Кратак одговор: Вештачка интелигенција неће потпуно заменити сајбер безбедност, али ће преузети значајан део понављајућег рада у области система заштите система и безбедносног инжењерства. Коришћена као средство за смањење буке и сумирање - уз људско надјачање - убрзава тријажу и одређивање приоритета; третирана као пророк, може увести ризичну лажну сигурност.
Кључне закључке:
Обим : Вештачка интелигенција замењује задатке и токове рада, а не саму професију или одговорност.
Смањење муке : Користите вештачку интелигенцију за груписање упозорења, концизне резимее и тријажу по евиденцији.
Одговорност за доношење одлука : Задржати људе због склоности ка ризику, контроле инцидената и тешких компромиса.
Отпорност на злоупотребу : Дизајн за брзо убризгавање, тровање и покушаје избегавања противника.
Управљање : Спровести границе података, могућност ревизије и оспориве људске промене у алатима.
Чланци које бисте можда желели да прочитате након овог:
🔗 Како се генеративна вештачка интелигенција користи у сајбер безбедности
Практични начини на које вештачка интелигенција јача откривање, реаговање и спречавање претњи.
🔗 Алати за тестирање вештачке интелигенције у циљу сајбер безбедности
Најбоља решења заснована на вештачкој интелигенцији за аутоматизацију тестирања и проналажење рањивости.
🔗 Да ли је вештачка интелигенција опасна? Ризици и реалност
Јасан поглед на претње, митове и одговорне мере заштите вештачке интелигенције.
🔗 Водич за најбоље алате за безбедност вештачке интелигенције
Најбољи безбедносни алати који користе вештачку интелигенцију за заштиту система и података.
„Замена“ оквира је замка 😅
Када људи кажу „Може ли вештачка интелигенција заменити сајбер безбедност“ , обично мисле на једну од три ствари:
-
Замените аналитичаре (људи нису потребни)
-
Замените алате (једна AI платформа ради све)
-
Замена исхода (мање кршења, мањи ризик)
Вештачка интелигенција је најјача у замени понављајућег напора и скраћивању времена доношења одлука. Најслабија је у замени одговорности, контекста и просуђивања. Безбедност није само откривање - то су трновити компромиси, пословна ограничења, политика (уф) и људско понашање.
Знате како то иде - пробој није био „недостатак упозорења“. Био је то недостатак некога ко је веровао да је упозорење важно. 🙃
Где вештачка интелигенција већ „замењује“ рад у области сајбер безбедности (у пракси) ⚙️
Вештачка интелигенција већ преузима одређене категорије послова, чак и ако организациона шема и даље изгледа исто.
1) Тријажа и груписање упозорења
-
Груписање сличних упозорења у један инцидент
-
Дедупликовање шумних сигнала
-
Рангирање по вероватном утицају
Ово је важно јер је тријажа место где људи губе вољу за животом. Ако вештачка интелигенција смањи буку чак и мало, то је као да стишате противпожарни аларм који вришти недељама 🔥🔕
2) Анализа логова и откривање аномалија
-
Уочавање сумњивих образаца брзином машине
-
Пријављивање „ово је необично у поређењу са основним нивоом“
Није савршено, али може бити вредно. Вештачка интелигенција је као детектор метала на плажи - много пишти, а понекад је то чеп од флаше, али повремено је то прстен 💍… или угрожени администраторски токен.
3) Класификација злонамерног софтвера и фишинга
-
Класификација прилога, URL-ова, домена
-
Откривање сличних брендова и образаца лажног представљања
-
Аутоматизација резимеа пресуда за sandbox
4) Приоритизација управљања рањивостима
Не „који CVE-ови постоје“ - сви знамо да их има превише. Вештачка интелигенција помаже у одговору:
-
Који су вероватно овде искористиви. EPSS (ПРВИ)
-
Који су изложени споља
-
Које се мапирају на вредну имовину. CISA KEV каталог
-
Који би требало прво закрпити, а да се притом не запали организација. NIST SP 800-40 Rev. 4 (Управљање закрпама у предузећима)
И да, људи би то могли да ураде - кад би време било бесконачно и кад би нико никада не ишао на одмор.
