Експерт з кібербезпеки аналізує загрози за допомогою генеративних інструментів штучного інтелекту.

Як генеративний штучний інтелект можна використовувати в кібербезпеці?

Вступ

Генеративний ШІ – системи штучного інтелекту, здатні створювати новий контент або прогнози – стає трансформаційною силою в кібербезпеці. Такі інструменти, як GPT-4 від OpenAI, продемонстрували здатність аналізувати складні дані та генерувати текст, подібний до людського, що дозволяє використовувати нові підходи до захисту від кіберзагроз. Фахівці з кібербезпеки та особи, що приймають бізнес-рішення в різних галузях, досліджують, як генеративний ШІ може посилити захист від атак, що розвиваються. Від фінансів та охорони здоров'я до роздрібної торгівлі та уряду, організації в кожному секторі стикаються зі складними спробами фішингу, шкідливим програмним забезпеченням та іншими загрозами, яким генеративний ШІ може допомогти протистояти. У цьому офіційному документі ми розглядаємо, як генеративний ШІ може бути використаний у кібербезпеці , висвітлюючи реальні застосування, майбутні можливості та важливі міркування щодо впровадження.

Генеративний ШІ відрізняється від традиційного аналітичного ШІ не лише виявленням закономірностей, але й створенням контенту – чи то симуляція атак для навчання захисту, чи то створення пояснень природною мовою для складних даних безпеки. Ця подвійна здатність робить його палицею з двома кінцями: він пропонує потужні нові захисні інструменти, але зловмисники також можуть ним скористатися. У наступних розділах розглядається широкий спектр варіантів використання генеративного ШІ в кібербезпеці, від автоматизації виявлення фішингу до покращення реагування на інциденти. Ми також обговорюємо переваги, які обіцяють ці інновації ШІ, а також ризики (такі як «галюцинації» ШІ або зловживання з боку зловмисників), якими організації повинні керувати. Нарешті, ми пропонуємо практичні висновки, які допоможуть компаніям оцінити та відповідально інтегрувати генеративний ШІ у свої стратегії кібербезпеки.

Генеративний ШІ в кібербезпеці: огляд

Генеративний ШІ в кібербезпеці стосується моделей ШІ – часто моделей великих мов програмування або інших нейронних мереж – які можуть генерувати аналітичні дані, рекомендації, код або навіть синтетичні дані для допомоги в завданнях безпеки. На відміну від суто прогностичних моделей, генеративний ШІ може моделювати сценарії та створювати зрозумілі для людини результати (наприклад, звіти, сповіщення або навіть зразки шкідливого коду) на основі своїх навчальних даних. Ця здатність використовується для прогнозування, виявлення та реагування на загрози більш динамічними способами, ніж раніше ( Що таке генеративний ШІ в кібербезпеці? - Palo Alto Networks ). Наприклад, генеративні моделі можуть аналізувати великі журнали або сховища інформації про загрози та створювати стислий виклад або рекомендовану дію, функціонуючи майже як «помічник» ШІ для команд безпеки.

Ранні впровадження генеративного ШІ для кіберзахисту виявилися багатообіцяючими. У 2023 році Microsoft представила Security Copilot , помічника на базі GPT-4 для аналітиків безпеки, який допомагає виявляти порушення та просіювати 65 трильйонів сигналів, які Microsoft обробляє щодня ( Microsoft Security Copilot — це новий помічник ШІ на базі GPT-4 для кібербезпеки | The Verge ). Аналітики можуть видавати команду цій системі природною мовою (наприклад, «Підсумувати всі інциденти безпеки за останні 24 години» ), і Copilot створить корисний описовий зведений опис. Аналогічно, ШІ для розвідки загроз використовує генеративну модель під назвою Gemini , щоб забезпечити розмовний пошук у величезній базі даних розвідки про загрози Google, швидко аналізуючи підозрілий код та узагальнюючи результати, щоб допомогти мисливцям за шкідливим програмним забезпеченням ( Як генеративний ШІ можна використовувати в кібербезпеці? 10 реальних прикладів ). Ці приклади ілюструють потенціал: генеративний ШІ може обробляти складні, масштабні дані кібербезпеки та представляти аналітичні дані в доступній формі, прискорюючи прийняття рішень.

