivne tehisintellekt pakub täiustatud tehnikaid käitumisanalüüsiks ja anomaaliate tuvastamiseks , õppides tundma kasutajate ja süsteemide tavapäraseid mustreid ning seejärel andes märku, kui midagi tundub ebatavalist.
Traditsiooniline anomaaliate tuvastamine kasutab sageli statistilisi lävendeid või lihtsat masinõpet konkreetsete mõõdikute (protsessori kasutuse hüpped, sisselogimine ebatavalistel aegadel jne) põhjal. Generatiivne tehisintellekt saab seda veelgi kaugemale viia, luues käitumisprofiilidest nüansirikkamaid profiile. Näiteks saab tehisintellekti mudel aja jooksul koguda töötaja sisselogimisi, failidele juurdepääsu mustreid ja e-posti harjumusi ning luua mitmemõõtmelise arusaama selle kasutaja „normaalsusest“. Kui see konto teeb hiljem midagi drastiliselt normist erinevat (näiteks logib sisse uuest riigist ja avab südaööl hulga personalifailide), tuvastab tehisintellekt kõrvalekalde mitte ainult ühes mõõdikus, vaid kogu käitumismustri osas, mis ei sobi kasutaja profiiliga. Tehnilises mõttes saavad generatiivsed mudelid (nagu autoenkoodrid või järjestusmudelid) modelleerida, milline „normaalsus“ välja näeb, ja seejärel genereerida eeldatava käitumisvahemiku. Kui reaalsus jääb sellest vahemikust väljapoole, märgistatakse see anomaaliana ( Mis on generatiivne tehisintellekt küberturvalisuses? - Palo Alto Networks ).
Üks praktiline rakendus on võrguliikluse jälgimine . 2024. aasta uuringu kohaselt nimetas 54% USA organisatsioonidest võrguliikluse jälgimist tehisintellekti peamiseks kasutusjuhtumiks küberturvalisuses ( Põhja-Ameerika: parimad tehisintellekti kasutusjuhud küberturvalisuses kogu maailmas 2024 ). Generatiivne tehisintellekt suudab õppida ettevõtte võrgu tavapäraseid suhtlusmustreid – millised serverid tavaliselt omavahel suhtlevad, kui palju andmeid liigub tööajal võrreldes öösiti jne. Kui ründaja hakkab serverist andmeid välja filtreerima, isegi aeglaselt, et avastamist vältida, võib tehisintellektil põhinev süsteem märgata, et „Server A ei saada kunagi kell 2 öösel 500 MB andmeid välisele IP-aadressile“ ja anda märku. Kuna tehisintellekt ei kasuta ainult staatilisi reegleid, vaid arenevat võrgukäitumise mudelit, suudab see tabada peeneid anomaaliaid, mida staatilised reeglid (nt „hoiatus, kui andmed > X MB“) võivad märkamata jätta või ekslikult märgistada. See adaptiivne olemus muudab tehisintellektil põhineva anomaaliate tuvastamise võimsaks sellistes keskkondades nagu pangatehinguvõrgud, pilveinfrastruktuur või IoT-seadmete pargid, kus normaalse ja ebanormaalse olukorra fikseeritud reeglite määratlemine on äärmiselt keeruline.
Generatiivne tehisintellekt aitab ka kasutajakäitumise analüüsi (UBA) , mis on võtmetähtsusega siseringi ohtude või ohustatud kontode tuvastamisel. Iga kasutaja või üksuse baasjoone genereerides suudab tehisintellekt tuvastada selliseid asju nagu volituste väärkasutamine. Näiteks kui Bob raamatupidamisest hakkab ootamatult kliendiandmebaasi päringuid tegema (mida ta pole kunagi varem teinud), märgib Bobi käitumise tehisintellekti mudel selle ebatavaliseks. See ei pruugi olla pahavara – see võib olla juhtum, kus Bobi volitused varastatakse ja ründaja neid kasutab või Bob uurib asju, mida ta ei peaks tegema. Mõlemal juhul saab turvameeskond hoiatuse uurimiseks. Sellised tehisintellektil põhinevad UBA-süsteemid eksisteerivad erinevates turvatoodetes ja generatiivsed modelleerimistehnikad suurendavad nende täpsust ja vähendavad valehäireid, arvestades konteksti (võib-olla Bob on eriprojektil jne, mida tehisintellekt saab mõnikord teistest andmetest järeldada).
Identiteedi- ja juurdepääsuhalduse valdkonnas süvavõltsingu tuvastamine üha suurem vajadus – generatiivne tehisintellekt suudab luua sünteetilisi hääli ja videoid, mis petaksid biomeetrilist turvalisust. Huvitaval kombel aitab generatiivne tehisintellekt neid süvavõltsinguid tuvastada ka siis, kui analüüsitakse heli või video peeneid artefakte, mida inimestel on raske märgata. Nägime näidet Accenture'ist, kes kasutas generatiivset tehisintellekti lugematute näoilmete ja tingimuste simuleerimiseks, et treenida oma biomeetrilisi süsteeme eristama päris kasutajaid tehisintellekti loodud süvavõltsingutest. Viie aasta jooksul aitas see lähenemisviis Accenture'il 90% oma süsteemidest paroolid eemaldada (liikudes üle biomeetriale ja muudele teguritele) ja vähendada rünnakuid 60% võrra ( 6 generatiivse tehisintellekti kasutusjuhtu küberturvalisuses [+ näited] ). Põhimõtteliselt kasutasid nad generatiivset tehisintellekti biomeetrilise autentimise tugevdamiseks, muutes selle generatiivsete rünnakute suhtes vastupidavaks (suurepärane näide tehisintellekti võitlusest tehisintellektiga). Selline käitumuslik modelleerimine – antud juhul elava inimnäo ja tehisintellekti sünteesitud näo erinevuse tuvastamine – on ülioluline, kuna me toetume autentimisel üha enam tehisintellektile.
