Штучний інтелект скорочує вікно кіберреагування: стійкість починається до атаки

Штучний інтелект скорочує вікно кіберреагування: стійкість починається до атаки 1

Представлено Rubrik

Підприємства в сфері кібербезпеки стикаються з фундаментальною проблемою швидкості. Передові моделі штучного інтелекту (ШІ) тепер уможливлюють автономні атаки, які можуть перейти від початкового доступу до повного захоплення системи всього за 27 секунд. Це швидше, ніж будь-який процес безпеки, керований людиною, здатен виявити, ескалувати та відреагувати.

Як наслідок, служби безпеки більше не можуть розраховувати на час для людського втручання між зламком і завдаванням шкоди.

Поточна стратегія безпеки, необхідна для епохи ШІ, зосереджена на кіберстійкості: безперервне виявлення чистих станів для відновлення, картографування критично важливих залежностей даних та ідентичностей, а також автоматизація відновлення, щоб операції могли бути відновлені за лічені години, а не дні.

«Все, що покладалося на процеси або втручання людини, більше не зможе діяти зі швидкістю атак», — каже Дев Ріші, генеральний менеджер з ШІ в Rubrik. «Якщо атаки відбуваються за 27 секунд, це означає, що моє відновлення має відбуватися так само швидко».

Традиційні методи виявлення та запобігання зазнають краху проти атак, керованих ШІ

Логіка, заснована на правилах, яка визначала корпоративну безпеку протягом десятиліть, така як статичні засоби контролю доступу, виявлення за відомими сигнатурами та детерміновані політики поведінки, була розроблена для детермінованого програмного забезпечення. ШІ-агенти поводяться інакше. Вони є недетермінованими, здатними досягати однієї й тієї ж мети різними шляхами, і все частіше здатні обходити статичні захисні механізми, знаходячи альтернативні маршрути, коли один блокується.

Глибша проблема полягає в тому, що традиційна логіка безпеки перевіряє ідентичність, дозволи та доступ, і визначає, чи дозволений кожен окремий доступ. Але вона не може оцінити, чи послідовність дозволених дій, здійснених через кілька додатків, становить витік даних, деструктивну операцію чи атаку.

«Вам потрібна система, яка може розуміти контекст», — каже Ріші. «Вам потрібно використовувати ШІ, щоб спостерігати за тим, що робить агент, і сказати: «Схоже, те, що ви робите, може становити ризик витоку конфіденційних даних назовні».»

Як ШІ-агенти розмивають межу між внутрішніми та зовнішніми кіберзагрозами

Корпоративна безпека історично проводила чітку відмінність між зовнішніми та внутрішніми векторами загроз. Зовнішні загрози можуть бути багатовимірними, блискавичними та надходити з різних джерел. З іншого боку, внутрішні загрози традиційно були обмежені тим, що міг досягти один людський актор до виявлення, обмежені швидкістю, обсягом і масштабом. Однак ця відмінність руйнується, оскільки ШІ-агенти діють всередині корпоративних середовищ.

Ці агенти мають одночасний доступ до кількох систем і рухаються зі швидкістю, яку жоден співробітник-людина не може перевищити. Коли агент робить помилку, таку як «галюцинація» (неправильна інтерпретація даних), неправильне прочитання інструкції або ненавмисне передавання даних, спричинена шкода може виглядати операційно ідентично до атаки зловмисного внутрішнього суб’єкта. І коли зовнішній зловмисник отримує контроль над внутрішнім агентом, він отримує його повний профіль доступу в усіх підключених додатках.

«Незалежно від того, чи є агент внутрішньою загрозою через ненавмисну ​​помилку, чи тому, що він був зловмисно скомпрометований, вам потрібні вбудовані захисні механізми, які послідовно застосовують ваші організаційні політики до всіх агентів», — каже Ріші. «Практичною відповіддю є нативний ШІ-захисний шар, який семантично відстежує поведінку агентів, розуміє наміри в рамках дій і може блокувати або припиняти діяльність агента, що поводиться некоректно, на машинній швидкості, а потім негайно запускати відновлення».

Підготовка до світу неминучих компрометацій

Передові моделі ШІ, включно з тими, що здатні самостійно виявляти та використовувати вразливості нульового дня (zero-day), змінюють економіку атак.

