На полях недавнего, пожалуй, ведущего в РК форума для финансовых директоров и управленцев много говорилось про ИИ и то, как он может сместить персонал со своих рабочих мест. Ваш покорный слуга упорно доказывал свою точку зрения, что в ИТ и уж точно в кибербезопасности роль ИИ и машинного обучения должна быть исключительно поддерживающей и упрощающей работу. Как это может выглядеть на базе одной из ключевых задач практической ИБ – реагировании на инциденты?
Прежде всего, какие задачи стоит ставить на базе ИИ?
- Сокращение времени на обнаружение, реагирование и смягчение последствий инцидентов, упрощение деятельности по обнаружению атак.
- Уменьшение необходимости ручного вмешательства.
- Предоставление центру мониторинга (внутреннему ОЦИБу) возможности быстрого принятия информированных решений.
Однако ресурсы на выполнение перечисленных задач могут быть колоссальными и стоить недешево – это надо знать, прежде чем, разбежавшись, прыгать со скалы ручного реагирования в озеро технологий анализа данных и автоматизации. ИИ и машинному обучению (МО) необходимы огромные объемы данных для самообучения и эффективности.
Четыре шага проверки готовности к использованию ИИ в ИБ
- Помните: прежде чем вы решите использовать какие-либо новые технологии и инструменты для повышения эффективности реагирования на инциденты, экспертам имеет смысл проверить ваши существующие планы и процессы. Не погружайтесь в дорогостоящие инструменты искусственного интеллекта и машинного обучения, пока не будет выполнена вся фоновая работа.
- Будьте готовы: без надежного плана реагирования на киберинциденты и соответствующих политик простое внедрение искусственного интеллекта и машинного обучения не поможет.
- Подготовьтесь: обучение команды планированию и реагированию на киберинциденты станет идеальным способом понять, помогут ли технологии ИИ и МО на том этапе киберустойчивости, на котором вы находитесь.
- Раскошельтесь: внешний консультант поможет вам просмотреть, обновить или создать новые планы реагирования на киберинциденты и политики, оценить текущие протоколы кибербезопасности. Результаты этих оценок помогут вам лучше определить, где ИИ и машинное обучение подойдут вашей организации.
Пять задач практической ИБ, которые могут реализовать ИИ и МО
- Более быстрое выявление аномалий. Это может свести к минимуму окно возможностей для хакеров, поскольку значительно сокращает время, которое им разрешено провести в сети до того, как их обнаружат.
- Более быстрая и точная приоритизация рисков. Технологии ИИ и МО могут довольно точно предсказать ваши самые большие организационные угрозы и риски с большой скоростью. Это может обеспечить правильные точки фокусировки для групп реагирования на инциденты.
- Автоматизированное реагирование. Это снижает нагрузку на группы реагирования на инциденты и технические группы, позволяя им сосредоточиться на наиболее важных аспектах управления.
- Эффективное восстановление. Сокращая время на обнаружение и изоляцию, ИИ значительно ускоряет и восстановление после инцидентов. Во многих случаях он также может восстановить системы до последнего безопасного состояния.
- Прогнозная аналитика. Основная часть хорошего управления киберинцидентами – это документирование процесса реагирования на инциденты и использование этого отчета для получения информации для улучшения. Автоматизированные технологии могут помочь собрать эту информацию и обработать ее в отчет с гораздо меньшими усилиями и с гораздо большей точностью.