Generatiivse tehisintellekti abil töötav anomaaliate tuvastamine on rakendatav paljudes tööstusharudes: tervishoius meditsiiniseadmete käitumise jälgimiseks häkkimise tunnuste suhtes; rahanduses kauplemissüsteemide jälgimiseks ebaregulaarsete mustrite suhtes, mis võivad viidata pettusele või algoritmilisele manipuleerimisele; energeetikas/kommunaalteenuste valdkonnas juhtimissüsteemide signaalide jälgimiseks sissetungide tunnuste suhtes. laiaulatuslikkuse (käitumise kõigi aspektide uurimine) ja sügavuse (keeruliste mustrite mõistmine) muudab selle võimsaks tööriistaks küberintsidendi nõela heinakuhjas olevate näitajate märkamiseks. Kuna ohud muutuvad varjatumaks ja peidavad end tavapäraste toimingute vahel, muutub see võime täpselt iseloomustada „normaalsust“ ja karjuda, kui midagi kõrvale kaldub, ülioluliseks. Generatiivne tehisintellekt toimib seega väsimatu valvurina, õppides ja ajakohastades pidevalt oma normaalsuse määratlust, et pidada sammu keskkonnamuutustega, ning hoiatades turvameeskondi anomaaliate eest, mis väärivad lähemat uurimist.
Generatiivse tehisintellekti võimalused ja eelised küberturvalisuses
Generatiivse tehisintellekti rakendamine küberturvalisuses pakub hulgaliselt võimalusi ja eeliseid organisatsioonidele, kes on valmis neid tööriistu omaks võtma. Allpool võtame kokku peamised eelised, mis muudavad generatiivse tehisintellekti küberturvalisuse programmidele veenvaks täienduseks:
-
Kiirem ohtude tuvastamine ja reageerimine: Generatiivsed tehisintellekti süsteemid suudavad reaalajas analüüsida tohutul hulgal andmeid ja tuvastada ohte palju kiiremini kui käsitsi tehtav inimese analüüs. See kiiruseeelis tähendab rünnakute varasemat tuvastamist ja intsidentide kiiremat ohjeldamist. Praktikas suudab tehisintellektil põhinev turvaseire tabada ohte, mille seostamine inimestel võtaks palju kauem aega. Intsidentidele kiiresti reageerides (või isegi esialgseid reaktsioone iseseisvalt rakendades) saavad organisatsioonid ründajate viibimisaega oma võrkudes oluliselt vähendada, minimeerides kahju.
-
Täpsus ja ohtude katvus: Kuna generatiivsed mudelid õpivad pidevalt uutest andmetest, saavad nad kohaneda arenevate ohtudega ja tuvastada pahatahtliku tegevuse peenemaid märke. See viib parema tuvastamistäpsuseni (vähem valepositiivseid ja -negatiivseid tulemusi) võrreldes staatiliste reeglitega. Näiteks tehisintellekt, mis on õppinud tundma andmepüügikirja või pahavara käitumise tunnuseid, suudab tuvastada variante, mida pole varem nähtud. Tulemuseks on laiem ohutüüpide – sealhulgas uudsete rünnakute – katvus, mis tugevdab üldist turvaseisundit. Turvameeskonnad saavad tehisintellekti analüüsist ka üksikasjalikku teavet (nt pahavara käitumise selgitused), mis võimaldab täpsemat ja sihipärasemat kaitset ( Mis on generatiivne tehisintellekt küberturvalisuses? - Palo Alto Networks ).
-
Korduvate ülesannete automatiseerimine: Generatiivne tehisintellekt (AI) on suurepärane rutiinsete ja töömahukate turvaülesannete automatiseerimisel – alates logide läbivaatamisest ja aruannete koostamisest kuni intsidentidele reageerimise skriptide kirjutamiseni. See automatiseerimine vähendab inimanalüütikute koormust , vabastades nad keskenduma kõrgetasemelisele strateegiale ja keerukate otsuste tegemisele ( Mis on generatiivne tehisintellekt küberturvalisuses? - Palo Alto Networks ). Igapäevased, kuid olulised ülesanded, nagu haavatavuste skannimine, konfiguratsiooni auditeerimine, kasutajate tegevuse analüüs ja vastavusaruannete koostamine, saab tehisintellekti abil tehtud (või vähemalt esialgselt ette valmistatud). Nende ülesannete käsitlemine masina kiirusel parandab tehisintellekt mitte ainult tõhusust, vaid vähendab ka inimlikke vigu (oluline tegur rikkumiste korral).
-
Proaktiivne kaitse ja simulatsioon: Generatiivne tehisintellekt võimaldab organisatsioonidel minna üle reaktiivselt turvalisuselt proaktiivsele. Selliste tehnikate abil nagu rünnakute simulatsioon, sünteetiliste andmete genereerimine ja stsenaariumipõhine koolitus saavad kaitsjad ohtusid ennetada ja nendeks valmistuda enne, kui need reaalses maailmas materialiseeruvad. Turvameeskonnad saavad simuleerida küberrünnakuid (andmepüügikampaaniad, pahavara puhangud, DDoS-rünnakud jne) turvalistes keskkondades, et testida oma reageeringuid ja parandada nõrkusi. See pidev koolitus, mida on sageli võimatu ainult inimjõuga põhjalikult läbi viia, hoiab kaitsemehhanismid teravate ja ajakohastena. See on sarnane kübertulekahjuõppusega – tehisintellekt saab teie kaitsemehhanismidele heita palju hüpoteetilisi ohte, et saaksite harjutada ja areneda.
