Na comunidade de Segurança da Informação (InfoSec), a AI é comumente vista como um salvador - uma aplicação de tecnologia que permitirá às empresas identificar e mitigar as ameaças mais rapidamente, sem ter que adicionar mais seres humanos. Esse fator humano é comumente visto como um inibidor de negócios como as habilidades necessárias e experiência são ambos caros e difíceis de obter.
Como conseqüência, ao longo dos últimos anos, muitos fornecedores têm re-engenharia e re-branded seus produtos como empregando AI - tanto como um chapéu para as frustrações crescente do seu cliente que combater cada nova ameaça exige pessoal adicional para cuidar das ferramentas E produtos que estão sendo vendidos a eles, e como um diferencial entre as abordagens "legadas" para lidar com as ameaças que persistem apesar de duas décadas de inovação de detecção.
O rebranding, o remarketing e a inclusão de várias palavras-chave da ciência de dados - inteligência de máquinas, aprendizado de máquina, dados grandes, lagos de dados, aprendizado não supervisionado - em lançamentos de vendas de produtos e colaterais fizeram parecer que a automação de segurança é a mesma que a segurança AI.
Estamos ainda nos primeiros dias da revolução da AI. Fornecedores de produtos e serviços estão avançando seus motores de AI v1.0 e são predominantemente focados em resolver dois desafios - peneiramento através de uma expansão de dados de ameaça para nuggets acionáveis e replicar as funções mais comuns e básicas de analista de segurança humana.
Nenhum desafio é particularmente exigente de uma plataforma AI. As abordagens estatísticas para detecção de anomalias, agrupamento de dados e processos de rotulagem cumprem todos os critérios para o primeiro desafio de segurança, enquanto as abordagens de "sistema especialista" das décadas de 1970 e 1980 tendem a ser adequadas para a maior parte do segundo desafio. O que mudou é o volume de dados que as decisões devem ser baseadas e os avanços nos sistemas de aprendizagem.
O que é confuso muitos compradores de tecnologia de segurança no momento reside na inclusão de buzzwords AI em torno de produtos e serviços que são essencialmente fornecendo "automação".
Muitas das propostas de valor fortemente comercializadas têm a ver com a automatização de muitas das tarefas manuais que um analista de ameaças ou respondedor de incidentes empreenderia em suas atividades cotidianas, como peneirar alertas críticos, correlacioná-los com outros alertas e registros menores (PCAPs) e logs de atividade do host, sobrepondo inteligência de ameaças externas e feeds de dados e apresentando um pacote de análise para um analista humano para determinar as próximas ações. Todas essas ações vinculadas podem ser facilmente automatizadas usando linguagens de script se a organização fosse tão inclinada.
A automatização do gerenciamento de eventos de segurança não requer AI - pelo menos não o tipo ou nível de AI que nós antecipamos causará uma transformação econômica e de emprego global.
O AI v1.0 sendo empregado em muitos dos produtos de hoje pode ser melhor pensado como robôs de linha de montagem - replicando repetidas tarefas mecânicas, não necessariamente exigindo qualquer "inteligência" como tal. Essa automação, obviamente, traz eficiência e consistência à investigação e resposta a incidentes - mas, por si só, ainda não está afetando a necessidade da organização empregar analistas humanos qualificados.
À medida que as organizações ficam mais confortáveis compartilhando e agrupando dados coletivamente, a comunidade de segurança pode antecipar o avanço e incorporação de melhores sistemas de aprendizagem - dirigindo um caminho incremental AI v1.1 - em que a automação de processo aprende de forma eficiente as peculiaridades, ações e decisões comuns dos Ambiente em que está operando. Um exemplo seria a avaliação de um pacote de análise que foi compilado automaticamente pela determinação de semelhanças com pacotes gerados e atuados anteriormente, atribuindo uma priorização e roteamento para o correto respondedor humano. Pode soar como um pequeno mas lógico processo de automação, mas requer outro nível e classe de matemática e "inteligência" para aprender e ajustar um processo de tomada de decisão de especialistas.
Na minha mente, o Security AI v2.0 reside em um mecanismo de inteligência que não só aprende dinamicamente através da observação da classificação repetida de ameaças e suas ações correspondentes, mas é capaz de identificar corretamente comportamentos suspeitos que nunca viu antes, determinar o contexto do Situação e iniciar as ações mais apropriadas em nome da organização.
Isso pode incluir a capacidade de não apenas identificar que um novo host foi adicionado à rede e parece estar lançando uma varredura de portas contra o servidor de diretório ativo, mas para prever se a ação pode ser parte de um teste de penetração por Compreendendo o típico processo de entrega pentest, alvos típicos de pentests passado ea cadência regular ou agendamento de pentests dentro da organização. O mecanismo poderia então chegar a uma conclusão baseada em evidências, localizar e alertar os empresários da atividade suspeita e, enquanto espera confirmação, ajustar automaticamente as regras de prevenção de ameaças e alertar os limites para isolar a atividade suspeita para minimizar danos potenciais.
O sucesso da AI de Segurança reside na determinação de ações baseadas em informações incompletas e previamente não classificadas - momento em que os papéis de analista de segurança de "nível um" difíceis de reter desaparecerão como tantos empregos de linha de montagem na indústria automobilística têm em As duas últimas décadas.
Na comunidade de Segurança da Informação (InfoSec), a AI é comumente vista como um salvador - uma aplicação de tecnologia que permitirá às empresas identificar e mitigar as ameaças mais rapidamente, sem ter que adicionar mais seres humanos. Esse fator humano é comumente visto como um inibidor de negócios como as habilidades necessárias e experiência são ambos caros e difíceis de obter.
Comentários
Postar um comentário