ИИ может повысить эффективность операций по обеспечению безопасности, особенно за счет помощи менее опытным аналитикам. Однако успешная интеграция ИИ требует внимания к качеству результатов, пишет на портале InformationWeek Аугусто Баррос, вице-президент по кибербезопасности компании Securonix.
Сегодня много обсуждается возможность ИИ оказать поддержку операциям обеспечения безопасности. Появляется множество новых продуктов и функций, основанных на чат-ботах на базе больших языковых моделей (LLM), которые призваны помочь аналитикам выполнять свою работу. Среди наиболее типичных сценариев использования — запросы дополнительной информации и контекста в ходе расследований, а также запросы данных с использованием естественного языка, а не языков запросов. Теоретически эти функции могут помочь менее квалифицированным аналитикам делать то, что обычно требует привлечения более опытных специалистов. Способность ИИ обрабатывать запросы на естественном языке может упростить взаимодействие со сложными системами безопасности, тем самым делая работу аналитиков более удобной.
Внедрение ИИ в операции по обеспечению безопасности обещает кардинальные перемены. Автоматизируя рутинные задачи, ИИ может освободить аналитиков для решения более сложных задач, эффективно повышая общую производительность операционного центра безопасности (SOC). Тем аналитикам, которые не обладают достаточным опытом, ИИ может подсказать, упростив сложные задачи, которые обычно требуют серьезных навыков.
Возможности быстрого реагирования ИИ могут оказаться неоценимыми в борьбе с возникающими угрозами, обеспечивая скорость обнаружения и устранения последствий, которая зачастую превосходит возможности человека. Кроме того, автоматизация некоторых задач безопасности с помощью ИИ может привести к сокращению операционных расходов, что дает экономическую выгоду организациям, поскольку потенциально снижает потребность в большом штате узкоспециализированных специалистов по безопасности.
Несмотря на эти потенциальные преимущества, внедрение ИИ в операции по обеспечению безопасности не обходится без проблем. Чрезмерная зависимость от ИИ может привести к ослаблению навыков аналитика, создавая зависимость, которая снижает его способность работать самостоятельно. Сложность внедрения систем ИИ также может привести к дополнительным накладным расходам, что при отсутствии надлежащего управления может привести к неэффективности. Безопасность самих систем ИИ — еще один важный момент: если такие системы будут взломаны, ими можно будет манипулировать, чтобы ввести аналитиков в заблуждение или автоматизировать распространение атак в организации.
В конечном итоге успех ИИ в SOC будет определяться качеством его работы. Однако менее квалифицированный аналитик, выполняющий задачу с помощью ИИ, может не обладать необходимыми навыками, чтобы оценить, насколько хорош ИИ в этой роли. Рассмотрим это на примере.
Что требуется аналитику, чтобы проводить расследование с помощью обычных запросов в поисковой системе? Для этого ему необходимо владеть языком запросов. Он должен иметь представление о данных, которые ему нужно увидеть, а затем составить правильный запрос, чтобы получить их. И дело сделано.
Теперь представим, что у нас есть аналитик, который не владеет языком запросов и выполняет ту же работу, но при этом использует ИИ для создания запроса, необходимого для получения искомых данных. Аналитик сообщает ИИ, что ему нужно, и ИИ генерирует запрос, который выполняется для получения данных. В этом сценарии как мы можем быть уверены, что запрос, сгенерированный ИИ, действительно даст ожидаемый результат? Что, если он упускает какое-то условие, что в итоге приведет к ложноотрицательному результату? Этот сценарий вызывает опасения, поскольку аналитик не обладает необходимыми знаниями, чтобы проанализировать сгенерированный ИИ запрос и убедиться, что он действительно выполняет то, что должен. Более того, если процессы принятия решений ИИ непрозрачны, такой эффект «черного ящика» может подорвать доверие и затруднить даже опытным аналитикам понимание логики действий, управляемых ИИ.
Вот почему для реализации вышеописанного сценария крайне важно обеспечить высокие стандарты качества выходных данных ИИ. Без этого мы можем получить инструмент, который сэкономит время опытного аналитика, но не будет достаточно надежным, чтобы позволить менее опытным аналитикам выполнять ту же работу.
Те же рассуждения применимы и к созданию логики обнаружения, например правил обнаружения. Можем ли мы доверять ИИ настолько, чтобы поручить ему обнаружение контента и запустить его в производство без проверки квалифицированным аналитиком? А как насчет ответных действий? Насколько надежным должен быть ИИ, чтобы мы могли позволить ему выполнять ответные действия без участия высококвалифицированного специалиста?
ИИ, безусловно, обладает потенциалом для революционного изменения операций безопасности. Однако его успешная интеграция требует тщательного рассмотрения, последовательного надзора и сбалансированного подхода, использующего сильные стороны как систем ИИ, так и людей-аналитиков. Только уделив особое внимание качеству, организации смогут использовать ИИ для повышения эффективности операций по обеспечению безопасности без ущерба для безопасности и эффективности.