Политика разумного скептицизма

В прошлых статьях я касался того, как именно уже сейчас сотрудники крупных корпораций и государственных организаций, в том числе в РК, злоупотребляют ИИ, сливая в него массивы закрытых данных. Однако в этот раз хочется коснуться другой темы – как выглядит будущее наших операционных центров информационной безопасности (ОЦИБ) с учетом ИИ, стоит ли инвестировать в ИБ-решения на базе ИИ и как все это повлияет на практиков в области безопасности.

Недавно Microsoft анонсировала свой Cybersecurity Copilot, персонального помощника с искусственным интеллектом для аналитиков безопасности. Microsoft позиционирует этот продукт как инструмент, который легко взаимодействует с командами безопасности, позволяя защитникам видеть, что происходит, сопоставлять активность угроз и принимать более эффективные решения со скоростью компьютера. То есть, по сути, компания создает продукт, который может в перспективе заменить ОЦИБ (SOC) как таковые, разом отменив огромную отрасль рынка мирового и пока еще зарождающуюся отрасль рынка РК. Реально ли это?

Microsoft была не первой в этой области, особенно если говорить об успехах в кибербезопасности в целом. За последние несколько месяцев несколько компаний, занимающихся кибербезопасностью, сообщили, что они начали или планируют использовать ChatGPT.

К примеру, Orca, занимающаяся облачной безопасностью, объявила об интеграции GPT-3 в свою платформу для устранения рисков, связанных с облачной безопасностью. Kubernetes Armo внедрил в свои продукты ChatGPT, чтобы упростить пользователям создание политик безопасности. AlertEnterprise, занимающаяся разработкой ПО для конвергенции киберфизической безопасности, запустила ChatGPT, чтобы дать пользователям возможность быстро получать информацию о физическом доступе, управлять идентификацией посетителей. Accenture, Coro и Trellix тоже изучают возможность внедрения ChatGPT. Все это привело к тому, что отраслевые аналитики осторожно заявляют: «ИИ, наконец, делает больше, чем просто улучшает обнаружение».

Как поступить директорам по ИБ, желающим оставаться на острие технологий, но соблюдающим умеренный скептицизм при взгляде на ИИ?

Вот аспекты, где ИИ поможет вам уже сейчас:

1. Практика киберучений. ИИ напишет почти на любом языке (как минимум английском и русском, но и государственный, уверен, не за горами) тексты заслуживающих доверия фишинговых писем, что даст вам возможность быстро проверить ваших сотрудников.
2. Индикаторы компрометации. При помощи ИИ вы сможете подготовить проверку систем на наличие нужных IOCs и сравнить наборы правил с лучшими практиками; наборы правил на основе сигнатур с выводом ChatGPT для выявления пробелов, обнаружение запутывания кода и нахождение сходства между двоичными файлами вредоносных программ.
3. Практика безопасной разработки. ИИ позволит вам обучить разработчиков в формате демонстрации небезопасных фрагментов кода, обучения на них и тестирования уязвимостей участков кода.

И отдельно хочется сказать про хайп, продажи и инвестиции в продукты с ИИ. Уже сейчас я наблюдаю появление доморощенного сегмента индустрии стартапов, обещающих защитить все, что можно, с использованием ИИ. На пару серьезных перспективных решений приходятся десятки фейковых, поэтому не следует безоговорочно принимать все предложения на веру. Если любимый вами проверенный ИБ-вендор запустил апдейт своего решения или новую ветку на базе ИИ, то, конечно, стоит его протестировать. Однако, как полагается в ИТ/ИБ-среде, тестировать новые хайповые решения раньше третьей версии никому не рекомендую.