Как агенты ИИ могут произвести революцию в SOC

Агенты ИИ не являются абсолютно надежными, но вскоре они смогут взять на себя некоторые из наиболее распространенных задач киберзащитников.

НЕШНЛ-ХАРБОР, Мэриленд. — Искусственный интеллект готов преобразовать работу центров безопасности, но эксперты утверждают, что людям всегда необходимо будет участвовать в управлении реакцией компаний на инциденты кибербезопасности, а также в контроле автономных систем, которые все больше помогают им.

По словам экспертов, выступивших на саммите Gartner по безопасности и управлению рисками, агенты ИИ могут автоматизировать множество повторяющихся и сложных задач SOC, но в обозримом будущем у них будут существенные ограничения, включая неспособность воспроизводить уникальные человеческие знания или понимать индивидуальные конфигурации сети.

Главной темой конференции Gartner этого года стала тема ИИ, на которой эксперты рассказали о том, как эта технология может значительно облегчить работу специалистов по кибербезопасности, даже если ей еще предстоит пройти долгий путь, прежде чем она сможет заменить опытных людей в центрах безопасности.

«По мере роста скорости, сложности и масштаба атак мы можем использовать агентный ИИ для решения этих задач», — заявил Хаммад Раджуб, директор по техническому маркетингу продуктов Microsoft, во время своей презентации. «Что может быть лучше для защиты на машинной скорости, чем сам ИИ?»

Молчаливый партнер

По словам экспертов по безопасности, представленных в их презентациях, ИИ уже может помочь сотрудникам SOC в решении ряда важных задач. Пит Шоард, вице-президент по аналитике Gartner, отметил, что ИИ может помочь людям находить информацию, автоматизируя сложные поисковые запросы, писать код без «необходимости изучать язык» и составлять отчёты об инцидентах для руководителей, не имеющих технических навыков.

Но автоматизация этих процессов сопряжена с рисками при неправильном подходе, сказал Шоард. Центры безопасности должны проверять код, написанный ИИ, используя те же «надёжные процессы тестирования», что и для кода, написанного человеком, сказал он, а сотрудники должны проверять сводки ИИ, чтобы «не отправлять бессмысленную информацию по цепочке» «тем, кто будет принимать решение» на её основе.

В будущем ИИ, возможно, даже сможет автоматизировать расследование и устранение последствий вторжений.

«Большинство стартапов ИИ-центров безопасности (SOC) в настоящее время сосредоточены на использовании ИИ для анализа оповещений «и снижения когнитивной нагрузки» на людей», — сказал Антон Чувакин, старший консультант по безопасности в офисе директора по информационной безопасности (CISO) в Google Cloud. «Это очень стоящая задача», — добавил он, — «но это также очень узкий взгляд на проблему». В отдалённом будущем, добавил он, «я всё равно хочу, чтобы машины исправляли и решали определённые проблемы».

Чувакин отметил, что некоторые ИТ-специалисты могут «прийти в ужас» от перспективы дать волю ИИ в их тщательно настроенных компьютерных системах, но им следует подготовиться к будущему, которое выглядит примерно так.

«Представьте себе будущее, в котором у вас есть агент, работающий от вашего имени, и он способен защищать и оборонять еще до того, как в вашей среде станет возможной атака», — сказал Раджуб из Microsoft во время своей презентации об агентском ИИ.

Раджуб предсказал, что в течение шести месяцев агенты ИИ смогут самостоятельно мыслить и автоматически развертывать различные инструменты в сети для достижения поставленных целей людьми-операторами. По его словам, через полтора года эти агенты смогут совершенствоваться и модифицировать себя для достижения этих целей. А через два года, по его прогнозам, агенты смогут изменять конкретные инструкции, которые им даны, для достижения более широких целей.

«Это не два, три, четыре, пять, шесть лет», — сказал он. «Мы говорим буквально о неделях и месяцах».

Ограничения и риски

Однако по мере того, как ИИ-агенты будут брать на себя все больше задач, следить за ними станет сложнее.

«Неужели мы действительно думаем, что наши сотрудники смогут угнаться за темпами создания агентов?» — сказал Деннис Сюй, вице-президент по исследованиям Gartner. «Вероятно, мы никогда не сможем их догнать».

Он предложил смелое решение: «Нам нужно использовать агентов для мониторинга агентов. Но это дело более отдаленной перспективы».