Водночас, генеративний ШІ може створювати дуже реалістичний фальшивий контент, що є благом для моделювання та навчання (і, на жаль, для зловмисників, які розробляють соціальну інженерію). Переходячи до конкретних випадків використання, ми побачимо, що здатність генеративного ШІ як синтезувати , так і аналізувати інформацію лежить в основі його численних застосувань у сфері кібербезпеки. Нижче ми заглибимося в ключові варіанти використання, що охоплюють усе: від запобігання фішингу до розробки безпечного програмного забезпечення, з прикладами того, як кожен з них застосовується в різних галузях.

Ключові застосування генеративного штучного інтелекту в кібербезпеці

Рисунок: Ключові варіанти використання генеративного ШІ в кібербезпеці включають ШІ-копілотів для команд безпеки, аналіз вразливостей коду, адаптивне виявлення загроз, моделювання атак нульового дня, покращений біометричний захист та виявлення фішингу ( 6 варіантів використання генеративного ШІ в кібербезпеці [+ приклади] ).

Виявлення та запобігання фішингу

Фішинг залишається однією з найпоширеніших кіберзагроз, обманом змушуючи користувачів натискати на шкідливі посилання або розголошувати облікові дані. Генеративний штучний інтелект використовується як для виявлення спроб фішингу , так і для посилення навчання користувачів для запобігання успішним атакам. З боку захисту моделі штучного інтелекту можуть аналізувати вміст електронної пошти та поведінку відправника, щоб виявляти ледь помітні ознаки фішингу, які можуть пропустити фільтри на основі правил. Навчаючись на великих наборах даних про легітимні та шахрайські електронні листи, генеративна модель може позначати аномалії в тоні, формулюваннях чи контексті, які вказують на шахрайство – навіть коли граматика та орфографія більше не видають цього. Фактично, дослідники Palo Alto Networks зазначають, що генеративний штучний інтелект може виявляти «тонкі ознаки фішингових електронних листів, які в іншому випадку могли б залишитися непоміченими», допомагаючи організаціям залишатися на крок попереду шахраїв ( Що таке генеративний штучний інтелект у кібербезпеці? - Palo Alto Networks ).

Команди безпеки також використовують генеративний штучний інтелект для моделювання фішингових атак з метою навчання та аналізу. Наприклад, Ironscales представила інструмент моделювання фішингу на базі GPT, який автоматично генерує підроблені фішингові електронні листи, адаптовані до співробітників організації ( Як генеративний штучний інтелект можна використовувати в кібербезпеці? 10 реальних прикладів ). Ці електронні листи, створені за допомогою штучного інтелекту, відображають найновішу тактику зловмисників, надаючи персоналу реалістичну практику у виявленні фішингового контенту. Таке персоналізоване навчання є критично важливим, оскільки самі зловмисники використовують штучний інтелект для створення більш переконливих приманок. Примітно, що хоча генеративний штучний інтелект може створювати дуже відшліфовані фішингові повідомлення (минули часи легко помітної ламаної англійської), захисники виявили, що штучний інтелект не є непереможним. У 2024 році дослідники IBM Security провели експеримент, порівнюючи фішингові електронні листи, написані людиною, з тими, що згенеровані штучним інтелектом, і «дивно, що електронні листи, згенеровані штучним інтелектом, все ще було легко виявити, незважаючи на їхню правильну граматику» ( 6 випадків використання генеративного штучного інтелекту в кібербезпеці [+ приклади] ). Це говорить про те, що людська інтуїція в поєднанні з виявленням за допомогою штучного інтелекту все ще може розпізнавати ледь помітні невідповідності або сигнали метаданих у шахрайстві, написаному штучним інтелектом.