-
Inimesteadmiste täiendamine (tehisintellekt kui jõu kordistaja): Generatiivne tehisintellekt toimib väsimatu nooremanalüütiku, nõustaja ja assistendi rollis üheskoos. See suudab pakkuda vähem kogenud meeskonnaliikmetele juhiseid ja soovitusi, mida tavaliselt oodatakse kogenud ekspertidelt, demokratiseerides meeskonnas ekspertiisi ( 6 kasutusjuhtu generatiivse tehisintellekti kasutamiseks küberturvalisuses [+ näited] ). See on eriti väärtuslik, arvestades küberturvalisuse talendipuudust – tehisintellekt aitab väiksematel meeskondadel teha rohkem vähemaga. Kogenud analüütikud seevastu saavad kasu sellest, kui tehisintellekt tegeleb suurema tööga ja toob esile mitteilmseid teadmisi, mida nad saavad seejärel valideerida ja mille põhjal tegutseda. Lõpptulemuseks on palju produktiivsem ja võimekam turvameeskond, kus tehisintellekt võimendab iga inimliikme mõju ( Kuidas saab generatiivset tehisintellekti kasutada küberturvalisuses ).
-
Täiustatud otsustustugi ja aruandlus: tehniliste andmete tõlkimisega loomulikku keelde parandab generatiivne tehisintellekt suhtlust ja otsuste langetamist. Turvajuhid saavad tehisintellekti loodud kokkuvõtete kaudu probleemidest selgema ülevaate ja saavad teha teadlikke strateegilisi otsuseid ilma toorandmeid analüüsimata. Samuti paraneb valdkondadevaheline suhtlus (juhtide, vastavusametnike jne suunas), kui tehisintellekt koostab turvaseisundi ja -intsidentide kohta hõlpsasti mõistetavaid aruandeid ( Kuidas saab generatiivset tehisintellekti küberturvalisuses kasutada? 10 reaalse maailma näidet ). See mitte ainult ei suurenda enesekindlust ja ühtlustamist turvaküsimustes juhtimistasandil, vaid aitab ka õigustada investeeringuid ja muudatusi, sõnastades selgelt riskid ja tehisintellekti avastatud lüngad.
Kokkuvõttes tähendavad need eelised seda, et organisatsioonid, kes kasutavad küberturvalisuses generatiivset tehisintellekti, saavad saavutada tugevama turvapositsiooni potentsiaalselt madalamate tegevuskuludega. Nad saavad reageerida ohtudele, mis varem olid üle jõu käivad, katta lünki, mida ei jälgitud, ja pidevalt täiustuda tehisintellektil põhinevate tagasisideahelate kaudu. Lõppkokkuvõttes pakub generatiivne tehisintellekt võimalust vastastest ette jõuda, sobitades kiiruse, ulatuse ja keerukuse sama keerukate kaitsemehhanismidega. Nagu üks uuring näitas, ootab üle poole äri- ja küberjuhtidest generatiivse tehisintellekti kasutamise kaudu kiiremat ohtude tuvastamist ja suuremat täpsust ( [PDF] Globaalne küberturvalisuse väljavaade 2025 | Maailma Majandusfoorum ) ( Generatiivne tehisintellekt küberturvalisuses: LLM-i põhjalik ülevaade ... ) – see on tunnistus nende tehnoloogiate eelistega seotud optimismist.
Generatiivse tehisintellekti kasutamise riskid ja väljakutsed küberturvalisuses
Kuigi võimalused on märkimisväärsed, on küberturvalisuse valdkonnas generatiivse tehisintellekti suhtes kriitilise tähtsusega suhtuda avatud silmadega riskidesse ja väljakutsetesse . Tehisintellekti pimesi usaldamine või selle väärkasutamine võib tekitada uusi haavatavusi. Allpool toome välja peamised mured ja lõksud koos igaühe kontekstiga:
-
Küberkurjategijate poolt vaenulik kasutamine: Samad generatiivsed võimed, mis aitavad kaitsjatel, võivad anda ründajatele jõudu. Ohutegurid kasutavad juba generatiivset tehisintellekti veenvamate andmepüügikirjade koostamiseks, võltsitud isikute ja süvavõltsvideote loomiseks sotsiaalse manipuleerimise eesmärgil, polümorfse pahavara arendamiseks, mis pidevalt muutub, et avastamist vältida, ja isegi häkkimise aspektide automatiseerimiseks ( Mis on generatiivne tehisintellekt küberturvalisuses? - Palo Alto Networks ). Ligi pooled (46%) küberturvalisuse juhtidest on mures, et generatiivne tehisintellekt viib keerukamate vaenulike rünnakuteni ( Generative AI Security: Trends, Threats & Mitigation Strategies ). See „tehisintellekti võidurelvastumine“ tähendab, et kui kaitsjad võtavad tehisintellekti omaks, ei jää ründajad palju maha (tegelikult võivad nad mõnes valdkonnas olla ees, kasutades reguleerimata tehisintellekti tööriistu). Organisatsioonid peavad olema valmis tehisintellektiga täiustatud ohtudeks, mis on sagedasemad, keerukamad ja raskemini jälgitavad.
-
Tehisintellekti hallutsinatsioonid ja ebatäpsus: Generatiivsed tehisintellekti mudelid võivad anda väljundeid, mis on usutavad, kuid ebaõiged või eksitavad – nähtust, mida nimetatakse hallutsinatsioonideks. Turvalisuse kontekstis võib tehisintellekt analüüsida intsidenti ja ekslikult järeldada, et selle põhjuseks oli teatud haavatavus, või genereerida vigase parandusskripti, mis ei suuda rünnakut ohjeldada. Need vead võivad olla ohtlikud, kui neid nimiväärtuses võtta. Nagu NTT Data hoiatab: „võib generatiivne tehisintellekt usutavalt väljastada valet sisu ja seda nähtust nimetatakse hallutsinatsioonideks... praegu on neid raske täielikult kõrvaldada“ ( Generatiivse tehisintellekti ja vastumeetmete turvariskid ning selle mõju küberturvalisusele | NTT DATA Group ). Liigne tuginemine tehisintellektile ilma kontrollimiseta võib viia valesti suunatud jõupingutuste või vale turvatundeni. Näiteks võib tehisintellekt ekslikult märkida kriitilise süsteemi turvaliseks, kui see seda ei ole, või vastupidi, vallandada paanikat, „tuvastades“ rikkumise, mida pole kunagi toimunud. Selle riski leevendamiseks on oluline tehisintellekti väljundite range valideerimine ja inimeste kaasamine kriitiliste otsuste langetamisse.
