Моделируя бизнес-среду или работающее ПО с учетом данных, получаемых в реальном времени из производственных систем, компании могут анализировать последствия обновлений, эксплойтов или сбоев в работе ПО, сообщает портал Dark Reading.
В следующий раз, когда ваша компания столкнется с кибератакой, она может ограничиться виртуальным миром, если воспользуется цифровым двойником — технологией, объединяющей симуляцию и данные реального мира.
Например, исследователи и аналитики компании Trellix, поставщика платформы для операций безопасности, используют информацию, полученную из Microsoft Active Directory, платформы оркестровки электронных политик и сетевых соединений, связывающих эти системы, для создания цифровой модели корпоративной среды клиента. Затем агенты искусственного интеллекта могут использовать цифрового двойника для сортировки предупреждений о безопасности, моделирования действий пользователей и оценки последствий разрешения тех или иных действий.
По словам Мартина Хольсте, технического директора Trellix по облачным вычислениям и ИИ, агенты собирают данные из каждого релевантного источника, чтобы определить контекст, связанный с оповещением. «В совокупности это означает, что мы можем нарисовать картину того, как бы это выглядело, если бы злоумышленник находился в среде, какие пути существуют для злоумышленников, чтобы проникнуть в среду, определить, насколько эти пути реальны, и исследовать доказательства, чтобы определить, произошло ли проникновение», — говорит он, добавляя: «Преимущества для клиентов заключаются в возможности мыслить системно и понимать не только то, что происходит, но и почему».
Цифровые двойники — не новая концепция. Впервые она была использована NASA в
Например, в ходе исследований, проведенных в Мичиганском университете при финансовой поддержке Национального института стандартов и технологий (NIST), были созданы цифровой двойник 3D-принтера и ПО, демонстрирующее полезность такого моделирования для обеспечения кибербезопасности производства.
«Поскольку производственные процессы производят такие богатые наборы данных — температура, напряжение, ток — и так часто повторяются, есть возможность обнаруживать аномалии, которые бросаются в глаза, включая кибератаки», — пишет в отчете NIST Доун Тилбери, профессор машиностроения Мичиганского университета.
В рамках исследования университетская команда создала систему кибербезопасности, которая позволяет анализировать данные в контексте цифрового двойника 3D-принтера и определять, является ли аномалия безобидным событием или вредоносной атакой.
Золотая середина
Во многих отношениях цифровые двойники напоминают инструментальные методы среды выполнения, характерные для таких технологий, как самозащита приложений во время выполнения (RASP) или интерактивное тестирование безопасности приложений (IAST), за исключением того, что эти системы обычно работают с производственным или близким к производственному ПО.
Хотя такие методы среды выполнения очень точны, они требуют развертывания агентов в производственном окружении, а более традиционным статическим методам не хватает эффективности и контекста, говорит Йосси Пик, соучредитель и технический директор стартапа Backslash Security, который занимается цифровыми двойниками для анализа безопасности приложений. Компания использует симуляцию системы для тестирования различных программных процессов — таких как действия пользователей, обновления кода или эксплойты злоумышленников — и определения того, представляют ли они реальную угрозу.
«Статический анализ уязвимости кода менее интрузивен, но при использовании традиционных сканеров он не очень эффективен, а также лишен контекста, — говорит Пик. — Подход с использованием цифровых двойников позволяет найти золотую середину, обеспечивая точность, близкую к уровню среды выполнения, но не вторгаясь в производственное окружение».
Одно из мест, где цифровые двойники могут проявить себя в сфере кибербезопасности, — это моделирование воздействия обновлений. Не меняя установленный код в производственной среде, команда по обеспечению безопасности приложений может применить обновление к цифровому двойнику и определить, «устраняет ли обновленное ПО уязвимости, вводит ли новые или нарушает существующую функциональность, — говорит Пик. — Это делает процесс принятия решения об обновлении более быстрым и безопасным, позволяя заблаговременно планировать исправления без узких мест для разработчиков».
Задействование агентного ИИ
Backslash фокусируется на создании графа приложения, который моделирует потоки данных, взаимодействие компонентов и возможные риски безопасности, которые могут быть использованы. Подача этого графа в большую языковую модель (LLM) позволяет ИИ анализировать приложение, используя граф приложения для контекста, что снижает вероятность галлюцинаций.
«Цифровой двойник становится тем основополагающим механизмом, который делает LLM полезными и надежными для команд безопасности, — говорит Пик. — Он превращает общие языковые модели в сфокусированных на разработке безопасных приложений „вторых пилотов“, способных помочь командам понимать, приоритизировать и устранять проблемы с беспрецедентной точностью и ясностью».
Аналогично, Trellix считает цифровые двойники важнейшей вехой на пути к системам, которые могут анализироваться и защищаться агентами ИИ. Запуск агентов внутри цифрового двойника позволяет автоматизированным программам тестировать потенциальные сценарии без воздействия на производственные системы.
«Генеративный ИИ очень хорошо разбирается в системах и средах, поэтому общие преимущества цифровых двойников будут расти в геометрической прогрессии, — говорит Хольсте. — Он эффективно увязывает высокоуровневые человеческие концепции с низкоуровневыми машинными кодами».