Шта чини добру верзију вештачке интелигенције у сајбер безбедности 🧠
Ово је део који људи прескачу, а затим криве „вештачку интелигенцију“ као да је у питању један производ са осећањима.
Добра верзија вештачке интелигенције у сајбер безбедности обично има ове особине:
-
Висока дисциплина односа сигнал-шум
-
Мора смањити буку, а не стварати додатну буку уз помоћ отмених фраза.
-
-
Објашњивост која помаже у пракси
-
Није роман. Нису то вибрације. Прави трагови: шта је видело, зашто га је брига, шта се променило.
-
-
Тесна интеграција са вашим окружењем
-
IAM, телеметрија крајњих тачака, стање у облаку, издавање тикета, инвентар имовине… негламурозне ствари.
-
-
Уграђено људско превазилажење
-
Аналитичари морају то да исправљају, подешавају, а понекад и игноришу. Као млађи аналитичар који никад не спава, али повремено паничи.
-
-
Безбедносно руковање подацима
-
Јасне границе о томе шта се складишти, обучава или задржава. NIST AI RMF 1.0
-
-
Отпорност на манипулацију
-
Нападачи ће покушати брзо убризгавање, тровање и обману. Увек то раде. OWASP LLM01: Брзо убризгавање Кодекс праксе за сајбер безбедност вештачке интелигенције у Великој Британији
-
Будимо искрени - велики део „вештачке интелигенције и безбедности“ не успева зато што је трениран да звучи сигурно, а не да буде тачан. Самопоуздање није контрола. 😵💫
Делови које вештачка интелигенција тешко замењује - а то је важније него што звучи 🧩
Ево једне непријатне истине: сајбер безбедност није само техничка. Она је социотехничка. То су људи плус системи плус подстицаји.
Вештачка интелигенција се бори са:
1) Пословни контекст и склоност ка ризику
Безбедносне одлуке ретко су „да ли је лоше“. Оне су више попут:
-
Да ли је довољно озбиљно да заустави приход
-
Да ли се исплати прекидати процес имплементације
-
Да ли ће извршни тим прихватити застој због тога
Вештачка интелигенција може да помогне, али не може да преузме одговорност. Неко потписује одлуку. Неко добија позив у 2 ујутру 📞
2) Командовање инцидентом и координација између тимова
Током стварних инцидената, „посао“ је:
-
Довођење правих људи у просторију
-
Усклађивање са чињеницама без панике
-
Управљање комуникацијама, доказима, правним проблемима, слањем порука купцима NIST SP 800-61 (Водич за решавање инцидената)
Вештачка интелигенција може да направи временску линију или да сумира дневнике, наравно. Замена лидера под притиском је... оптимистична. То је као да тражите од калкулатора да изврши вежбу за случај пожара.
3) Моделирање и архитектура претњи
Моделирање претњи је делом логика, делом креативност, делом параноја (углавном здрава параноја).
-
Набрајање шта би могло поћи по злу
-
Предвиђање шта ће нападач урадити
-
Избор најјефтиније контроле која мења математику нападача
Вештачка интелигенција може да предложи обрасце, али права вредност долази од познавања ваших система, ваших људи, ваших пречица, ваших необичних наслеђених зависности.
4) Људски фактори и култура
Фишинг, поновна употреба акредитива, ИТ у сенци, немарни прегледи приступа - то су људски проблеми који носе техничке костиме 🎭.
Вештачка интелигенција може да открије, али не може да поправи зашто се организација понаша онако како се понаша.
Нападачи такође користе вештачку интелигенцију - па се игралиште нагиње бочно 😈🤖
Свака дискусија о замени сајбер безбедности мора да укључује очигледно: нападачи не стоје мирно.
Вештачка интелигенција помаже нападачима:
-
Пишите убедљивије фишинг поруке (мање лоше граматике, више контекста) Упозорење ФБИ-ја о фишингу који користи вештачку интелигенцију IC3 PSA о генеративној превари/фишингу који користи вештачку интелигенцију
-
Брже генерисање полиморфних варијација злонамерног софтвера; извештаји о претњама OpenAI (примери злонамерне употребе)
-
Аутоматизујте извиђање и друштвени инжењеринг Еуропол „ChatGPT извештај“ (преглед злоупотребе)
-
Јефтино скалирање покушаја
Дакле, усвајање вештачке интелигенције од стране бранилаца није опционо на дужи рок. Више је као... да доносите батеријску лампу јер је друга страна управо добила наочаре за ноћно гледање. Неспретна метафора. И даље је донекле тачно.
Такође, нападачи ће циљати саме системе вештачке интелигенције:
-
Брзо убризгавање у безбедносне копилоте OWASP LLM01: Брзо убризгавање
-
Тровање података ради искривљавања модела Кодекс праксе за сајбер безбедност вештачке интелигенције у Великој Британији
-
Примери супарништва за избегавање откривања MITRE ATLAS
-
екстракције модела у неким подешавањима MITRE ATLAS
Безбедност је увек била игра мачке и миша. Вештачка интелигенција само чини мачке бржим, а мишеве домишљатијим 🐭
Прави одговор: Вештачка интелигенција замењује задатке, а не одговорност ✅
Ово је „незгодна средина“ у коју се већина тимова упусти:
-
Вештачка интелигенција управља скалом
-
Људи рукују улозима
-
Заједно се носе са брзином и проценом
У мом сопственом тестирању у различитим безбедносним токовима рада, вештачка интелигенција је најбоља када се третира овако:
-
Асистент за тријажу
-
Резиме
-
Корелациони механизам
-
Помоћник у области политике
-
Пријатељ за преглед кода за ризичне обрасце
Вештачка интелигенција је најгора када се према њој поступа као што је:
-
Пророчиште
-
Једна тачка истине
-
Одбрамбени систем „подеси и заборави“
-
Разлог за недовољно запошљавање тима (ово ће касније бити јако...)
То је као да ангажујете пса чувара који такође пише имејлове. Одлично. Али понекад лаје на усисивач и промаши типа који прескаче ограду. 🐶🧹
Табела за поређење (најбоље опције које тимови користе свакодневно) 📊
Испод је практична табела за поређење - није савршена, мало неуједначена, као у стварном животу.
| Алат / Платформа | Најбоље за (публику) | Вибрација цена | Зашто функционише (и које су муке) |
|---|---|---|---|
| Мајкрософт Сентинел Мајкрософт Учење | SOC тимови који живе у Microsoft екосистемима | $$ - $$$ | Јаки SIEM обрасци, нативни за облак; пуно конектора, може постати бучно ако се не подеси… |
| Splunk Splunk Enterprise Security | Веће организације са великим бројем евидентирања + прилагођене потребе | $$$$ (често $$$$ искрено) | Моћна претрага + контролне табле; невероватно када је курирано, болно када нико не поседује хигијену података |
| Google безбедносне операције Google Cloud | Тимови који желе телеметрију управљаног обима | $$ - $$$ | Добро за велике количине података; зависи од зрелости интеграције, као и многе ствари |
| Краудстрајк Фалкон Краудстрајк | Организације са великим бројем крајњих тачака, IR тимови | $$$ | Јака видљивост крајњих тачака; одлична дубина детекције, али су вам и даље потребни људи који ће покретати одговор |
| Microsoft Defender за крајње тачке Microsoft Learn | Организације које подржавају M365 | $$ - $$$ | Тесна интеграција са Мајкрософтом; може бити одлично, може бити „700 упозорења у реду“ ако је погрешно конфигурисано |
| Пало Алто Кортекс КССОАР Пало Алто Нетворкс | SOC-ови фокусирани на аутоматизацију | $$$ | Приручници смањују напоран рад; захтевају пажњу или аутоматизујете поремећај (да, то је ствар) |
| Виз Виз платформа | Тимови за безбедност у облаку | $$$ | Јака видљивост облака; помаже у брзом одређивању приоритета ризика, али и даље захтева управљање које стоји иза тога |
| Сник Сник платформа | Организације које су првенствено усмерене на развој, AppSec | $$ - $$$ | Радни токови прилагођени програмерима; успех зависи од усвајања од стране програмера, а не само од скенирања |
Мала напомена: ниједан алат не „побеђује“ сам по себи. Најбољи алат је онај који ваш тим користи свакодневно, а да вам не буде жао. То није наука, то је преживљавање 😅
Реалистични оперативни модел: како тимови побеђују уз помоћ вештачке интелигенције 🤝