Многие аналитики призвали к осторожности при использовании ИИ в системе SOC. Чувакин описал несколько категорий задач, некоторые из которых «реальны, но рискованны», а другие он «наотрез отказался бы» считать возможными для ИИ в ближайшей или среднесрочной перспективе.

К категории рисков Чувакин отнёс такие автономные задачи, как исправление ошибок в устаревших системах, реагирование на вторжения и подтверждение соответствия нормативным требованиям. «Я видел людей, которые используют потребительский ChatGPT для заполнения анкет по соблюдению нормативных требований», — сказал он. «Желаю им удачи».

По словам Чувакина, в ближайшее время искусственный интеллект, вероятно, не сможет справиться с такими задачами, как анализ стратегических рисков, кризисные коммуникации и поиск угроз, направленных против крупных государственных противников. Борьба с продвинутыми хакерскими группировками — «это задача, которую должен решать человек, — сказал он, — потому что, в конечном счёте, на сегодняшний день люди всё ещё превосходят машины».

Шоард из Gartner отметил, что использование ИИ для разработки настольных учений может привести к тому, что сотрудники станут чрезмерно зависимы от ИИ, предупреждающего их о возникающих угрозах, а использование ИИ для создания запросов на обнаружение угроз может снизить навыки расследования у сотрудников. «В итоге вы получите неразвитых сотрудников, — сказал он, — которые будут чрезмерно полагаться на такие вещи, как ИИ».

Сохранение «племенных знаний»

По словам многих экспертов, ИИ никогда не заменит людей в SOC, поскольку человеческое суждение является неотъемлемой частью анализа и реагирования на инциденты безопасности.

«Многие вещи, которые мы делаем в реальном центре безопасности… связаны с знанием, которое является частью традиционных знаний», — сказал Чувакин, имея в виду практики, которые официально не документированы. ИИ будет сложно выполнять эти задачи — Чувакин отметил, что видел множество моделей, которые рекомендуют действия, бессмысленные для конкретных сетей, в которых они работают. В частности, по его словам, ИИ до сих пор не может писать правила обнаружения угроз, адаптированные к сильно настраиваемым устаревшим ИТ-средам «из-за всех особенностей» их настройки.

Чувакин призвал компании, получающие предложения стартапов «ИИ-SOC-in-a-box», «спросить их о том, как эта магия будет решать проблемы, которые возникают в головах людей».

ИИ также может расширить возможности и навыки аналитиков SOC. Шоард назвал его «огромным фактором повышения эффективности» для сотрудников SOC, но предупредил компании не полагаться на него слишком сильно.

«Если вы думаете, что можете уволить сотрудников SOC просто потому, что внезапно приобрели функцию ИИ, думаю, вы будете сильно разочарованы», — сказал Шоард. «ИИ не заменит ваших сотрудников службы безопасности, поэтому используйте его, чтобы улучшить их работу и сделать их более эффективными».

В ИИ нам (нужно) доверять

По словам экспертов, в будущем в центре управления (SOC) люди будут не просто работать бок о бок с агентами ИИ. Им также потребуется контролировать этих агентов.

«Нам не нужна полная автономия», — заявил руководитель службы информационной безопасности TIAA Упендра Мардикар. «Нам нужен человек, который всё контролирует».

По словам экспертов, этим людям необходимо будет обеспечить, чтобы действия ИИ-агентов были поддающимися проверке и контролировались политиками компании. Хосе Вейтия, директор по информационной безопасности Red Ventures, заявил, что компаниям следует «обеспечить валидацию всех действий».

Проектирование автоматизированной системы требует предоставления ей правильных данных. «Если мы позволим машине просто принимать решения за нас, — сказал Шоард из Gartner, — то мы должны быть уверены, что у неё есть вся необходимая информация для эффективного принятия решения».

Доверие и проверка были частыми темами дискуссий об ИИ на конференции Gartner на этой неделе.

«Доверие должно быть основой, на которой строятся эти агенты», — сказал Радджуб. «Чем более распространенными и эффективными становятся агенты, тем важнее для всех нас становится их безопасность».

Однако по мере того, как возможности агентов ИИ будут расширяться, их ценность в SOC может существенно возрасти.

«К сожалению, ИИ — это не магия. Не думаю, что когда-либо станет ею», — сказал Шоард. «Но он улучшит ситуацию в SOC. Вам следует отнестись к нему с большой осторожностью, но рассматривайте его экспериментально и используйте».