Як наслідок, зростає інтерес до готовності до «Міфос» (Mythos). Підприємства все частіше діють, виходячи з двох припущень: атаки є неминучими, а не винятковими, і інвестиції в стійкість та швидке відновлення повинні розглядатися як стратегічні, так само як інвестиції в запобігання. Цей зсув переосмислює відновлення з діяльності після інциденту до можливості, яка свідомо проєктується, тестується та постійно перевіряється.

«Ідея, що ви можете швидко відновитися після атаки, стане одним із найважливіших аспектів безпеки», — каже Ріші. «Це страхова політика, яку організації тепер повинні розглядати як першочергову».

Чому кіберстійкість, керована ШІ, залежить від невеликих моделей

Справжня кіберстійкість — це монета з двома сторонами: вона вимагає як інтелектуального примусу в реальному часі для перехоплення загроз під час їх руху, так і автоматизованого відновлення для негайного відновлення операцій. Хоча наявність резервних копій є базовою вимогою, організаціям потрібні робочі процеси, які можуть безперервно відстежувати системи на машинній швидкості та миттєво визначати найновіший чистий стан в умовах атаки.

Застосування ШІ до першої частини цього рівняння — примус у реальному часі — створює фундаментальну технічну та економічну проблему. Використання масивних передових моделей для моніторингу кожної дії агента призводить до паралізуючого накладного витрату на затримку та надмірних витрат на обчислення. Система ШІ-захисту, яка сповільнює операції або коштує стільки ж, скільки системи, які вона моніторить, просто нежиттєздатна для широкого впровадження.

«Це має бути швидка, невелика і недорога модель ШІ», — каже Ріші. «Ніхто не хоче підписуватися на безпечне рішення, яке подвоює їхні витрати або затримку».

Саме тому малі мовні моделі (SLM) є критично важливими для примусу в реальному часі. Підхід Rubrik, що базується на їхньому придбанні Predibase, полягає у створенні цього рівня передового захисту на основі невеликих моделей, оптимізованих спеціально для швидкості та ефективності. На відміну від громіздких передових моделей, SLM можуть семантично оцінювати поведінку агентів на машинній швидкості та за частку вартості, діючи як контрольна точка в реальному часі.

Цей гіпер-ефективний рівень примусу забезпечує щільніший, безперебійний зв’язок із відновленням. Коли система виявляє, що агент виконує деструктивну дію — таку як видалення бази даних, пошкодження критично важливого файлу або викрадення конфіденційних даних — невелика модель негайно виявляє це, зупиняє шкоду, ідентифікує останній чистий знімок перед інцидентом і запускає відновлення в одному автоматизованому робочому процесі.

Зсув від реагування на інциденти до архітектурної стійкості

Ширші наслідки «Міфос» та подібних передових систем ШІ полягають у зміні того, як організації мислять про безпеку. Оскільки ШІ стискає розрив між атакою та її наслідками, стійкість та відновлення стають архітектурними вимогами, а не операційними міркуваннями.

Rubrik вважає, що системи безпеки більше не можуть зупинятися на етапі виявлення. Оскільки ШІ-агенти набувають більшої автономії, спостережуваність, контекст ідентичності та відновлення повинні працювати як скоординований рівень стійкості. Мета полягає не просто у виявленні того, коли щось пішло не так, а в скороченні розриву між виявленням та відновленням.

«Те саме, що породжує загрози, передові можливості таких моделей, як «Міфос», може бути використано і для боротьби із загрозою», — каже Ріші. «Позиціонування себе для епохи ШІ означає скорочення розриву між виявленням того, що щось пішло не так, і відновленням уражених систем, до того, як вартість цього розриву зросте».

Спонсоровані статті – це контент, створений компанією, яка або оплачує публікацію, або має ділові відносини з VentureBeat, і завжди чітко позначений. Для отримання додаткової інформації звертайтесь за адресою [email protected].

Як захиститися (Порада ІТ-Блогу): У зв’язку зі стрімким розвитком автоматизованих атак, критично важливо впровадити багатофакторну автентифікацію (MFA) для всіх облікових записів та регулярно оновлювати програмне забезпечення, щоб усунути відомі уразливості.

Джерело новини: venturebeat.com

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *