Как може генеративният изкуствен интелект да се използва в киберсигурността?

Въведение

Генеративният изкуствен интелект – системи с изкуствен интелект, способни да създават ново съдържание или прогнози – се очертава като трансформираща сила в киберсигурността. Инструменти като GPT-4 на OpenAI демонстрираха способността си да анализират сложни данни и да генерират текст, подобен на човек, което дава възможност за нови подходи за защита срещу киберзаплахи. Специалистите по киберсигурност и вземащите бизнес решения в различни индустрии изследват как генеративният изкуствен интелект може да засили защитата срещу развиващи се атаки. От финанси и здравеопазване до търговия на дребно и управление, организациите във всеки сектор са изправени пред сложни фишинг опити, зловреден софтуер и други заплахи, на които генеративният изкуствен интелект може да помогне в противодействието. В тази бяла книга разглеждаме как генеративният изкуствен интелект може да се използва в киберсигурността , като подчертаваме приложенията в реалния свят, бъдещите възможности и важните съображения за приемане.

Генеративният ИИ се различава от традиционния аналитичен ИИ не само по откриването на модели, но и по създаването на съдържание – независимо дали симулира атаки за обучение на защитни механизми или създава обяснения на естествен език за сложни данни за сигурност. Тази двойна способност го прави нож с две остриета: той предлага мощни нови защитни инструменти, но и хакерите могат да го експлоатират. Следващите раздели изследват широк спектър от случаи на употреба на генеративния ИИ в киберсигурността, от автоматизиране на откриването на фишинг до подобряване на реакцията при инциденти. Обсъждаме и ползите, които тези ИИ иновации обещават, наред с рисковете (като „халюцинации“ на ИИ или злоупотреба с противник), които организациите трябва да управляват. Накрая, предоставяме практически насоки, които да помогнат на бизнеса да оцени и отговорно интегрира генеративния ИИ в своите стратегии за киберсигурност.

Генеративен изкуствен интелект в киберсигурността: Общ преглед

Генеративният ИИ в киберсигурността се отнася до модели на ИИ – често модели на големи езици или други невронни мрежи – които могат да генерират анализи, препоръки, код или дори синтетични данни, за да подпомогнат задачите по сигурността. За разлика от чисто предсказуемите модели, генеративният ИИ може да симулира сценарии и да генерира четими за човек резултати (напр. отчети, предупреждения или дори примери за злонамерен код) въз основа на своите данни за обучение. Тази способност се използва за прогнозиране, откриване и реагиране на заплахи по по-динамични начини от преди ( Какво е генеративен ИИ в киберсигурността? - Palo Alto Networks ). Например, генеративните модели могат да анализират огромни лог файлове или хранилища за информация за заплахи и да генерират кратко обобщение или препоръчително действие, функционирайки почти като „помощник“ на ИИ за екипите по сигурността.

Ранните внедрявания на генеративен ИИ за киберзащита показват обещаващи резултати. През 2023 г. Microsoft представи Security Copilot , асистент, базиран на GPT-4, за анализатори на сигурността, който помага за идентифициране на нарушения и пресяване на 65-те трилиона сигнала, които Microsoft обработва ежедневно ( Microsoft Security Copilot е нов GPT-4 ИИ асистент за киберсигурност | The Verge ). Анализаторите могат да управляват тази система на естествен език (напр. „Обобщете всички инциденти със сигурността през последните 24 часа“ ) и Copilot ще генерира полезно обобщение. По подобен начин, Threat Intelligence AI използва генеративен модел, наречен Gemini , за да позволи търсене в разговорен режим в огромната база данни с информация за заплахи на Google, като бързо анализира подозрителен код и обобщава откритията, за да помогне на ловците на зловреден софтуер ( Как може да се използва генеративният ИИ в киберсигурността? 10 примера от реалния свят ). Тези примери илюстрират потенциала: генеративният ИИ може да обработва сложни, мащабни данни за киберсигурност и да представя прозрения в достъпна форма, ускорявайки вземането на решения.

В същото време, генеративният ИИ може да създава изключително реалистично фалшиво съдържание, което е благодат за симулация и обучение (и, за съжаление, за нападателите, които изработват социално инженерство). Като преминем към конкретни случаи на употреба, ще видим, че способността на генеративния ИИ както да синтезира , така и да анализира информация е в основата на многобройните му приложения за киберсигурност. По-долу ще се потопим в ключови случаи на употреба, обхващащи всичко - от предотвратяване на фишинг до разработване на сигурен софтуер, с примери за това как всеки от тях се прилага в различните индустрии.

Ключови приложения на генеративния изкуствен интелект в киберсигурността

Фигура: Ключови случаи на употреба на генеративен ИИ в киберсигурността включват ИИ копилоти за екипи по сигурността, анализ на уязвимости на кода, адаптивно откриване на заплахи, симулация на атаки от типа „нулев ден“, подобрена биометрична сигурност и откриване на фишинг ( 6 случая на употреба на генеративен ИИ в киберсигурността [+ примери] ).

Откриване и предотвратяване на фишинг

Фишингът остава една от най-разпространените киберзаплахи, подвеждайки потребителите да кликват върху злонамерени връзки или да разкриват идентификационни данни. Генеративният изкуствен интелект се използва както за откриване на опити за фишинг, така и за подобряване на обучението на потребителите за предотвратяване на успешни атаки. В защита, моделите на изкуствен интелект могат да анализират съдържанието на имейлите и поведението на подателите, за да открият фини признаци на фишинг, които филтрите, базирани на правила, биха могли да пропуснат. Чрез учене от големи набори от данни за легитимни спрямо измамни имейли, генеративният модел може да маркира аномалии в тона, формулировката или контекста, които показват измама – дори когато граматиката и правописът вече не я издават. Всъщност, изследователите на Palo Alto Networks отбелязват, че генеративният изкуствен интелект може да идентифицира „фини признаци на фишинг имейли, които иначе биха могли да останат незабелязани“, помагайки на организациите да бъдат с една крачка пред измамниците ( Какво е генеративен изкуствен интелект в киберсигурността? - Palo Alto Networks ).

Екипите по сигурността също използват генеративен изкуствен интелект, за да симулират фишинг атаки за обучение и анализ. Например, Ironscales представи инструмент за симулация на фишинг, задвижван от GPT, който автоматично генерира фалшиви фишинг имейли, съобразени със служителите на организацията ( Как може генеративният изкуствен интелект да се използва в киберсигурността? 10 примера от реалния свят ). Тези имейли, създадени с изкуствен интелект, отразяват най-новите тактики на нападателите, давайки на персонала реалистична практика за разпознаване на фишинг съдържание. Такова персонализирано обучение е от решаващо значение, тъй като самите нападатели възприемат изкуствен интелект, за да създават по-убедителни примамки. Забележително е, че макар генеративният изкуствен интелект да може да генерира много изпипани фишинг съобщения (отминаха дните на лесно забелязваемия развален английски), защитниците са установили, че изкуственият интелект не е непобедим. През 2024 г. изследователи на IBM Security проведоха експеримент, сравняващ написани от хора фишинг имейли с генерирани от изкуствен интелект, и „изненадващо, генерираните от изкуствен интелект имейли все още бяха лесни за откриване въпреки правилната им граматика“ ( 6 случая на употреба на генеративен изкуствен интелект в киберсигурността [+ примери] ). Това предполага, че човешката интуиция, комбинирана с откриване, подпомогнато от изкуствен интелект, все още може да разпознае фини несъответствия или сигнали с метаданни в измами, написани с изкуствен интелект.

Генеративният изкуствен интелект подпомага защитата от фишинг и по други начини. Моделите могат да се използват за генериране на автоматизирани отговори или филтри , които тестват подозрителни имейли. Например, система с изкуствен интелект може да отговори на имейл с определени заявки, за да провери легитимността на подателя, или да използва LLM, за да анализира връзките и прикачените файлове към имейл в пясъчник, след което да обобщи всяко злонамерено намерение. Платформата за сигурност на NVIDIA Morpheus демонстрира силата на изкуствения интелект в тази област – тя използва генеративни NLP модели за бърз анализ и класифициране на имейли и е установено, че подобрява откриването на фишинг имейли с 21% в сравнение с традиционните инструменти за сигурност ( 6 случая на употреба на генеративен изкуствен интелект в киберсигурността [+ примери] ). Morpheus дори профилира модели на комуникация с потребителите, за да открие необичайно поведение (като например потребител, който внезапно изпраща имейли на много външни адреси), което може да показва компрометиран акаунт, изпращащ фишинг имейли.

На практика компании от различни индустрии започват да се доверяват на изкуствения интелект за филтриране на имейли и уеб трафик за атаки чрез социално инженерство. Финансовите фирми например използват генеративен изкуствен интелект, за да сканират комуникациите за опити за представяне за друг човек, които биха могли да доведат до измами чрез електронни плащания, докато доставчиците на здравни услуги внедряват изкуствен интелект, за да защитят данните на пациентите от нарушения, свързани с фишинг. Чрез генериране на реалистични фишинг сценарии и идентифициране на отличителните белези на злонамерени съобщения, генеративният изкуствен интелект добавя мощен слой към стратегиите за предотвратяване на фишинг. Изводът: Изкуственият интелект може да помогне за по-бързото и по-точно откриване и обезвреждане на фишинг атаки , дори когато нападателите използват същата технология, за да подобрят играта си.

Откриване на зловреден софтуер и анализ на заплахи

Съвременният зловреден софтуер непрекъснато се развива – атакуващите генерират нови варианти или обфусцират код, за да заобиколят антивирусните сигнатури. Генеративният изкуствен интелект предлага нови техники както за откриване на зловреден софтуер, така и за разбиране на неговото поведение. Един подход е използването на изкуствен интелект за генериране на „зли близнаци“ на зловреден софтуер : изследователите по сигурността могат да въведат известен образец на зловреден софтуер в генеративен модел, за да създадат много мутирали варианти на този зловреден софтуер. По този начин те ефективно предвиждат промените, които атакуващият може да направи. Тези генерирани от изкуствен интелект варианти могат след това да се използват за обучение на антивирусни системи и системи за откриване на прониквания, така че дори модифицирани версии на зловредния софтуер да бъдат разпознати в реално време ( 6 случая на употреба на генеративен изкуствен интелект в киберсигурността [+ примери] ). Тази проактивна стратегия помага да се прекъсне цикълът, в който хакерите леко променят своя зловреден софтуер, за да избегнат откриването, а защитниците трябва да се борят да пишат нови сигнатури всеки път. Както е отбелязано в един индустриален подкаст, експертите по сигурността сега използват генеративен изкуствен интелект, за да „симулират мрежов трафик и да генерират злонамерени полезни товари, които имитират сложни атаки“, като тестват защитата си срещу цяло семейство заплахи, а не само срещу един единствен случай. Това адаптивно откриване на заплахи означава, че инструментите за сигурност стават по-устойчиви на полиморфен зловреден софтуер, който иначе би се промъкнал.

Освен откриването, генеративният ИИ подпомага анализа на зловреден софтуер и обратното инженерство , които традиционно са трудоемки задачи за анализаторите на заплахи. Моделите с големи езици могат да бъдат натоварени със задачата да изследват подозрителен код или скриптове и да обясняват на разбираем език какво е предназначен да прави кодът. Пример от реалния свят е VirusTotal Code Insight , функция на VirusTotal на Google, която използва генеративен ИИ модел (Sec-PaLM на Google), за да създава обобщения на потенциално злонамерен код на естествен език ( Как може генеративният ИИ да се използва в киберсигурността? 10 примера от реалния свят ). Това е по същество „вид ChatGPT, посветен на кодирането за сигурност“, действащ като ИИ анализатор на зловреден софтуер, който работи 24/7, за да помогне на човешките анализатори да разберат заплахите ( 6 случая на употреба на генеративния ИИ в киберсигурността [+ примери] ). Вместо да се задълбочава в непознат скрипт или двоичен код, член на екипа по сигурността може да получи незабавно обяснение от ИИ – например „Този ​​скрипт се опитва да изтегли файл от XYZ сървър и след това да промени системните настройки, което е показателно за поведението на зловреден софтуер.“ Това драстично ускорява реакцията при инциденти, тъй като анализаторите могат да сортират и разбират новия зловреден софтуер по-бързо от всякога.

Генеративният изкуствен интелект се използва и за локализиране на зловреден софтуер в огромни масиви от данни . Традиционните антивирусни системи сканират файлове за известни сигнатури, но генеративният модел може да оцени характеристиките на файла и дори да предскаже дали е зловреден въз основа на научени модели. Чрез анализ на атрибути на милиарди файлове (злонамерени и доброкачествени), изкуствен интелект може да улови злонамерено намерение, когато не съществува изричен подпис. Например, генеративният модел може да маркира изпълним файл като подозрителен, защото профилът му на поведение „изглежда“ като лека вариация на ransomware, който е видял по време на обучението, въпреки че двоичният файл е нов. Това базирано на поведение откриване помага за противодействие на нов или zero-day зловреден софтуер. Изкуственият интелект Threat Intelligence на Google (част от Chronicle/Mandiant) използва своя генеративен модел, за да анализира потенциално зловреден код и „по-ефективно и ефективно да помага на специалистите по сигурността в борбата със зловреден софтуер и други видове заплахи“. ( Как може генеративният изкуствен интелект да се използва в киберсигурността? 10 примера от реалния свят ).

От друга страна, трябва да признаем, че нападателите могат да използват генеративен ИИ и тук – за да създават автоматично зловреден софтуер, който се адаптира. Всъщност, експертите по сигурността предупреждават, че генеративният ИИ може да помогне на киберпрестъпниците да разработят зловреден софтуер , който е по-труден за откриване ( Какво е генеративен ИИ в киберсигурността? - Palo Alto Networks ). Модел на ИИ може да бъде инструктиран да трансформира многократно даден зловреден софтуер (променяйки файловата му структура, методите за криптиране и т.н.), докато не избегне всички известни антивирусни проверки. Тази враждебна употреба е нарастващ проблем (понякога се нарича „зловреден софтуер, задвижван от ИИ“ или полиморфен зловреден софтуер като услуга). Ще обсъдим тези рискове по-късно, но това подчертава, че генеративният ИИ е инструмент в тази игра на котка и мишка, използван както от защитниците, така и от нападателите.

Като цяло, генеративният изкуствен интелект подобрява защитата от зловреден софтуер, като позволява на екипите по сигурността да мислят като нападател – генерирайки нови заплахи и решения вътрешно. Независимо дали става въпрос за създаване на синтетичен зловреден софтуер за подобряване на процента на откриване или за използване на изкуствен интелект за обяснение и ограничаване на реален зловреден софтуер, открит в мрежи, тези техники се прилагат в различни индустрии. Банка може да използва анализ на зловреден софтуер, базиран на изкуствен интелект, за бързо анализиране на подозрителен макрос в електронна таблица, докато производствена фирма може да разчита на изкуствен интелект за откриване на зловреден софтуер, насочен към индустриални системи за управление. Чрез допълване на традиционния анализ на зловреден софтуер с генеративен изкуствен интелект, организациите могат да реагират на кампании със зловреден софтуер по-бързо и по-проактивно от преди.

Разузнаване на заплахите и автоматизиран анализ

Всеки ден организациите са бомбардирани с данни за заплахи – от новооткрити индикатори за компрометиране (IOC) до аналитични доклади за нововъзникващи хакерски тактики. Предизвикателството пред екипите по сигурност е да пресяват този потоп от информация и да извличат приложими прозрения. Генеративният изкуствен интелект се оказва безценен за автоматизиране на анализа и потреблението на информация за заплахи . Вместо ръчно да четат десетки доклади или записи в базата данни, анализаторите могат да използват изкуствен интелект, за да обобщават и контекстуализират информацията за заплахи със скоростта на машина.

Един конкретен пример е Threat Intelligence , който интегрира генеративен изкуствен интелект (моделът Gemini) с масивите от данни за заплахи на Google от Mandiant и VirusTotal. Този изкуствен интелект предоставя „разговорно търсене в огромното хранилище на Google с информация за заплахи“ , позволявайки на потребителите да задават естествени въпроси за заплахите и да получават децилирани отговори ( Как може генеративният изкуствен интелект да се използва в киберсигурността? 10 примера от реалния свят ). Например, анализатор може да попита: „Виждали ли сме злонамерен софтуер, свързан с Threat Group X, насочен към нашата индустрия?“ и изкуственият интелект ще извлече съответната информация, може би отбелязвайки „Да, Threat Group X беше свързана с фишинг кампания миналия месец, използваща злонамерен софтуер Y“ , заедно с обобщение на поведението на този злонамерен софтуер. Това драстично намалява времето за събиране на информация, което иначе би изисквало заявки към множество инструменти или четене на дълги отчети.

Генеративният ИИ може също така да съпоставя и обобщава тенденциите в заплахите . Той може да прегледа хиляди публикации в блогове за сигурност, новини за пробиви и чат в тъмната мрежа и след това да генерира обобщение на „най-големите киберзаплахи тази седмица“ за брифинг на CISO. Традиционно това ниво на анализ и отчитане изискваше значителни човешки усилия; сега един добре настроен модел може да го изготви за секунди, като хората само прецизират резултата. Компании като ZeroFox са разработили FoxGPT , инструмент за генеративен ИИ, специално проектиран да „ускори анализа и обобщаването на разузнавателна информация в големи набори от данни“, включително злонамерено съдържание и фишинг данни ( Как може генеративният ИИ да се използва в киберсигурността? 10 примера от реалния свят ). Чрез автоматизиране на тежката работа по четене и кръстосано препращане на данни, ИИ позволява на екипите за разузнаване на заплахи да се съсредоточат върху вземането на решения и реагирането.

Друг случай на употреба е търсенето на заплахи чрез разговор . Представете си, че анализатор по сигурността взаимодейства с асистент с изкуствен интелект: „Покажете ми някакви признаци на изтичане на данни през последните 48 часа“ или „Кои са най-новите уязвимости, които атакуващите използват тази седмица?“ Изкуственият интелект може да интерпретира заявката, да търси във вътрешни регистрационни файлове или външни разузнавателни източници и да отговори с ясен отговор или дори списък със съответните инциденти. Това не е пресилено – съвременните системи за управление на информацията за сигурност и събития (SIEM) започват да включват заявки на естествен език. Пакетът за сигурност QRadar на IBM, например, добавя генеративни функции на изкуствен интелект през 2024 г., за да позволи на анализаторите да „задават […] конкретни въпроси за обобщения път на атака“ на даден инцидент и да получават подробни отговори. Той може също така автоматично да „интерпретира и обобщава високо релевантна информация за заплахите“ Как може генеративният изкуствен интелект да се използва в киберсигурността? 10 примера от реалния свят ). По същество генеративният изкуствен интелект превръща планини от технически данни в анализи с размер на чат при поискване.

Това има големи последици в различните индустрии. Доставчик на здравни услуги може да използва изкуствен интелект, за да бъде в течение с най-новите групи за рансъмуер, насочени към болниците, без да е необходимо да се назначава анализатор за пълно работно време за проучване. Ръководителят на отдела за сигурност (SOC) на компания за търговия на дребно може бързо да обобщи новите тактики за злонамерен софтуер на POS терминали, когато инструктира ИТ персонала на магазина. А в правителствените структури, където данните за заплахите от различни агенции трябва да бъдат синтезирани, изкуственият интелект може да генерира унифицирани отчети, подчертаващи ключовите предупреждения. Чрез автоматизиране на събирането и интерпретацията на информация за заплахите , генеративният изкуствен интелект помага на организациите да реагират по-бързо на нововъзникващи заплахи и намалява риска от пропускане на критични предупреждения, скрити в шума.

Оптимизация на центъра за операции по сигурност (SOC)

Центровете за операции по сигурност са известни с умората от тревоги и огромния обем данни. Типичен анализатор в SOC може да преглежда хиляди сигнали и събития всеки ден, разследвайки потенциални инциденти. Генеративният изкуствен интелект действа като умножител на силата в SOC, като автоматизира рутинната работа, предоставя интелигентни обобщения и дори оркестрира някои отговори. Целта е да се оптимизират работните процеси в SOC, така че човешките анализатори да могат да се съсредоточат върху най-критичните проблеми, докато вторият пилот с изкуствен интелект се занимава с останалото.

Едно от основните приложения е използването на генеративния изкуствен интелект като „копилот на анализатора“ . Security Copilot на Microsoft, споменат по-рано, е пример за това: той „е проектиран да подпомага работата на анализатора по сигурността, а не да я замества“, помагайки при разследвания и докладване на инциденти ( Microsoft Security Copilot е нов GPT-4 AI асистент за киберсигурност | The Verge ). На практика това означава, че анализаторът може да въведе сурови данни – регистрационни файлове на защитната стена, времева линия на събитията или описание на инцидента – и да помоли изкуствения интелект да ги анализира или обобщи. Копилотът може да изведе разказ като: „Изглежда, че в 2:35 ч. сутринта е имало подозрително влизане от IP адрес X на сървър Y, последвано от необичайни трансфери на данни, което показва потенциално нарушение на този сървър.“ Този вид незабавна контекстуализация е безценна, когато времето е от съществено значение.

Копилотите с изкуствен интелект също помагат за намаляване на натоварването от триаж на ниво 1. Според данни от индустрията, екип по сигурността може да прекарва 15 часа седмично само в сортиране на около 22 000 сигнала и фалшиво положителни резултати ( 6 случая на употреба на генеративен изкуствен интелект в киберсигурността [+ примери] ). С генеративния изкуствен интелект много от тези сигнали могат да бъдат автоматично триажирани – изкуственият интелект може да отхвърли тези, които са очевидно безобидни (с дадена обосновка) и да подчертае тези, които наистина се нуждаят от внимание, понякога дори да предложи приоритет. Всъщност, силата на генеративния изкуствен интелект в разбирането на контекста означава, че той може да прави кръстосана корелация на сигнали, които може да изглеждат безобидни поотделно, но заедно показват многоетапна атака. Това намалява вероятността от пропускане на атака поради „умора от сигнали“.

Анализаторите на SOC също използват естествен език с изкуствен интелект, за да ускорят търсенето и разследванията. Purple AI , например, комбинира интерфейс, базиран на LLM, с данни за сигурност в реално време, което позволява на анализаторите да „задават сложни въпроси за търсене на заплахи на разбираем английски език и да получават бързи и точни отговори“ ( Как може генеративният изкуствен интелект да се използва в киберсигурността? 10 примера от реалния свят ). Анализатор може да напише: „Комуниквали ли са крайни точки с домейн badguy123[.]com през последния месец?“ и Purple AI ще търси в регистрационни файлове, за да отговори. Това спестява на анализатора писането на заявки към база данни или скриптове – изкуственият интелект го прави „под капака“. Това също така означава, че младшите анализатори могат да се справят със задачи, които преди са изисквали опитен инженер, умел в езиците за заявки, като по този начин ефективно повишават квалификацията на екипа чрез помощта на изкуствен интелект . Всъщност, анализаторите съобщават, че насоките, предоставяни от генеративния изкуствен интелект, „повишава техните умения и компетентност“ , тъй като младшите служители вече могат да получават поддръжка за кодиране или съвети за анализ от изкуствения интелект при поискване, което намалява зависимостта от постоянното искане на помощ от старши членове на екипа ( 6 случая на употреба на генеративния изкуствен интелект в киберсигурността [+ примери] ).

Друга оптимизация на SOC е автоматизираното обобщаване и документиране на инциденти . След като инцидентът бъде обработен, някой трябва да напише доклада – задача, която мнозина намират за досадна. Генеративният изкуствен интелект може да вземе криминалистичните данни (системни лог файлове, анализ на зловреден софтуер, времева линия на действията) и да генерира първи проект на доклад за инцидента. IBM вгражда тази възможност в QRadar, така че с „едно щракване“ да може да се създаде обобщение на инцидента за различни заинтересовани страни (ръководители, ИТ екипи и др.) ( Как може генеративният изкуствен интелект да се използва в киберсигурността? 10 примера от реалния свят ). Това не само спестява време, но и гарантира, че нищо не е пропуснато в доклада, тъй като изкуственият интелект може да включва всички съответни подробности последователно. По същия начин, за съответствие и одит, изкуственият интелект може да попълва формуляри или таблици с доказателства въз основа на данни за инцидентите.

Резултатите от реалния свят са убедителни. Ранните потребители на SOAR (оркестрация, автоматизация и реагиране на сигурността), задвижвана от изкуствен интелект, на Swimlane отчитат огромно повишаване на производителността – например, Global Data Systems видяха екипа си по SecOps да управлява много по-голямо натоварване от случаи; един директор каза, че „това, което правя днес със 7 анализатори, вероятно би отнело 20 служители без“ автоматизацията, задвижвана от изкуствен интелект ( Как може генеративният изкуствен интелект да се използва в киберсигурността ). С други думи, изкуственият интелект в SOC може да умножи капацитета . В различните индустрии, независимо дали става въпрос за технологична компания, занимаваща се с предупреждения за сигурност в облака, или за производствен завод, наблюдаващ OT системи, екипите на SOC могат да постигнат по-бързо откриване и реагиране, по-малко пропуснати инциденти и по-ефективни операции, като възприемат генеративни асистенти с изкуствен интелект. Става въпрос за по-интелигентна работа – позволяване на машините да се справят с повтарящите се и тежки от данни задачи, така че хората да могат да прилагат своята интуиция и експертиза там, където е най-важно.

Управление на уязвимостите и симулация на заплахи

Идентифицирането и управлението на уязвимости – слабости в софтуера или системите, които нападателите биха могли да използват – е основна функция на киберсигурността. Генеративният изкуствен интелект подобрява управлението на уязвимостите, като ускорява откриването, помага за приоритизиране на корекциите и дори симулира атаки срещу тези уязвимости, за да подобри подготвеността. По същество изкуственият интелект помага на организациите да откриват и отстраняват пропуските в своята броня по-бързо и проактивно да тестват защитите, преди истинските нападатели да го направят.

Едно важно приложение е използването на генеративен ИИ за автоматизиран преглед на код и откриване на уязвимости . Големите кодови бази (особено наследените системи) често крият пропуски в сигурността, които остават незабелязани. Моделите на генеративен ИИ могат да бъдат обучени върху практики за сигурно кодиране и често срещани модели на грешки, след което да бъдат приложени към изходния код или компилирани двоични файлове, за да се открият потенциални уязвимости. Например, изследователи на NVIDIA разработиха конвейер на генеративен ИИ, който може да анализира контейнери със наследен софтуер и да идентифицира уязвимости „с висока точност — до 4 пъти по-бързо от човешките експерти“. ( 6 случая на употреба на генеративен ИИ в киберсигурността [+ примери] ). ИИ по същество научи как изглежда несигурният код и успя да сканира софтуер на десетилетия, за да маркира рискови функции и библиотеки, като значително ускори нормално бавния процес на ръчен одит на код. Този вид инструмент може да промени играта за индустрии като финанси или правителство, които разчитат на големи, по-стари кодови бази – ИИ помага за модернизирането на сигурността, като открива проблеми, които на персонала може да му отнемат месеци или години, за да ги открие (ако изобщо).

Генеративният ИИ също така подпомага работните процеси за управление на уязвимостите, като обработва резултатите от сканирането за уязвимости и ги приоритизира. Инструменти като ExposureAI използват генеративен ИИ, за да позволят на анализаторите да заявяват данни за уязвимости на разбираем език и да получават незабавни отговори ( Как може генеративният ИИ да се използва в киберсигурността? 10 примера от реалния свят ). ExposureAI може да „обобщи пълния път на атаката в разказ“ за дадена критична уязвимост, обяснявайки как атакуващият може да я свърже с други слабости, за да компрометира система. Той дори препоръчва действия за отстраняване и отговаря на последващи въпроси относно риска. Това означава, че когато бъде обявена нова критична CVE (често срещани уязвимости и експозиции), анализатор може да попита ИИ: „Засегнати ли са някои от нашите сървъри от тази CVE и какъв е най-лошият сценарий, ако не ги закърпим?“ и да получи ясна оценка, изготвена от собствените данни от сканирането на организацията. Чрез контекстуализиране на уязвимостите (например тази е изложена на интернет и е на сървър с висока стойност, така че е с основен приоритет), генеративният ИИ помага на екипите да ги закърпват интелигентно с ограничени ресурси.

В допълнение към откриването и управлението на известни уязвимости, генеративният ИИ допринася за тестовете за проникване и симулацията на атаки – по същество открива неизвестни уязвимости или тества контролите за сигурност. Генеративните състезателни мрежи (GAN), вид генеративен ИИ, са използвани за създаване на синтетични данни, които имитират реален мрежов трафик или потребителско поведение, което може да включва скрити модели на атака. Проучване от 2023 г. предлага използването на GAN за генериране на реалистичен трафик от атаки с нулев ден за обучение на системи за откриване на прониквания ( 6 случая на употреба на генеративен ИИ в киберсигурността [+ примери] ). Чрез захранване на IDS със сценарии за атака, създадени от ИИ (които не рискуват да използват действителен зловреден софтуер в производствени мрежи), организациите могат да обучават своите защити да разпознават нови заплахи, без да чакат да бъдат засегнати от тях в действителност. По подобен начин ИИ може да симулира атакуващ, който сондира система – например, автоматично изпробва различни техники за експлоатация в безопасна среда, за да види дали някоя от тях ще успее. Агенцията за напреднали изследователски проекти в областта на отбраната на САЩ (DARPA) вижда обещаващо нещо тук: нейното състезание за киберсигурност с изкуствен интелект за 2023 г. изрично използва генеративен изкуствен интелект (като модели на големи езици), за да „автоматично открива и отстранява уязвимости в софтуер с отворен код“ като част от състезание ( DARPA има за цел да разработва приложения за изкуствен интелект и автономност, на които бойците могат да се доверят > Министерство на отбраната на САЩ > Новини от Министерството на отбраната ). Тази инициатива подчертава, че изкуственият интелект не само помага за закърпване на известни пропуски; той активно открива нови и предлага решения, задача, традиционно ограничена до квалифицирани (и скъпи) изследователи по сигурността.

Генеративният изкуствен интелект може дори да създава интелигентни „honeypots“ и цифрови близнаци за защита. Стартъп компаниите разработват системи за примамки, управлявани от изкуствен интелект, които убедително емулират реални сървъри или устройства. Както обясни един изпълнителен директор, генеративният изкуствен интелект може да „клонира цифрови системи, за да имитира истински и да примамва хакери“ ( 6 случая на употреба на генеративен изкуствен интелект в киберсигурността [+ примери] ). Тези генерирани от изкуствен интелект „honeypots“ се държат като реална среда (например фалшиво IoT устройство, изпращащо нормална телеметрия), но съществуват единствено, за да привличат нападатели. Когато нападателят се насочи към примамката, изкуственият интелект по същество го е подмамил да разкрие методите си, които защитниците могат след това да изучат и използват, за да подсилят реалните системи. Тази концепция, задвижвана от генеративно моделиране, предоставя далновиден начин за обръщане на играта срещу нападателите , използвайки измама, подобрена от изкуствен интелект.

В различните индустрии, по-бързото и по-интелигентно управление на уязвимостите означава по-малко пробиви. В здравеопазването, например, изкуственият интелект може бързо да открие уязвима остаряла библиотека в медицинско устройство и да подтикне към корекция на фърмуера, преди някой нападател да я използва. В банковото дело изкуственият интелект може да симулира вътрешна атака срещу ново приложение, за да гарантира, че данните на клиентите остават в безопасност при всички сценарии. По този начин генеративният изкуствен интелект действа едновременно като микроскоп и стрес-тестер за сигурността на организациите: той осветява скрити недостатъци и оказва натиск върху системите по изобретателни начини, за да осигури устойчивост.

Сигурно генериране на код и разработка на софтуер

Талантите на генеративния изкуствен интелект не се ограничават само до откриване на атаки – те се простират и до създаването на по-сигурни системи от самото начало . В разработката на софтуер, генераторите на код с изкуствен интелект (като GitHub Copilot, OpenAI Codex и др.) могат да помогнат на разработчиците да пишат код по-бързо, като предлагат фрагменти от код или дори цели функции. Аспектът на киберсигурността е да се гарантира, че тези предложени от изкуствен интелект части от код са сигурни и да се използва изкуствен интелект за подобряване на практиките за кодиране.

От една страна, генеративният изкуствен интелект може да действа като асистент за кодиране, който вгражда най-добрите практики за сигурност . Разработчиците могат да зададат команда за инструмент с изкуствен интелект „Генерирайте функция за нулиране на парола в Python“ и в идеалния случай да получат обратно код, който е не само функционален, но и следва указанията за сигурност (напр. правилна проверка на входа, регистриране, обработка на грешки без изтичане на информация и др.). Такъв асистент, обучен на обширни примери за защитен код, може да помогне за намаляване на човешките грешки, които водят до уязвимости. Например, ако разработчик забрави да дезинфекцира потребителския вход (отваряйки вратата за SQL инжектиране или подобни проблеми), изкуственият интелект може или да включи това по подразбиране, или да го предупреди. Някои инструменти за кодиране с изкуствен интелект сега се настройват с данни, фокусирани върху сигурността, за да служат точно на тази цел – по същество изкуственият интелект съчетава програмиране със съзнание за сигурност .

Има обаче и обратна страна: генеративният ИИ може също толкова лесно да въведе уязвимости, ако не се управлява правилно. Както отбеляза експертът по сигурността на Sophos Бен Вершаерен, използването на генеративен ИИ за кодиране е „подходящо за кратък, проверим код, но рисковано, когато непроверен код се интегрира“ в производствените системи. Рискът е, че ИИ може да създаде логически правилен код, който е несигурен по начини, които неексперт може да не забележи. Освен това, злонамерени лица биха могли умишлено да повлияят на публичните модели на ИИ, като ги залеят с уязвими модели на код (форма на отравяне на данни), така че ИИ да предложи несигурен код. Повечето разработчици не са експерти по сигурността , така че ако ИИ предложи удобно решение, те биха могли да го използват на сляпо, без да осъзнават, че има недостатък ( 6 случая на употреба на генеративен ИИ в киберсигурността [+ примери] ). Това безпокойство е реално – всъщност вече има списък с топ 10 на OWASP за LLM (модели с големи езици), който очертава често срещани рискове като този при използването на ИИ за кодиране.

За да се противодейства на тези проблеми, експертите предлагат „борба с генеративния ИИ с генеративен ИИ“ в сферата на кодирането. На практика това означава използване на ИИ за преглед и тестване на код , написан от друг ИИ (или хора). ИИ може да сканира новите кодови коммити много по-бързо от човек, който проверява код, и да маркира потенциални уязвимости или логически проблеми. Вече виждаме появата на инструменти, които се интегрират в жизнения цикъл на разработка на софтуер: кодът се пише (вероятно с помощта на ИИ), след което генеративен модел, обучен на принципите на защитения код, го преглежда и генерира отчет за всякакви проблеми (например, използване на остарели функции, липсващи проверки за удостоверяване и др.). Изследването на NVIDIA, споменато по-рано, което постигна 4 пъти по-бързо откриване на уязвимости в кода, е пример за използване на ИИ за сигурен анализ на код ( 6 случая на употреба за генеративен ИИ в киберсигурността [+ примери] ).

Освен това, генеративният изкуствен интелект може да помогне за създаването на сигурни конфигурации и скриптове . Например, ако една компания трябва да внедри защитена облачна инфраструктура, инженер може да помоли изкуствен интелект да генерира конфигурационните скриптове (инфраструктура като код) с вградени контроли за сигурност (като правилна сегментация на мрежата, IAM роли с най-малко привилегии). След като е обучен на хиляди такива конфигурации, изкуственият интелект може да създаде базова линия, която инженерът след това да настройва фино. Това ускорява сигурната настройка на системите и намалява грешките от неправилна конфигурация – често срещан източник на инциденти със сигурността в облака.

Някои организации използват генеративен изкуствен интелект, за да поддържат база от знания за сигурни модели на кодиране. Ако разработчикът не е сигурен как да внедри определена функция сигурно, той може да направи запитване до вътрешен изкуствен интелект, който се е учил от минали проекти и насоки за сигурност на компанията. Изкуственият интелект може да върне препоръчителен подход или дори фрагмент от код, който е в съответствие както с функционалните изисквания, така и със стандартите за сигурност на компанията. Този подход се използва от инструменти като Questionnaire Automation на Secureframe , който извлича отговори от политиките на компанията и минали решения, за да осигури последователни и точни отговори (по същество генерирайки сигурна документация) ( Как може генеративният изкуствен интелект да се използва в киберсигурността? 10 примера от реалния свят ). Концепцията се превежда като кодиране: изкуствен интелект, който „помни“ как сте внедрили нещо сигурно преди и ви насочва да го направите по същия начин отново.

В обобщение, генеративният изкуствен интелект (ИИ) влияе върху разработването на софтуер, като прави помощта за сигурно кодиране по-достъпна . Индустриите, които разработват много персонализиран софтуер – технологии, финанси, отбрана и др. – могат да се възползват от наличието на ИИ помощници, които не само ускоряват кодирането, но и действат като постоянно бдителни проверяващи сигурността. Когато са правилно управлявани, тези ИИ инструменти могат да намалят въвеждането на нови уязвимости и да помогнат на екипите за разработка да се придържат към най-добрите практики, дори ако екипът няма експерт по сигурността, участващ на всяка стъпка. Резултатът е софтуер, който е по-устойчив на атаки от първия ден.

Поддръжка при инциденти

Когато възникне инцидент със сигурността в киберсигурността – независимо дали става въпрос за разпространение на зловреден софтуер, нарушение на данни или прекъсване на системата в резултат на атака – времето е от решаващо значение. Генеративният изкуствен интелект се използва все по-често в подкрепа на екипите за реагиране при инциденти (IR) при по-бързото им ограничаване и отстраняване на инциденти с повече информация на разположение. Идеята е, че изкуственият интелект може да поеме част от разследващата и документираща тежест по време на инцидент и дори да предложи или автоматизира някои действия за реагиране.

Една ключова роля на ИИ в IR е анализът и обобщаването на инциденти в реално време . По време на инцидент, реагиращите може да се нуждаят от отговори на въпроси като „Как е влязъл нападателят?“ , „Кои системи са засегнати?“ и „Какви данни може да са компрометирани?“ . ​​Генеративният ИИ може да анализира регистрационни файлове, предупреждения и криминалистични данни от засегнатите системи и бързо да предоставя аналитична информация. Например, Microsoft Security Copilot позволява на реагиращия при инциденти да предостави различни доказателства (файлове, URL адреси, регистрационни файлове на събития) и да поиска времева линия или обобщение ( Microsoft Security Copilot е нов GPT-4 ИИ асистент за киберсигурност | The Verge ). ИИ може да отговори с: „Нарушението вероятно е започнало с фишинг имейл до потребителя JohnDoe в 10:53 GMT, съдържащ злонамерен софтуер X. След като се изпълни, злонамереният софтуер създаде задна врата, която беше използвана два дни по-късно, за да се премести странично към финансовия сървър, където събра данни.“ Наличието на тази последователна картина за минути, а не за часове, позволява на екипа да взема информирани решения (като например кои системи да изолира) много по-бързо.

Генеративният ИИ може също да предлага действия за ограничаване и отстраняване . Например, ако крайна точка е заразена с ransomware, инструмент с ИИ може да генерира скрипт или набор от инструкции за изолиране на тази машина, деактивиране на определени акаунти и блокиране на известни злонамерени IP адреси на защитната стена – по същество изпълнение по сценарий. Palo Alto Networks отбелязва, че генеративният ИИ е способен да „генерира подходящи действия или скриптове въз основа на естеството на инцидента“ , автоматизирайки първоначалните стъпки за реагиране ( Какво е генеративен ИИ в киберсигурността? - Palo Alto Networks ). В сценарий, при който екипът по сигурността е претоварен (например широко разпространена атака върху стотици устройства), ИИ може дори директно да изпълни някои от тези действия при предварително одобрени условия, действайки като младши реагиращ, който работи неуморно. Например, агент с ИИ може автоматично да нулира идентификационните данни, които счита за компрометирани, или да постави под карантина хостове, които проявяват злонамерена активност, съответстваща на профила на инцидента.

По време на реагиране при инциденти, комуникацията е жизненоважна – както в екипа, така и със заинтересованите страни. Генеративният изкуствен интелект може да помогне, като изготвя доклади или брифинги за актуализации на инциденти в движение . Вместо инженер да спира отстраняването на неизправности, за да напише актуализация по имейл, той може да помоли изкуствения интелект: „Обобщете какво се е случило при този инцидент досега, за да информирате ръководителите.“ След като е получил данните за инцидента, изкуственият интелект може да създаде кратко обобщение: „Към 15:00 часа нападателите са получили достъп до 2 потребителски акаунта и 5 сървъра. Засегнатите данни включват клиентски записи в базата данни X. Мерки за ограничаване: VPN достъпът за компрометирани акаунти е отменен, а сървърите са изолирани. Следващи стъпки: сканиране за механизми за запазване.“ След това отговарящият може бързо да провери или коригира това и да го изпрати, като гарантира, че заинтересованите страни са информирани с точна и актуална информация.

След като прахът се уталожи, обикновено се подготвя подробен доклад за инцидента и се събират извлечени поуки. Това е друга област, в която поддръжката на изкуствен интелект блести. Тя може да прегледа всички данни за инцидента и да генерира доклад след инцидента, обхващащ първопричината, хронологията, въздействието и препоръките. IBM, например, интегрира генеративен изкуствен интелект, за да създава „прости обобщения на случаи на сигурност и инциденти, които могат да бъдат споделени със заинтересованите страни“ с натискане на един бутон ( Как може генеративният изкуствен интелект да се използва в киберсигурността? 10 примера от реалния свят ). Чрез рационализиране на отчитането след действия, организациите могат по-бързо да внедрят подобрения и също така да имат по-добра документация за целите на съответствието.

Едно иновативно, ориентирано към бъдещето приложение са симулациите на инциденти, управлявани от изкуствен интелект . Подобно на начина, по който може да се проведе противопожарно учение, някои компании използват генеративен изкуствен интелект, за да преминат през сценарии за инциденти от типа „какво би станало, ако“. Изкуственият интелект може да симулира как може да се разпространи ransomware, като се има предвид оформлението на мрежата, или как вътрешен човек може да измъкне данни, и след това да оцени ефективността на текущите планове за реагиране. Това помага на екипите да подготвят и усъвършенстват тактиките, преди да възникне реален инцидент. Все едно имате постоянно подобряващ се съветник за реагиране при инциденти, който постоянно тества вашата готовност.

В индустрии с висок залог като финансите или здравеопазването, където прекъсванията или загубата на данни от инциденти са особено скъпи, тези възможности за реагиране при инциденти, базирани на изкуствен интелект, са много привлекателни. Болница, преживяла киберинцидент, не може да си позволи продължителни прекъсвания на системата – изкуствен интелект, който бързо помага за ограничаването на инцидента, може буквално да спаси живот. По подобен начин финансова институция може да използва изкуствен интелект, за да се справи с първоначалната сортировка на предполагаемо проникване с цел измама в 3 часа сутринта, така че докато дежурните хора са онлайн, голяма част от подготовката (излизане от засегнатите акаунти, блокиране на транзакции и др.) вече да е свършена. Чрез допълване на екипите за реагиране при инциденти с генеративен изкуствен интелект , организациите могат значително да намалят времето за реакция и да подобрят цялостността на обработката им, като в крайна сметка смекчат щетите от киберинциденти.

Поведенчески анализ и откриване на аномалии

Много кибератаки могат да бъдат засечени, като се забележи, когато нещо се отклонява от „нормалното“ поведение – независимо дали става въпрос за потребителски акаунт, който изтегля необичайно количество данни, или за мрежово устройство, което внезапно комуникира с непознат хост. Генеративният изкуствен интелект предлага усъвършенствани техники за поведенчески анализ и откриване на аномалии , изучавайки нормалните модели на потребителите и системите и след това сигнализирайки, когато нещо изглежда нередно.

Традиционното откриване на аномалии често използва статистически прагове или просто машинно обучение върху специфични показатели (пикове в използването на процесора, влизане в необичайни часове и др.). Генеративният изкуствен интелект може да задълбочи това, като създаде по-нюансирани профили на поведение. Например, модел на изкуствен интелект може да поеме данните за влизане, моделите за достъп до файлове и навиците за имейл на служител с течение на времето и да формира многоизмерно разбиране за „нормалното“ на този потребител. Ако този акаунт по-късно направи нещо драстично извън нормата си (като влизане от нова държава и достъп до множество HR файлове в полунощ), изкуственият интелект ще открие отклонение не само по един показател, а като цялостен модел на поведение, който не отговаря на профила на потребителя. В технически план, генеративните модели (като автоенкодери или последователни модели) могат да моделират как изглежда „нормалното“ и след това да генерират очакван диапазон на поведение. Когато реалността излезе извън този диапазон, тя се маркира като аномалия ( Какво е генеративен изкуствен интелект в киберсигурността? - Palo Alto Networks ).

Едно практическо приложение е в мониторинга на мрежовия трафик . Според проучване от 2024 г., 54% от американските организации посочват мониторинга на мрежовия трафик като основен случай на употреба на ИИ в киберсигурността ( Северна Америка: най-добри случаи на употреба на ИИ в киберсигурността в световен мащаб през 2024 г. ). Генеративният ИИ може да научи нормалните модели на комуникация в мрежата на предприятието – кои сървъри обикновено общуват помежду си, какви обеми данни се преместват през работно време в сравнение с нощта и т.н. Ако атакуващ започне да извлича данни от сървър, дори бавно, за да избегне откриване, система, базирана на ИИ, може да забележи, че „Сървър А никога не изпраща 500MB данни в 2 часа сутринта към външен IP адрес“ и да подаде предупреждение. Тъй като ИИ не използва само статични правила, а развиващ се модел на мрежово поведение, той може да улови фини аномалии, които статичните правила (като „предупреждение, ако данните > X MB“) биха могли да пропуснат или погрешно да маркират. Тази адаптивна природа е това, което прави откриването на аномалии, управлявано от ИИ, мощно в среди като мрежи за банкови транзакции, облачна инфраструктура или паркове от IoT устройства, където дефинирането на фиксирани правила за нормално спрямо ненормално е изключително сложно.

Генеративният изкуствен интелект помага и с анализа на потребителското поведение (UBA) , който е ключов за откриване на вътрешни заплахи или компрометирани акаунти. Чрез генериране на базова линия за всеки потребител или обект, изкуственият интелект може да открива неща като злоупотреба с идентификационни данни. Например, ако Боб от счетоводството внезапно започне да прави заявки към базата данни за клиенти (нещо, което никога преди не е правил), моделът на изкуствения интелект за поведението на Боб ще маркира това като необичайно. Възможно е да не е зловреден софтуер – може да става въпрос за кражба на идентификационните данни на Боб и тяхното използване от нападател или за сондиране там, където не би трябвало. Така или иначе, екипът по сигурността получава предупреждение за разследване. Такива UBA системи, управлявани от изкуствен интелект, съществуват в различни продукти за сигурност, а техниките за генеративно моделиране повишават тяхната точност и намаляват фалшивите аларми, като вземат предвид контекста (може би Боб е по специален проект и т.н., което изкуственият интелект понякога може да заключи от други данни).

В сферата на управлението на идентичността и достъпа, откриването на deepfake-ове е нарастваща нужда – генеративният изкуствен интелект може да създава синтетични гласове и видеоклипове, които заблуждават биометричната сигурност. Интересното е, че генеративният изкуствен интелект може също да помогне за откриването на тези deepfake-ове, като анализира фини артефакти в аудио или видео, които са трудни за забелязване от хората. Видяхме пример с Accenture, която използва генеративен изкуствен интелект, за да симулира безброй изражения на лицето и условия, за да обучи своите биометрични системи да различават реални потребители от генерирани от изкуствен интелект deepfake-ове. В продължение на пет години този подход помогна на Accenture да елиминира паролите за 90% от своите системи (преминавайки към биометрия и други фактори) и да намали атаките с 60% ( 6 случая на употреба на генеративен изкуствен интелект в киберсигурността [+ примери] ). По същество те използваха генеративен изкуствен интелект, за да засилят биометричното удостоверяване, правейки го устойчиво срещу генеративни атаки (чудесна илюстрация на борбата на изкуствения интелект с изкуствения интелект). Този вид поведенческо моделиране – в този случай разпознаване на разликата между живо човешко лице и синтезирано от изкуствен интелект – е от решаващо значение, тъй като разчитаме все повече на изкуствен интелект при удостоверяването.

Откриването на аномалии, задвижвано от генеративен изкуствен интелект, е приложимо в различни индустрии: в здравеопазването, наблюдение на поведението на медицински устройства за признаци на хакерство; във финансите, наблюдение на търговски системи за нередовни модели, които биха могли да показват измама или алгоритмична манипулация; в енергетиката/комуналните услуги, наблюдение на сигнали от контролните системи за признаци на прониквания. Комбинацията от широта (разглеждане на всички аспекти на поведението) и дълбочина (разбиране на сложни модели) , която предоставя генеративният изкуствен интелект, го прави мощен инструмент за забелязване на индикаторите за киберинцидент тип „игла в купа сено“. Тъй като заплахите стават все по-скрити, скрити сред нормалните операции, тази способност за точно характеризиране на „нормалното“ и сигнализиране, когато нещо се отклонява, става жизненоважна. По този начин генеративният изкуствен интелект служи като неуморен страж, който винаги се учи и актуализира определението си за нормалност, за да е в крак с промените в средата и да предупреждава екипите по сигурността за аномалии, които заслужават по-внимателна проверка.

Възможности и ползи от генеративния изкуствен интелект в киберсигурността

Приложението на генеративния изкуствен интелект в киберсигурността носи множество възможности и ползи за организациите, желаещи да възприемат тези инструменти. По-долу обобщаваме ключовите предимства, които правят генеративния изкуствен интелект убедително допълнение към програмите за киберсигурност:

• По-бързо откриване и реагиране на заплахи: Системите с генеративен изкуствен интелект могат да анализират огромни количества данни в реално време и да разпознават заплахите много по-бързо от ръчния човешки анализ. Това предимство в скоростта означава по-ранно откриване на атаки и по-бързо ограничаване на инциденти. На практика, мониторингът на сигурността, управляван от изкуствен интелект, може да улови заплахи, чието съпоставяне на инциденти би отнело на хората много повече време. Чрез своевременна реакция на инциденти (или дори автономно изпълнение на първоначални отговори), организациите могат драстично да намалят времето на престой на нападателите в своите мрежи, минимизирайки щетите.

• Подобрена точност и покритие на заплахите: Тъй като непрекъснато се учат от нови данни, генеративните модели могат да се адаптират към развиващите се заплахи и да улавят по-фини признаци на злонамерена дейност. Това води до подобрена точност на откриване (по-малко фалшиви отрицателни и фалшиви положителни резултати) в сравнение със статичните правила. Например, изкуствен интелект, който е научил отличителните белези на фишинг имейл или поведение на зловреден софтуер, може да идентифицира варианти, които никога преди не са били виждани. Резултатът е по-широко покритие на типовете заплахи – включително нови атаки – укрепвайки цялостната сигурност. Екипите по сигурност също така получават подробна информация от анализа на ИИ (напр. обяснения за поведението на зловреден софтуер), което позволява по-прецизна и целенасочена защита ( Какво е генеративен ИИ в киберсигурността? - Palo Alto Networks ).