Генеративний ШІ допомагає захисті від фішингу й іншими способами. Моделі можна використовувати для створення автоматичних відповідей або фільтрів , які перевіряють підозрілі електронні листи. Наприклад, система ШІ може відповідати на електронний лист із певними запитами, щоб перевірити легітимність відправника, або використовувати LLM для аналізу посилань та вкладень електронної пошти в пісочниці, а потім узагальнювати будь-які зловмисні наміри. Платформа безпеки NVIDIA Morpheus демонструє силу ШІ в цій сфері – вона використовує генеративні моделі NLP для швидкого аналізу та класифікації електронних листів, і було виявлено, що вона покращує виявлення фішингових електронних листів на 21% порівняно з традиційними інструментами безпеки ( 6 варіантів використання генеративного ШІ в кібербезпеці [+ приклади] ). Morpheus навіть профілює моделі спілкування користувачів, щоб виявляти незвичайну поведінку (наприклад, користувач раптово надсилає електронні листи на багато зовнішніх адрес), що може свідчити про скомпрометований обліковий запис, який надсилає фішингові листи.

На практиці компанії в різних галузях починають довіряти штучному інтелекту (ШІ) фільтрувати електронну пошту та веб-трафік для виявлення атак соціальної інженерії. Наприклад, фінансові компанії використовують генеративний ШІ для сканування комунікацій на предмет спроб видавання себе за іншу особу, які можуть призвести до шахрайства через електронні листи, тоді як медичні працівники впроваджують ШІ для захисту даних пацієнтів від порушень, пов'язаних з фішингом. Генеруючи реалістичні сценарії фішингу та виявляючи ознаки шкідливих повідомлень, генеративний ШІ додає потужний рівень до стратегій запобігання фішингу. Висновок: ШІ може допомогти швидше та точніше виявляти та знешкоджувати фішингові атаки , навіть якщо зловмисники використовують ту саму технологію для покращення своєї гри.

Виявлення шкідливого програмного забезпечення та аналіз загроз

Сучасне шкідливе програмне забезпечення постійно розвивається – зловмисники генерують нові варіанти або обфускують код, щоб обійти антивірусні сигнатури. Генеративний штучний інтелект пропонує нові методи як для виявлення шкідливого програмного забезпечення, так і для розуміння його поведінки. Один із підходів полягає в використанні ШІ для створення «злих двійників» шкідливого програмного забезпечення : дослідники з безпеки можуть ввести відомий зразок шкідливого програмного забезпечення в генеративну модель, щоб створити безліч мутованих варіантів цього шкідливого програмного забезпечення. Роблячи це, вони ефективно передбачають зміни, які може зробити зловмисник. Ці варіанти, згенеровані ШІ, потім можна використовувати для навчання антивірусних систем та систем виявлення вторгнень, щоб навіть модифіковані версії шкідливого програмного забезпечення розпізнавались у реальному житті ( 6 варіантів використання генеративного ШІ в кібербезпеці [+ приклади] ). Ця проактивна стратегія допомагає розірвати цикл, коли хакери трохи змінюють своє шкідливе програмне забезпечення, щоб уникнути виявлення, а захисникам доводиться щоразу намагатися писати нові сигнатури. Як зазначалося в одному галузевому подкасті, експерти з безпеки тепер використовують генеративний ШІ для «імітації мережевого трафіку та створення шкідливих корисних навантажень, що імітують складні атаки», тестуючи свій захист на цілу родину загроз, а не на один екземпляр. Це адаптивне виявлення загроз означає, що інструменти безпеки стають більш стійкими до поліморфного шкідливого програмного забезпечення, яке в іншому випадку прослизнуло б.