Ако желите да вештачка интелигенција значајно побољша безбедност, приручник је обично следећи:
Корак 1: Користите вештачку интелигенцију да бисте смањили напор
-
Резимеи обогаћивања упозорења
-
Израда карата
-
Контролне листе за прикупљање доказа
-
Предлози упита за евидентирање
-
„Шта се променило“ разлике у конфигурацијама
Корак 2: Користите људе за валидацију и доношење одлука
-
Потврдите утицај и обим
-
Изаберите мере заштите
-
Координација поправки међу тимовима
Корак 3: Аутоматизујте безбедне ствари
Добри циљеви аутоматизације:
-
Карантин познатих лоших датотека са високом поузданошћу
-
Ресетовање акредитива након потврђеног компромитовања
-
Блокирање очигледно злонамерних домена
-
Спровођење корекције одступања од политике (пажљиво)
Ризични циљеви аутоматизације:
-
Аутоматска изолација производних сервера без заштитних мера
-
Брисање ресурса на основу неизвесних сигнала
-
Блокирање великих IP опсега јер је „модел тако желео“ 😬
Корак 4: Укључите лекције у контроле
-
Подешавање након инцидента
-
Побољшана детекција
-
Бољи инвентар имовине (вечна бол)
-
Уже привилегије
Ту вештачка интелигенција много помаже: сумирање обдукција, мапирање празнина у детекцији, претварање поремећаја у понављајућа побољшања.
Скривени ризици безбедности вођене вештачком интелигенцијом (да, има их неколико) ⚠️
Ако интензивно усвајате вештачку интелигенцију, потребно је да планирате закључке:
-
Измишљена сигурност
-
Безбедносним тимовима су потребни докази, а не приповедање. Вештачка интелигенција воли приповедање. NIST AI RMF 1.0
-
-
Цурење података
-
Упити могу случајно да садрже осетљиве детаље. Записи су пуни тајни ако пажљиво погледате. OWASP Топ 10 за LLM апликације
-
-
Прекомерно ослањање
-
Људи престају да уче основе јер копилот „увек зна“... док не престане да зна.
-
-
Померање модела
-
Окружења се мењају. Обрасци напада се мењају. Детекције тихо труну. NIST AI RMF 1.0
-
-
Супарничко злостављање
-
Нападачи ће покушати да управљају, збуне или искористе радне процесе засноване на вештачкој интелигенцији. Смернице за безбедан развој система вештачке интелигенције (NSA/CISA/NCSC-UK)
-
То је као да направите веома паметну браву, а затим оставите кључ испод простирке. Брава није једини проблем.
Дакле… Може ли вештачка интелигенција заменити сајбер безбедност: јасан одговор 🧼
Може ли вештачка интелигенција заменити сајбер безбедност?
Може заменити велики део понављајућег рада унутар сајбер безбедности. Може убрзати откривање, тријажу, анализу, па чак и делове реаговања. Али не може у потпуности заменити дисциплину јер сајбер безбедност није један задатак - то је управљање, архитектура, људско понашање, вођење инцидената и континуирано прилагођавање.
Ако желите најискренији уоквиривање (мало директно, извињавам се):
-
Вештачка интелигенција замењује заузет посао
-
Вештачка интелигенција побољшава добре тимове
-
Вештачка интелигенција открива лоше процесе
-
Људи остају одговорни за ризик и стварност
И да, неке улоге ће се променити. Задаци почетног нивоа ће се најбрже мењати. Али појављују се и нови задаци: токови рада безбедни за промпт, валидација модела, инжењеринг аутоматизације безбедности, инжењеринг детекције са алатима потпомогнутим вештачком интелигенцијом… посао не нестаје, већ мутира 🧬
Завршне напомене и кратак резиме 🧾✨
Ако одлучујете шта да радите са вештачком интелигенцијом у безбедности, ево практичног закључка:
-
Користите вештачку интелигенцију за сажимање времена - бржа тријажа, бржи резимеи, бржа корелација.