• Автоматизация на повтарящи се задачи: Генеративният изкуствен интелект се справя отлично с автоматизирането на рутинни, трудоемки задачи за сигурност – от преглеждане на регистрационни файлове и съставяне на отчети до писане на скриптове за реагиране при инциденти. Тази автоматизация намалява натоварването на човешките анализатори , освобождавайки ги да се съсредоточат върху стратегията на високо ниво и сложния процес на вземане на решения ( Какво е генеративен изкуствен интелект в киберсигурността? - Palo Alto Networks ). Ежедневни, но важни задачи като сканиране на уязвимости, одит на конфигурации, анализ на потребителската активност и отчитане на съответствието могат да бъдат обработени (или поне първоначално изготвени) от изкуствен интелект. Като обработва тези задачи с машинна скорост, изкуственият интелект не само подобрява ефективността, но и намалява човешките грешки (значителен фактор при нарушенията).

• Проактивна защита и симулация: Генеративният изкуствен интелект позволява на организациите да преминат от реактивна към проактивна сигурност. Чрез техники като симулация на атаки, генериране на синтетични данни и обучение, базирано на сценарии, защитниците могат да предвиждат и да се подготвят за заплахи, преди те да се материализират в реалния свят. Екипите по сигурността могат да симулират кибератаки (фишинг кампании, огнища на зловреден софтуер, DDoS и др.) в безопасна среда, за да тестват своите реакции и да укрепят всички слабости. Това непрекъснато обучение, което често е невъзможно да се извърши старателно само с човешки усилия, поддържа защитните системи остри и актуални. Подобно е на кибер „пожарно учение“ – изкуственият интелект може да хвърли много хипотетични заплахи към вашата защита, за да можете да практикувате и да се усъвършенствате.

• Увеличаване на човешкия опит (ИИ като умножител на силата): Генеративният ИИ действа като неуморен младши анализатор, съветник и асистент, взети в едно. Той може да предостави на по-малко опитните членове на екипа насоки и препоръки, които обикновено се очакват от опитни експерти, като ефективно демократизира експертизата в целия екип ( 6 случая на употреба на генеративния ИИ в киберсигурността [+ примери] ). Това е особено ценно, като се има предвид недостигът на таланти в киберсигурността – ИИ помага на по-малките екипи да правят повече с по-малко. Опитните анализатори, от друга страна, се възползват от това, че ИИ се справя с тежка работа и извлича неочевидни прозрения, които след това могат да валидират и да действат. Крайният резултат е екип по сигурността, който е много по-продуктивен и способен, като ИИ усилва въздействието на всеки човешки член ( Как може да се използва генеративният ИИ в киберсигурността ).

• Подобрена поддръжка на решения и отчитане: Чрез превеждане на технически данни на естествен език, генеративният изкуствен интелект подобрява комуникацията и вземането на решения. Ръководителите по сигурността получават по-ясна видимост върху проблемите чрез генерирани от изкуствен интелект обобщения и могат да вземат информирани стратегически решения, без да е необходимо да анализират суровите данни. По подобен начин, междуфункционалната комуникация (с ръководители, служители по съответствието и др.) се подобрява, когато изкуственият интелект подготвя лесни за разбиране отчети за състоянието на сигурността и инцидентите ( Как може генеративният изкуствен интелект да се използва в киберсигурността? 10 примера от реалния свят ). Това не само изгражда доверие и съгласуваност по въпросите на сигурността на лидерско ниво, но и помага за оправдаване на инвестициите и промените чрез ясно артикулиране на рисковете и откритите от изкуствен интелект пропуски.

В комбинация, тези предимства означават, че организациите, използващи генеративен ИИ в киберсигурността, могат да постигнат по-силна позиция в областта на сигурността с потенциално по-ниски оперативни разходи. Те могат да реагират на заплахи, които преди това са били огромни, да покрият пропуски, които са останали ненаблюдавани, и непрекъснато да се подобряват чрез обратна връзка, задвижвана от ИИ. В крайна сметка, генеративният ИИ предлага шанс да се изпревари противникът, като се съчетаят скоростта, мащабът и сложността на съвременните атаки с еднакво сложни защити. Както установи едно проучване, над половината от бизнес и кибер лидерите очакват по-бързо откриване на заплахи и повишена точност чрез използването на генеративен ИИ ( [PDF] Global Cybersecurity Outlook 2025 | World Economic Forum ) ( Generative AI in Cybersecurity: A Comprehensive Review of LLM ... ) – доказателство за оптимизма около ползите от тези технологии.

Рискове и предизвикателства от използването на генеративен изкуствен интелект в киберсигурността

Въпреки че възможностите са значителни, от решаващо значение е да се подходи към генеративния изкуствен интелект в киберсигурността с отворени очи за рискове и предизвикателства . Сляпото доверие в изкуствения интелект или злоупотребата с него може да доведе до нови уязвимости. По-долу очертаваме основните проблеми и капани, заедно с контекста за всеки от тях:

• Противническо използване от киберпрестъпниците: Същите генеративни възможности, които помагат на защитниците, могат да дадат възможност на нападателите. Актьорите, създаващи заплахи, вече използват генеративен ИИ, за да създават по-убедителни фишинг имейли, да създават фалшиви персони и фалшиви видеоклипове за социално инженерство, да разработват полиморфен зловреден софтуер, който постоянно се променя, за да избегне откриването, и дори да автоматизират аспекти на хакерството ( Какво е генеративен ИИ в киберсигурността? - Palo Alto Networks ). Близо половината (46%) от лидерите в киберсигурността са загрижени, че генеративният ИИ ще доведе до по-напреднали враждебни атаки ( Генеративна сигурност с ИИ: Тенденции, заплахи и стратегии за смекчаване ). Тази „надпревара във въоръжаването с ИИ“ означава, че когато защитниците възприемат ИИ, нападателите няма да изостават (всъщност те може да са напред в някои области, използвайки нерегулирани инструменти с ИИ). Организациите трябва да бъдат подготвени за заплахи, подобрени от ИИ, които са по-чести, сложни и трудни за проследяване.

• Халюцинации и неточност на ИИ: Генеративните модели на ИИ могат да генерират правдоподобни, но неправилни или подвеждащи – феномен, известен като халюцинация. В контекста на сигурността, ИИ може да анализира инцидент и погрешно да заключи, че определена уязвимост е причината, или може да генерира дефектен скрипт за отстраняване, който не успява да овладее атаката. Тези грешки могат да бъдат опасни, ако се приемат за чиста монета. Както предупреждава NTT Data, „генеративният ИИ може правдоподобно да изведе невярно съдържание и това явление се нарича халюцинации... в момента е трудно да се елиминират напълно“ ( Рискове за сигурността на генеративния ИИ и контрамерките, както и неговото въздействие върху киберсигурността | NTT DATA Group ). Прекомерното разчитане на ИИ без проверка може да доведе до погрешни усилия или фалшиво чувство за сигурност. Например, ИИ може погрешно да маркира критична система като безопасна, когато не е, или обратно, да предизвика паника, като „открие“ нарушение, което никога не се е случило. Строгото валидиране на резултатите от ИИ и включването на хора в цикъла за вземане на критични решения е от съществено значение за смекчаване на този риск.

• Фалшиво положителни и отрицателни резултати: Във връзка с халюцинациите, ако даден модел на ИИ е лошо обучен или конфигуриран, той може да докладва прекалено доброкачествена активност като злонамерена (фалшиво положителни резултати) или, още по-лошо, да пропусне реални заплахи (фалшиво отрицателни резултати) ( Как може генеративният ИИ да се използва в киберсигурността ). Прекомерното количество фалшиви сигнали може да претовари екипите по сигурността и да доведе до умора от сигнали (като се обезсилят обещаните от ИИ подобрения в ефективността), докато пропуснатите засичания оставят организацията уязвима. Настройването на генеративните модели за правилния баланс е предизвикателство. Всяка среда е уникална и един ИИ може да не работи оптимално веднага след инсталирането си. Непрекъснатото обучение също е нож с две остриета – ако ИИ се учи от изкривена обратна връзка или от променяща се среда, точността му може да се колебае. Екипите по сигурността трябва да следят производителността на ИИ и да коригират праговете или да предоставят коригираща обратна връзка на моделите. В контексти с висок залог (като откриване на проникване в критична инфраструктура), може да е разумно предложенията на ИИ да се изпълняват паралелно със съществуващите системи за определен период, за да се гарантира, че те се съгласуват и допълват, а не си противоречат.

• Поверителност на данните и изтичане на информация: Системите с генеративен изкуствен интелект често изискват големи количества данни за обучение и работа. Ако тези модели са базирани в облак или не са правилно изолирани, съществува риск от изтичане на чувствителна информация. Потребителите могат неволно да въведат собствени данни или лични данни в услуга с изкуствен интелект (представете си да помолите ChatGPT да обобщи поверителен доклад за инцидент) и тези данни биха могли да станат част от знанията на модела. Всъщност, скорошно проучване установи, че 55% от входните данни към инструментите с генеративен изкуствен интелект съдържат чувствителна или лична информация , което поражда сериозни опасения относно изтичането на данни ( Сигурност на генеративния изкуствен интелект: Тенденции, заплахи и стратегии за смекчаване ). Освен това, ако даден изкуствен интелект е обучен на вътрешни данни и е запитван по определени начини, той може да изведе части от тези чувствителни данни на някой друг. Организациите трябва да прилагат строги политики за обработка на данни (напр. използване на локални или частни екземпляри на изкуствен интелект за чувствителен материал) и да обучават служителите как да не поставят секретна информация в публични инструменти с изкуствен интелект. Правилата за поверителност (GDPR и др.) също влизат в игра – използването на лични данни за обучение на изкуствен интелект без подходящо съгласие или защита може да е в нарушение на законите.

