Искусственный интеллект становится новым мощным инструментом сетевой защиты. При правильном использовании ИИ можно обучить генерировать оповещения, обнаруживать киберугрозы, выявлять новые типы вредоносных программ и защищать конфиденциальные данные, отмечают опрошенные порталом Network Computing эксперты.
ИИ обещает анализировать огромные объемы данных без участия человека, говорит Шинг-Хон Лау, старший исследователь ИИ-безопасности Института программной инженерии Университета Карнеги-Меллона: «ИИ может быть нацелен на автоматизацию рутинных процессов, освобождая людей для анализа сложных угроз или пытаясь обнаруживать новые угрозы путем быстрого анализа больших объемов данных».
По словам Марка Херрена, директора консалтинговой фирмы ISG, основным отличием ИИ является способность анализировать большие объемы данных и выявлять закономерности событий и корреляции, которые просто недоступны для человека: «Со временем ИИ сможет распознавать начало сбоя и выдавать предупреждающие сигналы, позволяющие администраторам сети и систем безопасности предпринять корректирующие действия до того, как произойдет инцидент».
Почему ИИ подходит для обеспечения сетевой безопасности
Из-за того, что сетевая безопасность связана с большим объемом данных, ИИ особенно хорошо подходит для защиты жизненно важной инфраструктуры. «Когда у вас есть большие объемы данных, вероятность ложных срабатываний высока», — поясняет Сушила Наир, вице-президент консалтинговой фирмы Capgemini.
ИИ также может быть использован для сегментации сети, изоляции критически важных сетей и уменьшения общего радиуса возможного поражения. «Этот подход является важным шагом в рамках концепции нулевого доверия», — говорит Наир. Микросегментация на основе ИИ предоставляет организациям рекомендации по сегментации на основе сетевого трафика. Эта задача решается путем выявления чрезмерно мягких правил, чтобы компании могли сегментировать на основе использования приложений и критичности активов, что помогает ограничивать масштабы атаки.
Искусственный интеллект на переднем крае
ИИ может анализировать сетевой трафик с помощью глубокого анализа пакетов (DPI) со скоростью, с которой люди-аналитики просто не могут сравниться. «ИИ может быстро обрабатывать большие объемы данных для выявления как внешних, так и внутренних угроз, — поясняет Наир. — Поскольку сетевые данные, как правило, особенно объемны, ИИ играет ключевую роль в этом сценарии использования».
Понимание сетевого трафика помогает сетевым менеджерам выявлять угрозы. «Это позволяет вам управлять типом трафика, проходящего через вашу сеть, — отмечает Наир. — Например, брокер безопасности облачного доступа (CASB) позволяет вам понять, поступает ли трафик в приложения SaaS, подверженные высокой степенью риска, или происходит утечка данных». Между тем, инструменты микросегментации на базе ИИ дают возможность легко и быстро вносить изменения в сеть.
Все большее число поставщиков систем безопасности и сетевых технологий внедряют ИИ в свои продукты для обеспечения возможностей обнаружения аномалий и угроз. Предприятиям следует воспользоваться преимуществами таких функций, советует Херен. «Для получения целостного решения организациям следует также рассмотреть независимые ИИ-инструменты, которые могут быть интегрированы с решениями нескольких поставщиков, сетевыми уровнями и сегментами», — добавляет он.
Интегрированное решение
По словам Наир, решения для сетевого обнаружения и реагирования (NDR) на базе ИИ особенно полезны, поскольку они могут обнаруживать вредоносные программы, скрытые атаки и аномалии в сетях. В сочетании с управлением событиями безопасности (SIEM) и координацией, автоматизацией и реагированием на них (SOAR) система NDR может стать частью интегрированного решения на базе ИИ, которое не только обнаруживает атаки, но и позволяет автоматически реагировать на них.
Динамическая микросегментация имеет решающее значение для сдерживания кибератак, не позволяя злоумышленникам перемещаться вбок, говорит Наир. «CASB могут использовать сетевой ИИ для обеспечения видимости и контроля над данными, а также пользователями в облачных приложениях, — объясняет она. — Таким образом, вы можете получить представление о том, кто и какое SaaS-приложение использует, и является ли это приложение высокорискованным или не санкционированным организацией».
Как приступить к работе с сетевой безопасностью на базе ИИ
Лучший способ начать работу с сетевой безопасностью с использованием ИИ — это применить эту технологию в дополнение к существующим инструментам и процессам. «Чтобы ИИ стал эффективным, требуется время и большой объем данных, и инженерам необходимо усовершенствовать и проверить модели ИИ, прежде чем организация сможет быть уверена в точности аналитики», — говорит Херрен.
Разберитесь в своих ключевых активах и рисках, советует Наир. «Определите цели, которых вы хотите достичь с помощью сетевой безопасности, управляемой ИИ, чтобы понять, какую ценность она принесет для бизнеса, — рекомендует она. — Используется ли это для ускорения обнаружения, ускорения реакции или есть какой-то другой бизнес-фактор?»
Наир предлагает начать с пилотного проекта. «Интегрируйте его в свою экосистему кибербезопасности, — говорит она. — В зависимости от сценария использования, вы можете захотеть интегрировать его с вашими решениями SIEM и SOAR или другими инструментами кибербезопасности». Инструменты, основанные на ИИ, часто требуют некоторой доработки. «Сопоставьте результаты с целями вашего проекта и планируйте расширение, если результаты пилотного проекта соответствуют заявленным целям», — предлагает Наир.
Человеческий фактор
ИИ не защищен от ошибок, и человеческое суждение будет по-прежнему дополнять технологии ИИ в управлении сетями, считает Наир. В своем нынешнем состоянии ИИ по-прежнему требует участия человека для мониторинга и точной настройки операций. «Модель ИИ потребляет большие объемы данных, некоторые из которых связаны с конфиденциальностью, поэтому убедитесь, что у вас есть хороший процесс управления и контроля за внедрением ИИ в вашу среду, — рекомендует она. — По мере роста вашей сети вам, возможно, потребуется обновить вашу систему ИИ, поскольку объем данных, требующих анализа, будет увеличиваться».
По словам Лау, фундаментальное понимание технологии ИИ имеет решающее значение, чтобы помочь развеять шумиху. «ИИ — это не волшебство, это инструмент, который подходит для использования в определенных обстоятельствах, — отмечает он. — Для выяснения того, является ли ваша конкретная ситуация той, в которой ИИ может помочь, требуется хотя бы базовый уровень понимания того, как работает ИИ».