-
Задржите људе за процену - контекст, компромиси, лидерство, одговорност.
-
Претпоставите да нападачи користе и вештачку интелигенцију - дизајн за обману и манипулацију. MITRE ATLAS смернице за безбедан развој система вештачке интелигенције (NSA/CISA/NCSC-UK)
-
Не купујте „магију“ - купујте радне процесе који мерљиво смањују ризик и напоран рад.
Дакле, да, вештачка интелигенција може да замени делове посла, и то често чини на начине који се у почетку чине суптилним. Победнички потез је да вештачка интелигенција буде ваша предност, а не ваша замена.
А ако сте забринути за своју каријеру - фокусирајте се на делове са којима се вештачка интелигенција бори: системско размишљање, вођење инцидената, архитектура и то да будете особа која може да разликује „занимљиво упозорење“ од „ускоро ћемо имати веома лош дан“. 😄🔐
Честа питања
Може ли вештачка интелигенција потпуно заменити тимове за сајбер безбедност?
Вештачка интелигенција може да преузме значајан део посла у области сајбер безбедности, али не и целу дисциплину од почетка до краја. Она се истиче у понављајућим задацима протока као што су груписање упозорења, откривање аномалија и израда резимеа првог пролаза. Оно што не замењује јесте одговорност, пословни контекст и процена када су улози високи. У пракси, тимови се сместе у „незгодну средину“ где вештачка интелигенција пружа обим и брзину, док људи задржавају одговорност за последичне одлуке.
Где вештачка интелигенција већ замењује свакодневни рад SOC-а?
У многим SOC-овима, вештачка интелигенција већ преузима дуготрајан посао попут тријаже, дедупликације и рангирања упозорења према вероватном утицају. Такође може убрзати анализу логова означавањем образаца који одступају од основног понашања. Резултат није мање инцидената магијом - то је мање сати проведених у гажењу кроз буку, тако да аналитичари могу да се фокусирају на истраге које су важне.
Како алати вештачке интелигенције помажу у управљању рањивостима и одређивању приоритета закрпа?
Вештачка интелигенција помаже у преусмеравању управљања рањивостима са „превише CVE“ на „шта би требало прво да закрпимо овде“. Уобичајени приступ комбинује сигнале вероватноће експлоатације (као што је EPSS), познате листе експлоатације (као што је CISA-ин KEV каталог) и контекст вашег окружења (изложеност интернету и критичност имовине). Ако се добро уради, ово смањује нагађања и подржава закрпљивање без нарушавања пословања.
Шта чини „добру“ вештачку интелигенцију у сајбер безбедности у односу на бучну вештачку интелигенцију?
Добра вештачка интелигенција у сајбер безбедности смањује буку уместо да производи самоуверено звучећу гужву. Нуди практичну објашњивост - конкретне трагове попут тога шта се променило, шта је примећено и зашто је то важно - уместо дугих, нејасних наратива. Такође се интегрише са основним системима (IAM, крајња тачка, облак, тикетирање) и подржава људско занемаривање тако да аналитичари могу да је исправе, подесе или игноришу када је потребно.
Које делове сајбер безбедности вештачка интелигенција тешко замењује?
Вештачка интелигенција се највише мучи са социотехничким послом: склоношћу ка ризику, командовањем инцидентима и координацијом између тимова. Током инцидената, посао често постаје комуникација, руковање доказима, правна питања и доношење одлука у неизвесности - области где лидерство надмашује упаривање образаца. Вештачка интелигенција може помоћи у сумирању дневника или изради временских рокова, али не може поуздано заменити одговорност под притиском.
Како нападачи користе вештачку интелигенцију и да ли то мења посао браниоца?
Нападачи користе вештачку интелигенцију за скалирање фишинга, генерисање убедљивијег друштвеног инжењеринга и брже понављање варијанти малвера. То мења правила игре: браниоци који усвајају вештачку интелигенцију постају мање опциони током времена. Такође додаје нови ризик, јер нападачи могу циљати токове рада вештачке интелигенције путем брзог убризгавања, покушаја тровања или избегавања противника - што значи да су и системима вештачке интелигенције потребне безбедносне контроле, а не слепо поверење.