-
Valepositiivsed ja -negatiivsed tulemused: Seoses hallutsinatsioonidega võib halvasti treenitud või konfigureeritud tehisintellekti mudel healoomulist tegevust pahatahtlikuna üle hinnata (valepositiivsed tulemused) või, mis veelgi hullem, tegelikke ohte märkamata jätta (valenegatiivsed tulemused) ( Kuidas saab generatiivset tehisintellekti küberturvalisuses kasutada ?). Liigsed valehäired võivad turvameeskondi üle koormata ja viia häirete väsimuseni (mis tühistab tehisintellekti lubatud efektiivsuse kasvu), samas kui märkamata jätmine jätab organisatsiooni haavatavaks. Generatiivsete mudelite õige tasakaalu saavutamiseks häälestamine on keeruline. Iga keskkond on ainulaadne ja tehisintellekt ei pruugi kohe optimaalselt toimida. Pidev õppimine on samuti kahe teraga mõõk – kui tehisintellekt õpib moonutatud tagasisidest või muutuvast keskkonnast, võib selle täpsus kõikuda. Turvameeskonnad peavad jälgima tehisintellekti jõudlust ja kohandama läviväärtusi või andma mudelitele korrigeerivat tagasisidet. Kõrge riskiga olukordades (näiteks kriitilise infrastruktuuri sissetungimise tuvastamine) võib olla mõistlik käivitada tehisintellekti ettepanekuid teatud aja jooksul paralleelselt olemasolevate süsteemidega, et tagada nende vastavus ja täiendavus, mitte vastuolu.
-
Andmete privaatsus ja leke: Generatiivsed tehisintellekti süsteemid vajavad treenimiseks ja tööks sageli suuri andmemahtusid. Kui need mudelid on pilvepõhised või pole korralikult eraldatud, on oht, et tundlik teave võib lekkida. Kasutajad võivad kogemata sisestada tehisintellekti teenusesse omandiõigusega kaitstud andmeid või isikuandmeid (näiteks paluda ChatGPT-l kokku võtta konfidentsiaalne intsidendiaruanne) ja need andmed võivad saada osaks mudeli teadmistest. Hiljutine uuring näitas tõepoolest, et 55% generatiivsete tehisintellekti tööriistade sisenditest sisaldas tundlikku või isikut tuvastavat teavet , mis tekitab tõsist muret andmete lekke pärast ( Generative AI Security: Trends, Threats & Mitigation Strategies ). Lisaks, kui tehisintellekti on treenitud sisemiste andmetega ja seda teatud viisil päritakse, võib see edastada neid tundlikke andmeid kellelegi teisele. Organisatsioonid peavad rakendama rangeid andmetöötluspoliitikaid (nt tundliku materjali jaoks kohapealsete või privaatsete tehisintellekti eksemplaride kasutamine) ja koolitama töötajaid salajase teabe avalikesse tehisintellekti tööriistadesse kleepimise vältimise kohta. Mängu tulevad ka privaatsuseeskirjad (GDPR jne) – isikuandmete kasutamine tehisintellekti treenimiseks ilma nõuetekohase nõusoleku või kaitseta võib olla seadustega vastuolus.
-
Mudeli turvalisus ja manipuleerimine: Generatiivse tehisintellekti mudelid ise võivad saada sihtmärkideks. Vastased võivad proovida mudelit mürgitada , sisestades koolitus- või ümberkoolitusfaasis pahatahtlikke või eksitavaid andmeid, et tehisintellekt õpiks valesid mustreid ( Kuidas saab generatiivset tehisintellekti kasutada küberturvalisuses ). Näiteks võib ründaja salakavalalt mürgitada ohuandmeid, nii et tehisintellekt ei suuda ründaja enda pahavara pahatahtlikuna ära tunda. Teine taktika on kiire süstimine või väljundi manipuleerimine , kus ründaja leiab viisi, kuidas anda tehisintellektile sisendeid, mis panevad selle käituma ettenägematul viisil – näiteks ignoreerima oma turvapiirdeid või avaldama teavet, mida ta ei peaks (näiteks sisemised viipad või andmed). Lisaks on olemas mudelist kõrvalehoidumise : ründajad loovad sisendi, mis on spetsiaalselt loodud tehisintellekti petmiseks. Näeme seda vastaspoolte näidetes – veidi häiritud andmed, mida inimene peab normaalseks, kuid tehisintellekt liigitab valesti. Tehisintellekti tarneahela turvalisuse tagamine (andmete terviklikkus, mudelile juurdepääsu kontroll, konkurentsipõhine vastupidavustestimine) on küberturvalisuse uus, kuid vajalik osa nende tööriistade juurutamisel ( Mis on generatiivne tehisintellekt küberturvalisuses? - Palo Alto Networks ).
-
Liigne sõltuvus ja oskuste kadu: On ka leebem risk, et organisatsioonid võivad hakata tehisintellektist liialt sõltuma ja lasta inimoskustel manduda. Kui nooremad analüütikud hakkavad tehisintellekti väljundeid pimesi usaldama, ei pruugi nad arendada kriitilist mõtlemist ja intuitsiooni, mida on vaja tehisintellekti kättesaamatuse või vale toimimise korral. Vältida tuleks stsenaariumi, kus turvameeskonnal on küll suurepärased tööriistad, kuid pole aimugi, kuidas tegutseda, kui need tööriistad rikki lähevad (sarnaselt pilootidega, kes loodavad liigselt autopiloodile). Regulaarsed koolitused ilma tehisintellekti abita ja mõtteviisi edendamine, et tehisintellekt on assistent, mitte eksimatu oraakel, on olulised, et hoida inimanalüütikud teravana. Inimesed peavad jääma lõplikeks otsustajateks, eriti suure mõjuga otsuste puhul.
-
Eetilised ja vastavusprobleemid: Tehisintellekti kasutamine küberturvalisuses tekitab eetilisi küsimusi ja võib põhjustada regulatiivse vastavuse probleeme. Näiteks kui tehisintellekti süsteem süüdistab töötajat anomaalia tõttu ekslikult pahatahtliku siseringi isikuna, võib see ebaõiglaselt kahjustada selle isiku mainet või karjääri. Tehisintellekti tehtud otsused võivad olla läbipaistmatud („musta kasti“ probleem), mistõttu on audiitoritele või reguleerivatele asutustele raske selgitada, miks teatud toiminguid tehti. Kuna tehisintellekti loodud sisu muutub üha levinumaks, on läbipaistvuse tagamine ja vastutuse säilitamine üliolulised. Reguleerivad asutused hakkavad tehisintellekti kontrollima – näiteks ELi tehisintellekti seadus kehtestab nõuded „kõrge riskiga“ tehisintellekti süsteemidele ja küberturvalisuse tehisintellekt võib kuuluda sellesse kategooriasse. Ettevõtted peavad nendes eeskirjades orienteeruma ja võimalikult järgima standardeid, nagu NIST tehisintellekti riskijuhtimise raamistik, et kasutada generatiivset tehisintellekti vastutustundlikult ( Kuidas saab generatiivset tehisintellekti kasutada küberturvalisuses? 10 reaalset näidet ). Vastavus laieneb ka litsentsimisele: avatud lähtekoodiga või kolmandate osapoolte mudelite kasutamisel võivad olla tingimused, mis piiravad teatud kasutusviise või nõuavad täiustuste jagamist.
Kokkuvõttes ei ole generatiivne tehisintellekt imerohi – kui seda hoolikalt ei rakendata, võib see tekitada uusi nõrkusi isegi siis, kui see lahendab juba olemasolevaid. Maailma Majandusfoorumi 2024. aasta uuring tõi esile, et ~47% organisatsioonidest nimetab ründajate edusamme generatiivse tehisintellekti vallas peamiseks mureks, muutes selle küberturvalisuses „generatiivse tehisintellekti kõige murettekitavamaks mõjuks“ [PDF] Globaalne küberturvalisuse väljavaade 2025 | Maailma Majandusfoorum ) ( Generatiivne tehisintellekt küberturvalisuses: LLM-i põhjalik ülevaade ... ). Seetõttu peavad organisatsioonid omaks võtma tasakaalustatud lähenemisviisi: kasutama ära tehisintellekti eeliseid, juhtides samal ajal rangelt neid riske juhtimise, testimise ja inimliku järelevalve abil. Järgmisena arutame, kuidas seda tasakaalu praktikas saavutada.
Tulevikuväljavaated: generatiivse tehisintellekti arenev roll küberturvalisuses
Tulevikku vaadates on generatiivne tehisintellekt saamas küberturvalisuse strateegia lahutamatuks osaks – ja samal ajal ka tööriistaks, mida kübervastased jätkuvalt ära kasutavad. Kassi ja hiire dünaamika kiireneb, tehisintellekt on mõlemal pool aeda. Siin on mõned tulevikku suunatud teadmised selle kohta, kuidas generatiivne tehisintellekt võib küberturvalisust lähiaastatel kujundada:
-
Tehisintellektiga täiustatud küberkaitsest saab standard: 2025. aastaks ja hiljem võime eeldada, et enamik keskmise suurusega ja suuri organisatsioone on oma turvaoperatsioonides kasutusele võtnud tehisintellektil põhinevad tööriistad. Nii nagu viirusetõrje ja tulemüürid on tänapäeval standardsed, võivad tehisintellektiga toetatud kaaspiloodid ja anomaaliate tuvastamise süsteemid saada turvaarhitektuuride baaskomponentideks. Need tööriistad muutuvad tõenäoliselt spetsialiseeritumaks – näiteks erinevad tehisintellekti mudelid, mis on peenhäälestatud pilveturvalisuse, asjade interneti seadmete jälgimise, rakenduskoodi turvalisuse jne jaoks, kõik koos töötades. Nagu üks ennustus märgib: „2025. aastal on generatiivne tehisintellekt küberturvalisuse lahutamatu osa, võimaldades organisatsioonidel ennetavalt kaitsta end keerukate ja arenevate ohtude eest“ ( Kuidas saab generatiivset tehisintellekti kasutada küberturvalisuses ). Tehisintellekt parandab reaalajas ohtude tuvastamist, automatiseerib paljusid reageerimismeetmeid ja aitab turvameeskondadel hallata palju suuremaid andmemahtusid, kui nad suudaksid käsitsi hallata.
-
Pidev õppimine ja kohanemine: Tulevased genereerivad tehisintellekti süsteemid kübervaldkonnas õpivad reaalajas , ajakohastades oma teadmistebaasi peaaegu reaalajas. See võib viia tõeliselt adaptiivsete kaitsemehhanismideni – kujutage ette tehisintellekti, mis saab hommikul teada uuest andmepüügikampaaniast, mis tabab teist ettevõtet, ja pärastlõunaks on juba teie ettevõtte e-posti filtreid vastavalt kohandanud. Pilvepõhised tehisintellekti turvateenused võivad sellist kollektiivset õppimist hõlbustada, kus ühe organisatsiooni anonüümsed teadmised toovad kasu kõigile tellijatele (sarnaselt ohuteabe jagamisele, kuid automatiseeritud). See nõuab aga hoolikat käsitlemist, et vältida tundliku teabe jagamist ja takistada ründajatel halbade andmete sisestamist jagatud mudelitesse.