• Сигурност и манипулация на моделите: Самите модели на генеративен изкуствен интелект могат да станат мишени. Противниците могат да се опитат да отровят моделите , като подават злонамерени или подвеждащи данни по време на фазата на обучение или преобучение, така че изкуственият интелект да научи неправилни модели ( Как може да се използва генеративният изкуствен интелект в киберсигурността ). Например, атакуващ може фино да отрови разузнавателни данни за заплахи, така че изкуственият интелект да не разпознае собствения зловреден софтуер на атакуващия като злонамерен. Друга тактика е инжектирането на подкани или манипулирането на изхода , при което атакуващият намира начин да подаде входни данни на изкуствения интелект, които го карат да се държи по непредвидени начини – може би да игнорира предпазните му мерки или да разкрие информация, която не би трябвало (като вътрешни подкани или данни). Освен това съществува риск от избягване на модела : атакуващите създават входни данни, специално предназначени да заблудят изкуствения интелект. Виждаме това в примери за състезания – леко смутени данни, които човек възприема като нормални, но изкуственият интелект класифицира погрешно. Осигуряването на сигурност на веригата за доставки на изкуствен интелект (цялостност на данните, контрол на достъпа до модела, тестване за устойчивост на конкуренцията) е нова, но необходима част от киберсигурността при внедряването на тези инструменти ( Какво е генеративен изкуствен интелект в киберсигурността? - Palo Alto Networks ).

• Прекомерно разчитане и ерозия на уменията: Съществува по-малък риск организациите да станат прекалено зависими от изкуствения интелект и да позволят на човешките умения да атрофират. Ако младшите анализатори започнат да се доверяват сляпо на резултатите от изкуствения интелект, те може да не развият критичното мислене и интуицията, необходими за случаите, когато изкуственият интелект не е наличен или греши. Сценарий, който трябва да се избягва, е екип по сигурността, който разполага с отлични инструменти, но няма представа как да работи, ако тези инструменти се повредят (подобно на пилоти, които разчитат прекалено много на автопилота). Редовните обучения без помощта на изкуствен интелект и насърчаването на нагласата, че изкуственият интелект е помощник, а не безпогрешен оракул, са важни, за да се поддържат остри човешки анализатори. Хората трябва да останат тези, които вземат крайните решения, особено за решения с голямо въздействие.

• Етични и свързани със съответствието предизвикателства: Използването на изкуствен интелект в киберсигурността повдига етични въпроси и може да предизвика проблеми с регулаторното съответствие. Например, ако система с изкуствен интелект погрешно обвини служител в злонамерен вътрешен човек поради аномалия, това може несправедливо да навреди на репутацията или кариерата на това лице. Решенията, взети от изкуствен интелект, могат да бъдат непрозрачни (проблемът с „черната кутия“), което затруднява обяснението на одиторите или регулаторните органи защо са предприети определени действия. Тъй като генерираното от изкуствен интелект съдържание става все по-разпространено, осигуряването на прозрачност и поддържането на отчетност са от решаващо значение. Регулаторните органи започват да проверяват внимателно изкуствения интелект – например, Законът за изкуствения интелект на ЕС ще наложи изисквания за „високорискови“ системи с изкуствен интелект, а изкуственият интелект в киберсигурността може да попадне в тази категория. Компаниите ще трябва да се ориентират в тези разпоредби и евентуално да се придържат към стандарти като рамката за управление на риска от изкуствен интелект на NIST, за да използват отговорно генеративния изкуствен интелект ( Как може генеративният изкуствен интелект да се използва в киберсигурността? 10 примера от реалния свят ). Съответствието се простира и до лицензирането: използването на модели с отворен код или модели на трети страни може да има условия, които ограничават определени употреби или изискват подобрения в споделянето.

В обобщение, генеративният ИИ не е панацея – ако не се прилага внимателно, той може да въведе нови слабости, дори когато решава други. Проучване на Световния икономически форум от 2024 г. подчертава, че ~47% от организациите посочват напредъка в генеративния ИИ от страна на нападателите като основен проблем, което го прави „най-тревожното въздействие на генеративния ИИ“ в киберсигурността ( [PDF] Глобални перспективи за киберсигурността 2025 | Световен икономически форум ) ( Генеративен ИИ в киберсигурността: Цялостен преглед на LLM ... ). Следователно организациите трябва да възприемат балансиран подход: да се възползват от предимствата на ИИ, като същевременно стриктно управляват тези рискове чрез управление, тестване и човешки надзор. След това ще обсъдим как на практика да се постигне този баланс.

Бъдещи перспективи: Развиваща се роля на генеративния изкуствен интелект в киберсигурността

С поглед към бъдещето, генеративният изкуствен интелект е готов да се превърне в неразделна част от стратегията за киберсигурност – и по същия начин в инструмент, който киберпротивниците ще продължат да експлоатират. Динамиката „котка и мишка“ ще се ускори, като изкуственият интелект ще бъде от двете страни на барикадата. Ето някои перспективни прозрения за това как генеративният изкуствен интелект може да оформи киберсигурността през следващите години:

• Киберзащита, допълнена с изкуствен интелект, става стандарт: До 2025 г. и след това можем да очакваме, че повечето средни и големи организации ще са включили инструменти, базирани на изкуствен интелект, в своите операции за сигурност. Точно както антивирусните програми и защитните стени са стандартни днес, така и системите за откриване на аномалии, базирани на изкуствен интелект, може да се превърнат в основни компоненти на архитектурите за сигурност. Тези инструменти вероятно ще станат по-специализирани – например, отделни модели на изкуствен интелект, фино настроени за облачна сигурност, за наблюдение на IoT устройства, за сигурност на кода на приложенията и т.н., като всички те ще работят в синхрон. Както се отбелязва в една прогноза, „през 2025 г. генеративният изкуствен интелект ще бъде неразделна част от киберсигурността, позволявайки на организациите да се защитават проактивно от сложни и развиващи се заплахи“ ( Как може генеративният изкуствен интелект да се използва в киберсигурността ). Изкуственият интелект ще подобри откриването на заплахи в реално време, ще автоматизира много действия за реагиране и ще помогне на екипите по сигурност да управляват значително по-големи обеми от данни, отколкото биха могли ръчно.

• Непрекъснато обучение и адаптация: Бъдещите генеративни системи с изкуствен интелект в киберпространството ще се учат по-добре в движение от нови инциденти и информация за заплахи, актуализирайки базата си от знания почти в реално време. Това би могло да доведе до наистина адаптивни защити – представете си изкуствен интелект, който научава за нова фишинг кампания, насочена към друга компания, сутринта и до следобед вече е коригирал имейл филтрите на вашата компания в отговор. Услугите за сигурност с изкуствен интелект, базирани в облак, биха могли да улеснят този вид колективно обучение, при което анонимизираните прозрения от една организация са от полза за всички абонати (подобно на споделянето на информация за заплахи, но автоматизирано). Това обаче ще изисква внимателно боравене, за да се избегне споделянето на чувствителна информация и да се предотврати въвеждането на лоши данни от страна на нападателите в споделените модели.

• Сливане на талантите в областта на изкуствения интелект и киберсигурността: Наборът от умения на специалистите по киберсигурност ще се развива, за да включва владеене на изкуствен интелект и наука за данни. Точно както днешните анализатори учат езици за заявки и скриптове, утрешните анализатори може редовно да настройват модели на изкуствен интелект или да пишат „наръчници“ за изпълнение от изкуствен интелект. Може да видим нови роли като „Обучител по сигурност на изкуствен интелект“ или „Инженер по киберсигурност на изкуствен интелект“ – хора, специализирани в адаптирането на инструментите на изкуствен интелект към нуждите на организацията, валидирането на тяхната производителност и гарантирането на тяхната сигурна работа. От друга страна, съображенията за киберсигурност ще влияят все повече върху разработването на изкуствен интелект. Системите с изкуствен интелект ще бъдат изграждани с функции за сигурност от самото начало (сигурна архитектура, откриване на несанкционирана намеса, регистрационни файлове за одит за решения, свързани с изкуствен интелект, и др.), а рамките за надежден изкуствен интелект (справедлив, обясним, надежден и сигурен) ще ръководят тяхното внедряване в критични за сигурността контексти.

• По-сложни атаки, задвижвани от изкуствен интелект: За съжаление, пейзажът на заплахите също ще се развива заедно с изкуствения интелект. Очакваме по-честа употреба на изкуствен интелект за откриване на уязвимости от типа „нулев ден“, за създаване на високоцеленасочен фишинг (напр. изкуствен интелект, който извлича данни от социалните медии, за да създаде перфектно примамка) и за генериране на убедителни фалшиви гласове или видеоклипове, за да заобиколи биометричното удостоверяване или да извърши измама. Може да се появят автоматизирани хакерски агенти, които могат самостоятелно да извършват многоетапни атаки (разузнаване, експлоатация, странично движение и др.) с минимален човешки надзор. Това ще окаже натиск върху защитниците също да разчитат на изкуствен интелект – по същество автоматизация срещу автоматизация . Някои атаки могат да се случат с машинна скорост, като например ботове с изкуствен интелект, които опитват хиляда фишинг пермутации на имейли, за да видят коя ще премине през филтрите. Киберзащитата ще трябва да работи с подобна скорост и гъвкавост, за да се справи ( Какво е генеративен изкуствен интелект в киберсигурността? - Palo Alto Networks ).

• Регулиране и етичен ИИ в сигурността: С дълбокото вграждане на ИИ във функциите за киберсигурност ще има по-строг контрол и евентуално регулиране, за да се гарантира, че тези ИИ системи се използват отговорно. Можем да очакваме рамки и стандарти, специфични за ИИ в сигурността. Правителствата биха могли да определят насоки за прозрачност – например, изискващи важни решения за сигурност (като прекратяване на достъпа на служител поради предполагаема злонамерена дейност) да не могат да се вземат само от ИИ без човешки преглед. Може да има и сертификати за продукти за сигурност с ИИ, за да се гарантира на купувачите, че ИИ е оценен за пристрастност, надеждност и безопасност. Освен това, международното сътрудничество може да се разрасне около киберзаплахите, свързани с ИИ; например споразумения за справяне с дезинформация, създадена от ИИ, или норми срещу определени кибероръжия, задвижвани от ИИ.

• Интеграция с по-широки екосистеми от изкуствен интелект и ИТ: Генеративният изкуствен интелект в киберсигурността вероятно ще се интегрира с други системи с изкуствен интелект и инструменти за управление на ИТ. Например, изкуствен интелект, който управлява оптимизацията на мрежата, може да работи с изкуствен интелект за сигурност, за да гарантира, че промените не отварят вратички. Бизнес анализите, базирани на изкуствен интелект, могат да споделят данни с изкуствен интелект за сигурност, за да съпоставят аномалии (като внезапен спад в продажбите с евентуален проблем с уебсайт поради атака). По същество изкуственият интелект няма да живее в силоз – той ще бъде част от по-голяма интелигентна структура от операции на организацията. Това отваря възможности за цялостно управление на риска, където оперативните данни, данните за заплахите и дори данните за физическата сигурност могат да бъдат комбинирани от изкуствен интелект, за да се получи 360-градусов поглед върху състоянието на организационната сигурност.

