Trench Tales: использование ИИ для усиления кибербезопасности

В настоящее время компании, занимающиеся кибербезопасностью, все чаще говорят о том, что они продают свои продукты и решения как основанные на искусственном интеллекте. В конце концов, если киберпреступники станут умнее, то предприятиям потребуются более умные средства защиты, чтобы противостоять им. И кто из нас, кто работает в окопах нашей ИТ-профессии, может сказать, что может справиться с потоком новых вредоносных программ, уязвимостей и угроз? Киберландшафт становится все более опасным с каждой неделей, и ни вы, ни я не можем узнать все, что нам нужно знать об этих опасностях, и о том, как их отразить, смягчить или обойти.

Введите искусственный интеллект (ИИ) в комнату. Идея здесь состоит в том, чтобы кто-то помог вам защитить вашу среду, кто знает намного больше и может думать и действовать умнее, чем мы, бедные люди, когда-либо могли. Но правда ли, что решение для кибербезопасности может «думать» как человек, только быстрее и лучше? Не совсем, потому что ИИ — это просто прикладная математика, работающая на большом количестве очень быстрых вычислительных ядер — совсем не похоже на серую кашицу внутри наших черепов. Таким образом, это просто еще одно модное слово в отрасли, переполненной модными словечками, соперничающими за внимание лиц, принимающих бизнес-решения, которые имеют право приобретать ИТ-решения для своей организации.

С другой стороны, объем информации, которую необходимо получить в настоящее время для обеспечения безопасности наших инфраструктур, намного превышает то, с чем может справиться обычный ИТ-отдел или отдельный ИТ-специалист. ИТ-отделам нужны инструменты кибербезопасности, которые помогут им ориентироваться в этом океане данных, выявлять угрозы и противостоять им до того, как ситуация выйдет из-под контроля. Итак, назовете ли вы это искусственным интеллектом, машинным обучением, глубоким обучением, прикладной многомерной линейной регрессией или как-то еще, сегодня нам определенно нужны инструменты, которые помогут нам обеспечить безопасность наших данных и сетей.

Мартин Урвалек знает об этом и предпринимает шаги для обеспечения безопасности ИТ-среды, которой он управляет, в то время как угрозы кибербезопасности множатся вокруг нас в нашем подключенном мире. Мартин работает в сфере ИТ более двух десятилетий и ранее возглавлял отдел настольных компьютеров и магазинов в компании в Гамбурге, Германия. Сейчас он проживает в Вене, Австрия, где управляет ИТ-операциями в публичной компании. Недавно Мартин внедрил решение для кибербезопасности на основе ИИ от британской компании Darktrace, чтобы повысить безопасность своей ИТ-среды, и я поговорил с ним о том, что его беспокоит в области кибербезопасности, почему он выбрал Darktrace и что он думает. этого растущего акцента на ИИ как на пути к защите сетей и данных.

МАРТИН: Изначально у нас была четкая граница — хорошее было внутренним, плохое — внешним. С введением Exchange Online мы использовали ту же защиту электронной почты, что и наши внутренние Notes, но сервер был внешним, поэтому мы перенесли границу между хорошим и плохим для одного приложения где-то в облаке. Нашим следующим шагом было введение O365 — теперь у нас были OneDrive, SharePoint Online и Exchange Online — и мы снова раздвинули границы. Следующим нашим шагом было перемещение нашего веб-сервера из демилитаризованной зоны в Azure — угадайте, что случилось с нашей границей!

Нашей первой линией защиты был пограничный брандмауэр, а затем у нас был антивирус в системах пользователей. Нашим первым шагом было обеспечение безопасности системы пользователя, поэтому мы внедрили антивирусное решение 5-го поколения SentinelOne. Однако мне нужно было найти решение для защиты остальной части, которая раньше была моей внутренней сетью, и всех новых вещей в облаке.

МАРТИН: Изменения в ландшафте киберугроз помогли мне увеличить бюджет на эту тему! Но это не повлияло на наше мнение и идеи как ИТ-менеджмент для следующих шагов кибербезопасности для нашей компании. Это просто помогло ускорить все.

МАРТИН: Подход Darktrace основан на искусственном интеллекте и позволяет добавлять данные из других систем, чтобы улучшить общее представление о нашей безопасности. Я могу использовать Darktrace для активного изменения правил брандмауэра и т. д. в зависимости от сценария атаки. И Darktrace связывается со мной, когда замечает, что что-то происходит на моих сайтах — немного похоже на SOC. Кроме того, это европейская компания, а мои партнеры находятся в Нидерландах, так что проблем с часовым поясом нет.

МАРТИН: В настоящее время мы используем корпоративную иммунную систему, электронную почту Antigena, модуль M365 SaaS.

МАРТИН: Darktrace дал — и дает — мне идеальное обслуживание клиентов. Предпродажная команда, которая сначала работала со мной, а затем с моей командой, такая же, как и постпродажная. Я получил от них ответы на все свои вопросы и требования и получаю постоянную поддержку по улучшению качества аналитики. И поддержка базируется в Европе, так что у меня нет проблем с часовым поясом.

МАРТИН: Да — в настоящее время мы добавляем журналы SentinelOne в Darktrace и добавим журналы пограничного брандмауэра на следующем этапе.

МАРТИН: Лично мне не нравится термин ИИ. Нет никакого разума — это просто алгоритмы. Но глубокое обучение или ИИ — это единственный шанс получить огромное количество информации для сопоставления и интерпретации — будь то бизнес-данные или данные безопасности. Таким образом, использование ИИ будет увеличиваться с увеличением количества используемых точек данных.

МАРТИН: Не за что.