-
Tehisintellekti ja küberturvalisuse talendi ühinemine: Küberturvalisuse spetsialistide oskustepagas areneb, hõlmates tehisintellekti ja andmeteaduse alaseid teadmisi. Nii nagu tänased analüütikud õpivad päringukeeli ja skriptimist, võivad homsed analüütikud regulaarselt tehisintellekti mudeleid täpsustada või kirjutada tehisintellektile täitmiseks „strateegiaraamatuid“. Võime näha uusi rolle nagu „tehisintellekti turvakoolitaja“ või „küberturvalisuse tehisintellekti insener“ – inimesed, kes on spetsialiseerunud tehisintellekti tööriistade kohandamisele organisatsiooni vajadustele, nende toimivuse valideerimisele ja turvalise toimimise tagamisele. Teisest küljest mõjutavad küberturvalisuse kaalutlused üha enam tehisintellekti arendamist. Tehisintellekti süsteemid ehitatakse algusest peale turvafunktsioonidega (turvaline arhitektuur, võltsimise tuvastamine, auditilogid tehisintellekti otsuste jaoks jne) ning usaldusväärse tehisintellekti (õiglane, selgitatav, töökindel ja turvaline) juhivad nende juurutamist turvalisuse seisukohast kriitilistes kontekstides.
-
Keerukamad tehisintellektil põhinevad rünnakud: Kahjuks areneb koos tehisintellektiga ka ohtude maastik. Me eeldame tehisintellekti sagedasemat kasutamist nullpäeva haavatavuste avastamiseks, sihipärase andmepüügi loomiseks (nt tehisintellekt kraabib sotsiaalmeediat ideaalselt kohandatud sööda loomiseks) ja veenvate süvavõltshäälte või -videote genereerimiseks biomeetrilise autentimise vältimiseks või pettuste toimepanemiseks. Võivad tekkida automatiseeritud häkkeriagendid, mis suudavad iseseisvalt läbi viia mitmeastmelisi rünnakuid (luure, ärakasutamine, külgmine liikumine jne) minimaalse inimjärelevalvega. See avaldab kaitsjatele survet ka tehisintellektile toetuda – sisuliselt automatiseerimine vs automatiseerimine . Mõned rünnakud võivad toimuda masina kiirusel, näiteks tehisintellekti robotid proovivad tuhandeid andmepüügimeilide permutatsioone, et näha, milline neist filtritest läbi pääseb. Küberkaitse peab sammu pidamiseks tegutsema sarnase kiiruse ja paindlikkusega ( Mis on generatiivne tehisintellekt küberturvalisuses? - Palo Alto Networks ).
-
Regulatsioon ja eetiline tehisintellekt turvalisuses: Kuna tehisintellekt muutub sügavalt küberturvalisuse funktsioonidesse integreeritud, toimub suurem kontroll ja võimalik, et ka regulatsioonid, et tagada nende tehisintellekti süsteemide vastutustundlik kasutamine. Võime eeldada tehisintellektile turvavaldkonnas spetsiifilisi raamistikke ja standardeid. Valitsused võivad kehtestada läbipaistvuse suunised – näiteks nõudes, et olulisi turvaotsuseid (näiteks töötaja juurdepääsu lõpetamine kahtlustatava pahatahtliku tegevuse korral) ei saa teha tehisintellekt üksi ilma inimese läbivaatamiseta. Samuti võivad tehisintellekti turvatoodetele olla sertifikaadid, et kinnitada ostjatele, et tehisintellekti on hinnatud eelarvamuste, töökindluse ja ohutuse osas. Lisaks võib tehisintellektiga seotud küberohtude osas kasvada rahvusvaheline koostöö; näiteks kokkulepped tehisintellekti loodud väärinfo käsitlemiseks või normid teatud tehisintellektil põhinevate küberrelvade vastu.
-
Integratsioon laiema tehisintellekti ja IT-ökosüsteemidega: Generatiivne tehisintellekt küberturvalisuses integreerub tõenäoliselt teiste tehisintellekti süsteemide ja IT-haldustööriistadega. Näiteks võrgu optimeerimist haldav tehisintellekt võiks teha koostööd turvalisuse tehisintellektiga, et tagada muudatuste mitteavamine lünkade loomisel. Tehisintellektil põhinev ärianalüütika võib jagada andmeid turvalisuse tehisintellektidega, et seostada anomaaliaid (näiteks müügi järsk langus võimaliku veebisaidi probleemiga rünnaku tõttu). Põhimõtteliselt ei ela tehisintellekt silos – see on osa organisatsiooni tegevuse suuremast intelligentsest struktuurist. See avab võimalusi terviklikuks riskijuhtimiseks, kus tehisintellekt saab kombineerida operatiivandmeid, ohuandmeid ja isegi füüsilise turvalisuse andmeid, et anda organisatsiooni turvalisuse seisundist 360-kraadine ülevaade.
Pikas perspektiivis loodetakse, et genereeriv tehisintellekt aitab tasakaalu kaitsjate kasuks kallutada. Kaasaegsete IT-keskkondade ulatuse ja keerukusega toimetuleku abil saab tehisintellekt muuta küberruumi paremini kaitstavaks. See on aga teekond ja nende tehnoloogiate täiustamine ning nende usaldamise õppimine toob kaasa üha suuremaid raskusi. Organisatsioonid, kes on kursis ja investeerivad vastutustundlikku tehisintellekti kasutuselevõttu turvalisuse tagamiseks, on tõenäoliselt parimad positsioonid tulevikuohtudega toimetulekuks.