В дългосрочен план надеждата е, че генеративният изкуствен интелект ще помогне за накланяне на везните в полза на защитниците. Като се справя с мащаба и сложността на съвременните ИТ среди, изкуственият интелект може да направи киберпространството по-защитимо. Това обаче е пътешествие и ще има трудности, докато усъвършенстваме тези технологии и се учим да им се доверяваме по подходящ начин. Организациите, които са информирани и инвестират в отговорно внедряване на изкуствен интелект за сигурност, вероятно ще бъдат тези, които са най-добре позиционирани да се справят със заплахите на бъдещето.

Както се отбелязва в последния доклад на Gartner за тенденциите в киберсигурността, „появата на генеративни случаи на употреба (и рискове) на ИИ създава натиск за трансформация“ ( Тенденции в киберсигурността: Устойчивост чрез трансформация - Gartner ). Тези, които се адаптират, ще използват ИИ като мощен съюзник; тези, които изостават, може да се окажат изпреварени от противници, овластени от ИИ. Следващите няколко години ще бъдат ключов момент в определянето на това как ИИ ще промени кибербойното поле.

Практически изводи за внедряването на генеративен изкуствен интелект в киберсигурността

За фирмите, които оценяват как да използват генеративния изкуствен интелект в своята стратегия за киберсигурност, ето някои практически изводи и препоръки, които да насочат отговорното и ефективно внедряване:

1. Започнете с образование и обучение: Уверете се, че вашият екип по сигурността (и по-широкият ИТ персонал) разбират какво може и какво не може да прави генеративният изкуствен интелект. Осигурете обучение по основите на инструментите за сигурност, базирани на изкуствен интелект, и актуализирайте програмите си за повишаване на осведомеността за сигурността за всички служители, за да обхванат заплахите, свързани с изкуствен интелект. Например, научете персонала как изкуственият интелект може да генерира много убедителни фишинг измами и фалшиви обаждания. Едновременно с това обучете служителите за безопасното и одобрено използване на инструменти с изкуствен интелект в работата им. Добре информираните потребители е по-малко вероятно да боравят неправилно с изкуствен интелект или да станат жертва на атаки, подобрени с изкуствен интелект ( Как може да се използва генеративният изкуствен интелект в киберсигурността? 10 примера от реалния свят ).

2. Дефинирайте ясни политики за използване на ИИ: Отнасяйте се към генеративния ИИ като към всяка мощна технология – с управление. Разработете политики, които уточняват кой може да използва инструменти с ИИ, кои инструменти са одобрени и за какви цели. Включете насоки за работа с чувствителни данни (напр. без подаване на поверителни данни към външни услуги с ИИ), за да предотвратите изтичане на информация. Като пример, можете да позволите само на членовете на екипа по сигурността да използват вътрешен асистент с ИИ за реагиране при инциденти, а маркетингът може да използва проверен ИИ за съдържание – всички останали са ограничени. Много организации вече изрично разглеждат генеративния ИИ в своите ИТ политики, а водещите органи по стандартизация насърчават политики за безопасно използване, а не пълни забрани ( Как може да се използва генеративният ИИ в киберсигурността? 10 примера от реалния свят ). Уверете се, че сте съобщили тези правила и обосновката зад тях на всички служители.

3. Намаляване на „сянката на изкуствения интелект“ и наблюдение на използването: Подобно на сянката на ИТ, „сянката на изкуствения интелект“ възниква, когато служителите започнат да използват инструменти или услуги с изкуствен интелект без знанието на ИТ отдела (напр. разработчик, използващ неоторизиран асистент за кодиране с изкуствен интелект). Това може да доведе до невидими рискове. Внедрете мерки за откриване и контрол на несанкционираното използване на изкуствен интелект . Мрежовото наблюдение може да сигнализира за връзки към популярни API на изкуствен интелект, а анкети или одити на инструменти могат да разкрият какво използва персоналът. Предложете одобрени алтернативи, така че добронамерените служители да не се изкушават да действат неправомерно (например, предоставете официален акаунт в ChatGPT Enterprise, ако хората го сметнат за полезен). Като изведат използването на изкуствен интелект на светло, екипите по сигурността могат да оценят и управляват риска. Мониторингът също е ключов – регистрирайте дейностите и резултатите от инструментите с изкуствен интелект, доколкото е възможно, така че да има одитна следа за решенията, върху които изкуственият интелект е повлиял ( Как може генеративният изкуствен интелект да се използва в киберсигурността? 10 примера от реалния свят ).

4. Използвайте ИИ в защита – не изоставайте: Признайте, че нападателите ще използват ИИ, така че вашата защита също трябва. Идентифицирайте няколко области с голямо въздействие, където генеративният ИИ би могъл незабавно да подпомогне вашите операции по сигурността (може би сортиране на предупреждения или автоматизиран анализ на лог файлове) и стартирайте пилотни проекти. Увеличете защитата си със скоростта и мащаба на ИИ, за да противодействате на бързо развиващите се заплахи („ Как може да се използва генеративният ИИ в киберсигурността? 10 примера от реалния свят“ ). Дори прости интеграции, като използването на ИИ за обобщаване на отчети за зловреден софтуер или генериране на заявки за търсене на заплахи, могат да спестят часове на анализаторите. Започнете с малко, оценете резултатите и повторете. Успехите ще изградят аргументи за по-широко приемане на ИИ. Целта е да използвате ИИ като умножител на силата – например, ако фишинг атаките претоварват вашия екип за помощ, внедрете класификатор на имейли с ИИ, за да намалите проактивно този обем.

5. Инвестирайте в сигурни и етични практики за ИИ: Когато внедрявате генеративен ИИ, следвайте практики за сигурно разработване и внедряване. Използвайте частни или самостоятелно хоствани модели за чувствителни задачи, за да запазите контрол върху данните. Ако използвате услуги за ИИ на трети страни, прегледайте техните мерки за сигурност и поверителност (криптиране, политики за запазване на данни и др.). Включете рамки за управление на риска, свързан с ИИ (като рамката за управление на риска, свързан с ИИ, на NIST или насоките на ISO/IEC), за да адресирате систематично неща като пристрастност, обяснимост и устойчивост във вашите инструменти за ИИ ( Как може генеративният ИИ да се използва в киберсигурността? 10 примера от реалния свят ). Планирайте и актуализации/корекции на моделите като част от поддръжката – моделите с ИИ също могат да имат „уязвимости“ (напр. може да се нуждаят от преобучение, ако започнат да се отклоняват или ако бъде открит нов тип враждебна атака срещу модела). Чрез включване на сигурност и етика в използването на ИИ, вие изграждате доверие в резултатите и гарантирате съответствие с нововъзникващите разпоредби.

6. Дръжте хората в течение: Използвайте ИИ, за да подпомогнете, а не да заместите напълно човешката преценка в киберсигурността. Определете точките на вземане на решения, където е необходима човешка валидация (например, ИИ може да изготви доклад за инцидент, но анализатор го прегледа преди разпространение; или ИИ може да предложи блокиране на потребителски акаунт, но човек одобри това действие). Това не само предотвратява грешките на ИИ да останат непроверени, но и помага на вашия екип да се учи от ИИ и обратно. Насърчавайте съвместен работен процес: анализаторите трябва да се чувстват комфортно да поставят под въпрос резултатите от ИИ и да извършват проверки за разумност. С течение на времето този диалог може да подобри както ИИ (чрез обратна връзка), така и уменията на анализаторите. По същество, проектирайте процесите си така, че ИИ и човешките силни страни да се допълват взаимно – ИИ се справя с обема и скоростта, хората се справят с неяснотата и окончателните решения.

7. Измерване, наблюдение и коригиране: И накрая, третирайте вашите генеративни инструменти с изкуствен интелект като живи компоненти на вашата екосистема за сигурност. Непрекъснато измервайте тяхната ефективност – намаляват ли времето за реакция при инциденти? Откриват ли заплахите по-рано? Каква е тенденцията на процента на фалшиво положителните резултати? Поискайте обратна връзка от екипа: полезни ли са препоръките на изкуствения интелект или създават шум? Използвайте тези показатели, за да усъвършенствате моделите, да актуализирате данните за обучение или да коригирате начина, по който изкуственият интелект е интегриран. Киберзаплахите и бизнес нуждите се развиват и вашите модели с изкуствен интелект трябва да се актуализират или преобучават периодично, за да останат ефективни. Имайте план за управление на модела, включително кой е отговорен за неговата поддръжка и колко често се преглежда. Чрез активно управление на жизнения цикъл на изкуствения интелект, вие гарантирате, че той остава актив, а не пасив.

В заключение, генеративният изкуствен интелект може значително да подобри възможностите за киберсигурност, но успешното внедряване изисква внимателно планиране и постоянен надзор. Бизнесът, който обучава своите служители, определя ясни насоки и интегрира изкуствен интелект по балансиран и сигурен начин, ще пожъне ползите от по-бързото и по-интелигентно управление на заплахите. Тези изводи предоставят пътна карта: комбинирайте човешкия опит с автоматизацията на изкуствения интелект, обхванете основите на управлението и поддържайте гъвкавост, тъй като както технологията на изкуствения интелект, така и пейзажът на заплахите неизбежно се развиват.

Като предприемат тези практически стъпки, организациите могат уверено да отговорят на въпроса „Как може да се използва генеративният изкуствен интелект в киберсигурността?“ – не само на теория, но и в ежедневната практика – и по този начин да засилят защитата си в нашия все по-дигитален и задвижван от изкуствен интелект свят. ( Как може да се използва генеративният изкуствен интелект в киберсигурността )

Технически документи, които може да искате да прочетете след този:

🔗 Професии, които изкуственият интелект не може да замени и кои ще замени?
Разгледайте глобалната перспектива за това кои роли са защитени от автоматизация и кои не.

🔗 Може ли изкуственият интелект да предсказва фондовия пазар?
По-подробен поглед върху ограниченията, откритията и митовете около способността на изкуствения интелект да прогнозира движенията на пазара.

🔗 На какво може да се разчита генеративният изкуствен интелект без човешка намеса?
Разберете къде изкуственият интелект може да работи самостоятелно и къде човешкият надзор е все още от съществено значение.