Који су највећи ризици ослањања на вештачку интелигенцију за безбедносне одлуке?
Главни ризик је измишљена сигурност: вештачка интелигенција може звучати самоуверено чак и када није у праву, а самопоуздање није контрола. Цурење података је још једна уобичајена замка - безбедносни упити могу ненамерно да садрже осетљиве детаље, а логови често садрже тајне. Прекомерно ослањање такође може да наруши основе, док померање модела тихо деградира детекције како се окружења и понашање нападача мењају.
Који је реалан оперативни модел за коришћење вештачке интелигенције у сајбер безбедности?
Практични модел изгледа овако: користите вештачку интелигенцију да бисте смањили напоран рад, задржали људе за валидацију и доношење одлука и аутоматизовали само безбедне ствари. Вештачка интелигенција је јака за резимее обогаћивања, израду захтева, контролне листе доказа и разлике „шта се променило“. Аутоматизација најбоље одговара радњама високе поузданости као што је блокирање познато лоших домена или ресетовање акредитива након верификованог компромитовања, уз заштитне мере за спречавање прекорачења.
Хоће ли вештачка интелигенција заменити почетне улоге у сајбер безбедности и које вештине постају вредније?
Гомиле задатака на почетном нивоу ће се вероватно најбрже мењати јер вештачка интелигенција може да апсорбује понављајуће радове на тријажи, сумирању и класификацији. Али појављују се и нови задаци, као што су изградња токова посла безбедних за брзо решавање проблема, валидација излаза модела и аутоматизација безбедности у инжењерингу. Отпорност у каријери обично долази од вештина са којима се вештачка интелигенција бори: системско размишљање, архитектура, вођење инцидената и претварање техничких сигнала у пословне одлуке.
Референце
-
ПРВИ - ЕПС (ПРВИ) - first.org
-
Агенција за сајбер безбедност и безбедност инфраструктуре (CISA) - Каталог познатих искоришћених рањивости - cisa.gov
-
Национални институт за стандарде и технологију (NIST) - SP 800-40 Rev. 4 (Управљање закрпама у предузећима) - csrc.nist.gov
-
Национални институт за стандарде и технологију (NIST) - AI RMF 1.0 - nvlpubs.nist.gov
-
OWASP - LLM01: Брза инјекција - genai.owasp.org
-
Влада Уједињеног Краљевства - Кодекс праксе за сајбер безбедност вештачке интелигенције - gov.uk
-
Национални институт за стандарде и технологију (NIST) - SP 800-61 (Водич за поступање у случају инцидената) - csrc.nist.gov
-
Федерални истражни биро (ФБИ) - ФБИ упозорава на све већу претњу од сајбер криминалаца који користе вештачку интелигенцију - fbi.gov
-
Центар за жалбе ФБИ-ја у вези са интернет криминалом (IC3) - IC3 PSA о генеративној вештачкој интелигенцији (AI) превари/фишингу - ic3.gov
-
OpenAI - Извештаји о претњама OpenAI-а (примери злонамерне употребе) - openai.com
-
Европол - Европолов „ChatGPT извештај“ (преглед злоупотребе) - europol.europa.eu
-
МИТРА - МИТРА АТЛАС - mitre.org
-
OWASP - OWASP топ 10 за пријаве за мастер студије права - owasp.org
-
Национална безбедносна агенција (NSA) - Смернице за обезбеђивање развоја система вештачке интелигенције (NSA/CISA/NCSC-UK и партнери) - nsa.gov
-
Microsoft Learn - Преглед Microsoft Sentinel-а - learn.microsoft.com
-
Splunk - Splunk безбедност предузећа - splunk.com
-
Google Cloud - Google безбедносне операције - cloud.google.com
-
КраудСтрајк - платформа КраудСтрајк Фалкон - crowdstrike.com
-
Microsoft Learn - Microsoft Defender за крајње тачке - learn.microsoft.com
-
Пало Алто мреже - Cortex XSOAR - paloaltonetworks.com
-
Виз - Виз платформа - wiz.io
-
Сник - Сник платформа - сник.ио