Nagu Gartneri hiljutine küberturvalisuse trendide aruanne märkis, „tekitab tehisintellekti generatiivsete kasutusjuhtude (ja riskide) esilekerkimine survet muutusteks“ ( Küberturvalisuse trendid: vastupanuvõime muutuste kaudu – Gartner ). Need, kes kohanevad, rakendavad tehisintellekti võimsa liitlasena; need, kes maha jäävad, võivad tehisintellekti abil võimestatud vastastest maha jääda. Järgmised aastad on pöördelised selle määratlemisel, kuidas tehisintellekt küberlahinguvälja ümber kujundab.
Praktilised järeldused generatiivse tehisintellekti kasutuselevõtuks küberturvalisuses
Ettevõtetele, kes hindavad, kuidas oma küberturvalisuse strateegias generatiivset tehisintellekti rakendada, on siin mõned praktilised nõuanded ja soovitused vastutustundliku ja tõhusa kasutuselevõtu suunamiseks:
-
Alustage haridusest ja koolitusest: veenduge, et teie turvameeskond (ja laiem IT-personal) mõistaksid, mida generatiivne tehisintellekt suudab ja mida mitte. Pakkuge koolitust tehisintellektil põhinevate turvatööriistade põhitõdede kohta ja ajakohastage oma turvateadlikkuse programme kõigile töötajatele, et need hõlmaksid tehisintellektiga seotud ohte. Näiteks õpetage töötajatele, kuidas tehisintellekt suudab genereerida väga veenvaid andmepüügipettusi ja süvavõltskõnesid. Samal ajal koolitage töötajaid tehisintellekti tööriistade ohutu ja heakskiidetud kasutamise osas oma töös. Hästi informeeritud kasutajad kasutavad tehisintellekti väiksema tõenäosusega valesti või langevad tehisintellektiga täiustatud rünnakute ohvriks ( Kuidas saab generatiivset tehisintellekti küberturvalisuses kasutada? 10 reaalse maailma näidet ).
-
Selgete tehisintellekti kasutuspoliitikate määratlemine: käsitlege generatiivset tehisintellekti nagu iga võimsat tehnoloogiat – koos juhtimisega. Töötage välja poliitikad, mis määravad, kes saab tehisintellekti tööriistu kasutada, millised tööriistad on lubatud ja millistel eesmärkidel. Lisage juhised tundlike andmete käitlemise kohta (nt konfidentsiaalsete andmete edastamine välistele tehisintellekti teenustele keelatakse), et vältida lekkeid. Näiteks võite lubada ainult turvameeskonna liikmetel kasutada sisemist tehisintellekti assistenti intsidentidele reageerimiseks ja turundus saab sisu jaoks kasutada kontrollitud tehisintellekti – kõigile teistele on see piiratud. Paljud organisatsioonid käsitlevad nüüd oma IT-poliitikates selgesõnaliselt generatiivset tehisintellekti ja juhtivad standardiorganisatsioonid julgustavad ohutu kasutamise poliitikaid, mitte otseseid keelde ( Kuidas saab generatiivset tehisintellekti kasutada küberturvalisuses? 10 reaalse maailma näidet ). Kindlasti edastage need reeglid ja nende põhjendused kõigile töötajatele.
-
Leevendage „varjulise tehisintellekti“ mõju ja jälgige selle kasutamist: Sarnaselt vari-IT-ga tekib „varjuline tehisintellekt“ siis, kui töötajad hakkavad kasutama tehisintellekti tööriistu või teenuseid ilma IT-osakonna teadmata (nt arendaja kasutab volitamata tehisintellekti koodiassistenti). See võib kaasa tuua nähtamatuid riske. Rakendage meetmeid tehisintellekti loata kasutamise tuvastamiseks ja kontrollimiseks . Võrgu jälgimine saab märgistada ühendusi populaarsete tehisintellekti API-dega ning uuringud või tööriistade auditid võivad paljastada, mida töötajad kasutavad. Pakkuge heakskiidetud alternatiive, et heasoovlikud töötajad ei kiusataks pettureid kasutama (näiteks andke ametlik ChatGPT Enterprise'i konto, kui inimesed peavad seda kasulikuks). Tehisintellekti kasutamise päevavalgele toomisega saavad turvameeskonnad riski hinnata ja hallata. Jälgimine on samuti oluline – logige tehisintellekti tööriistade tegevusi ja väljundeid nii palju kui võimalik, et oleks olemas auditeerimisjälg otsuste kohta, mida tehisintellekt mõjutas ( Kuidas saab genereerivat tehisintellekti kasutada küberturvalisuses? 10 reaalse maailma näidet ).
-
Kasutage tehisintellekti kaitseks – ärge jääge maha: Tunnistage, et ründajad kasutavad tehisintellekti, seega peaks ka teie kaitse seda tegema. Tuvastage mõned suure mõjuga valdkonnad, kus genereeriv tehisintellekt saaks teie turvaoperatsioone koheselt abistada (näiteks häirete triaaž või automatiseeritud logide analüüs) ja käivitage pilootprojekte. Täiendage oma kaitset tehisintellekti kiiruse ja ulatusega, et võidelda kiiresti levivate ohtudega ( Kuidas saab genereerivat tehisintellekti küberturvalisuses kasutada? 10 reaalse maailma näidet ). Isegi lihtsad integratsioonid, näiteks tehisintellekti kasutamine pahavaraaruannete kokkuvõtmiseks või ohuotsingu päringute genereerimiseks, võivad analüütikutele tunde kokku hoida. Alustage väikeselt, hinnake tulemusi ja korrake. Edu loob eeldused tehisintellekti laiemaks kasutuselevõtuks. Eesmärk on kasutada tehisintellekti jõu kordistajana – näiteks kui andmepüügirünnakud ülekoormavad teie tugiteenust, juurutage tehisintellektil põhinev e-posti klassifikaator, et seda mahtu ennetavalt vähendada.
