ИИ-помощь для киберустойчивости

На полях недавнего, пожалуй, ведущего в РК форума для финансовых директоров и управленцев много говорилось про ИИ и то, как он может сместить персонал со своих рабочих мест. Ваш покорный слуга упорно доказывал свою точку зрения, что в ИТ и уж точно в кибербезопасности роль ИИ и машинного обучения должна быть исключительно поддерживающей и упрощающей работу. Как это может выглядеть на базе одной из ключевых задач практической ИБ – реагировании на инциденты?

Прежде всего, какие задачи стоит ставить на базе ИИ?

• Сокращение времени на обнаружение, реагирование и смягчение последствий инцидентов, упрощение деятельности по обнаружению атак.
• Уменьшение необходимости ручного вмешательства.
• Предоставление центру мониторинга (внутреннему ОЦИБу) возможности быстрого принятия информированных решений.
• Однако ресурсы на выполнение перечисленных задач могут быть колоссальными и стоить недешево – это надо знать, прежде чем, разбежавшись, прыгать со скалы ручного реагирования в озеро технологий анализа данных и автоматизации. ИИ и машинному обучению (МО) необходимы огромные объемы данных для самообучения и эффективности.

Четыре шага проверки готовности к использованию ИИ в ИБ

1. Помните: прежде чем вы решите использовать какие-либо новые технологии и инструменты для повышения эффективности реагирования на инциденты, экспертам имеет смысл проверить ваши существующие планы и процессы. Не погружайтесь в дорогостоящие инструменты искусственного интеллекта и машинного обучения, пока не будет выполнена вся фоновая работа.
2. Будьте готовы: без надежного плана реагирования на кибер­инциденты и соответствующих политик простое внедрение искусственного интеллекта и машинного обучения не поможет.
3. Подготовьтесь: обучение команды планированию и реагированию на киберинциденты станет идеальным способом понять, помогут ли технологии ИИ и МО на том этапе киберустойчивости, на котором вы находитесь.
4. Раскошельтесь: внешний консультант поможет вам просмотреть, обновить или создать новые планы реагирования на кибер­инциденты и политики, оценить текущие протоколы кибербезопасности. Результаты этих оценок помогут вам лучше определить, где ИИ и машинное обучение подойдут вашей организации.

Пять задач практической ИБ, которые могут реализовать ИИ и МО

1. Более быстрое выявление аномалий. Это может свести к минимуму окно возможностей для хакеров, поскольку значительно сокращает время, которое им разрешено провести в сети до того, как их обнаружат.
2. Более быстрая и точная приоритизация рисков. Технологии ИИ и МО могут довольно точно предсказать ваши самые большие организационные угрозы и риски с большой скоростью. Это может обеспечить правильные точки фокусировки для групп реагирования на инциденты.
3. Автоматизированное реагирование. Это снижает нагрузку на группы реагирования на инциденты и технические группы, позволяя им сосредоточиться на наиболее важных аспектах управления.
4. Эффективное восстановление. Сокращая время на обнаружение и изоляцию, ИИ значительно ускоряет и восстановление после инцидентов. Во многих случаях он также может восстановить системы до последнего безопасного состояния.
5. Прогнозная аналитика. Основная часть хорошего управления киберинцидентами – это документирование процесса реагирования на инциденты и использование этого отчета для получения информации для улучшения. Автоматизированные технологии могут помочь собрать эту информацию и обработать ее в отчет с гораздо меньшими усилиями и с гораздо большей точностью.