-
Investeerige turvalistesse ja eetilistesse tehisintellekti tavadesse: generatiivse tehisintellekti juurutamisel järgige turvalisi arendus- ja juurutamistavasid. Kasutage privaatseid või ise hostitud mudeleid, et säilitada kontroll andmete üle. Kolmandate osapoolte tehisintellekti teenuste kasutamisel vaadake üle nende turva- ja privaatsusmeetmed (krüpteerimine, andmete säilitamise poliitikad jne). Lisage tehisintellekti riskijuhtimise raamistikke (nagu NISTi tehisintellekti riskijuhtimise raamistik või ISO/IEC juhised), et süstemaatiliselt käsitleda oma tehisintellekti tööriistades selliseid asju nagu eelarvamused, selgitatavus ja töökindlus ( Kuidas saab generatiivset tehisintellekti kasutada küberturvalisuses? 10 reaalse maailma näidet ). Planeerige ka mudeli värskendusi/parandusi hoolduse osana – tehisintellekti mudelitel võivad olla ka „haavatavused” (nt võivad nad vajada ümberõpet, kui nad hakkavad triivima või kui avastatakse uut tüüpi rünnak mudeli vastu). Turvalisuse ja eetika integreerimisega tehisintellekti kasutusse suurendate usaldust tulemuste vastu ja tagate vastavuse tekkivatele eeskirjadele.
-
Hoidke inimesed kursis: kasutage tehisintellekti küberturvalisuses inimliku otsustusvõime abistamiseks, mitte selle täielikuks asendamiseks. Määrake kindlaks otsustuspunktid, kus on vaja inimese valideerimist (näiteks võib tehisintellekt koostada intsidendiaruande, kuid analüütik vaatab selle enne levitamist üle; või võib tehisintellekt soovitada kasutajakonto blokeerimist, kuid inimene kiidab selle toimingu heaks). See mitte ainult ei takista tehisintellekti vigade kontrollimata jätmist, vaid aitab ka teie meeskonnal tehisintellektilt õppida ja vastupidi. Julgustage koostööd: analüütikud peaksid tundma end mugavalt tehisintellekti väljundite kahtluse alla seadmisel ja mõistlikkuse kontrollimisel. Aja jooksul võib see dialoog parandada nii tehisintellekti (tagasiside kaudu) kui ka analüütikute oskusi. Põhimõtteliselt kujundage oma protsessid nii, et tehisintellekti ja inimeste tugevused täiendaksid teineteist – tehisintellekt käsitleb mahtu ja kiirust, inimesed aga ebaselgust ja lõplikke otsuseid.
-
Mõõtke, jälgige ja kohandage: Lõpuks käsitlege oma generatiivseid tehisintellekti tööriistu oma turvaökosüsteemi elavate komponentidena. Mõõtke pidevalt nende toimivust – kas need lühendavad intsidentidele reageerimise aega? Kas need tuvastavad ohte varem? Kuidas on valepositiivsete tulemuste määr trendis? Küsige meeskonnalt tagasisidet: kas tehisintellekti soovitused on kasulikud või tekitab see müra? Kasutage neid mõõdikuid mudelite täiustamiseks, treeningandmete värskendamiseks või tehisintellekti integreerimise kohandamiseks. Küberohud ja ärivajadused arenevad ning teie tehisintellekti mudeleid tuleks perioodiliselt värskendada või ümber õpetada, et need püsiksid tõhusad. Koostage mudeli haldamise plaan, mis hõlmab ka seda, kes vastutab selle hoolduse eest ja kui sageli seda üle vaadatakse. Tehisintellekti elutsükli aktiivse haldamisega tagate, et see jääb varaks, mitte kohustuseks.
Kokkuvõtteks võib öelda, et genereeriv tehisintellekt saab küberturvalisuse võimekust märkimisväärselt parandada, kuid edukas kasutuselevõtt nõuab läbimõeldud planeerimist ja pidevat järelevalvet. Ettevõtted, mis koolitavad oma töötajaid, kehtestavad selged juhised ja integreerivad tehisintellekti tasakaalustatud ja turvalisel viisil, lõikavad kasu kiiremast ja nutikamast ohuhaldusest. Need järeldused pakuvad tegevuskava: ühendada inimeste oskusteave tehisintellekti automatiseerimisega, käsitleda juhtimise põhitõdesid ja säilitada paindlikkus, kuna nii tehisintellekti tehnoloogia kui ka ohumaastik paratamatult arenevad.
Neid praktilisi samme astudes saavad organisatsioonid enesekindlalt vastata küsimusele „Kuidas saab generatiivset tehisintellekti küberturvalisuses kasutada?“ – mitte ainult teoorias, vaid ka igapäevases praktikas – ning seeläbi tugevdada oma kaitset meie üha digitaalsemas ja tehisintellektil põhinevas maailmas. ( Kuidas saab generatiivset tehisintellekti küberturvalisuses kasutada )
Pärast seda dokumenti võiksid lugeda järgmised ametlikud dokumendid:
🔗 Töökohad, mida tehisintellekt ei saa asendada ja milliseid töökohti tehisintellekt asendab?
Uurige globaalset väljavaadet selle kohta, millised rollid on automatiseerimise eest kaitstud ja millised mitte.
🔗 Kas tehisintellekt suudab ennustada aktsiaturgu?
Lähem pilk tehisintellekti võimega seotud piirangutele, läbimurretele ja müütidele turuliikumiste ennustamisel.
🔗 Mille peale saab generatiivset tehisintellekti ilma inimese sekkumiseta toetuda?
Saage aru, kus tehisintellekt saab toimida iseseisvalt ja kus on inimese järelevalve endiselt hädavajalik.