Окрім виявлення, генеративний ШІ допомагає в аналізі шкідливого програмного забезпечення та зворотному проектуванні , що традиційно є трудомісткими завданнями для аналітиків загроз. Моделям великих мов можна доручити вивчення підозрілого коду або скриптів та пояснення простою мовою, що цей код має робити. Реальним прикладом є VirusTotal Code Insight , функція VirusTotal від Google, яка використовує модель генеративного ШІ (Sec-PaLM від Google) для створення природною мовою описів потенційно шкідливого коду ( Як генеративний ШІ можна використовувати в кібербезпеці? 10 реальних прикладів ). Це, по суті, «тип ChatGPT, призначений для кодування безпеки», який діє як аналітик шкідливого програмного забезпечення на основі ШІ, який працює цілодобово, щоб допомогти аналітикам-людям зрозуміти загрози ( 6 варіантів використання генеративного ШІ в кібербезпеці [+ приклади] ). Замість того, щоб ретельно вивчати незнайомий скрипт або двійковий код, член команди безпеки може отримати негайне пояснення від ШІ, наприклад: «Цей скрипт намагається завантажити файл із сервера XYZ, а потім змінити налаштування системи, що свідчить про поведінку шкідливого програмного забезпечення». Це значно пришвидшує реагування на інциденти, оскільки аналітики можуть сортувати та розуміти нове шкідливе програмне забезпечення швидше, ніж будь-коли.

Генеративний ШІ також використовується для виявлення шкідливого програмного забезпечення у величезних наборах даних . Традиційні антивірусні системи сканують файли на наявність відомих сигнатур, але генеративна модель може оцінити характеристики файлу та навіть передбачити, чи є він шкідливим, на основі вивчених шаблонів. Аналізуючи атрибути мільярдів файлів (шкідливих і доброякісних), ШІ може виявити зловмисний намір там, де немає явного підпису. Наприклад, генеративна модель може позначити виконуваний файл як підозрілий, оскільки його профіль поведінки «виглядає» як незначна варіація програми-вимагача, яку він бачив під час навчання, навіть якщо бінарний файл є новим. Таке виявлення на основі поведінки допомагає протидіяти новим або нульовим шкідливим програмам. ШІ Google Threat Intelligence (частина Chronicle/Mandiant), як повідомляється, використовує свою генеративну модель для аналізу потенційно шкідливого коду та «більш ефективної та результативної допомоги фахівцям з безпеки у боротьбі зі шкідливим програмним забезпеченням та іншими типами загроз». ( Як генеративний ШІ можна використовувати в кібербезпеці? 10 реальних прикладів ).

З іншого боку, ми повинні визнати, що зловмисники також можуть використовувати генеративний ШІ тут – для автоматичного створення шкідливого програмного забезпечення, яке адаптується. Фактично, експерти з безпеки попереджають, що генеративний ШІ може допомогти кіберзлочинцям розробити шкідливе програмне забезпечення , яке важче виявити ( Що таке генеративний ШІ в кібербезпеці? - Palo Alto Networks ). Моделі ШІ можна доручити багаторазово змінювати фрагмент шкідливого програмного забезпечення (змінюючи його структуру файлів, методи шифрування тощо), доки він не уникне всіх відомих антивірусних перевірок. Таке зловмисне використання викликає зростаюче занепокоєння (іноді його називають «шкідливим програмним забезпеченням на базі ШІ» або поліморфним шкідливим програмним забезпеченням як послугою). Ми обговоримо такі ризики пізніше, але це підкреслює, що генеративний ШІ є інструментом у цій грі в кішки-мишки, який використовують як захисники, так і зловмисники.

Загалом, генеративний ШІ покращує захист від шкідливого програмного забезпечення, дозволяючи командам безпеки мислити як зловмисник – генеруючи нові загрози та рішення власними силами. Незалежно від того, чи йдеться про створення синтетичного шкідливого програмного забезпечення для підвищення рівня виявлення, чи про використання ШІ для пояснення та стримування реального шкідливого програмного забезпечення, знайденого в мережах, ці методи застосовуються в різних галузях. Банк може використовувати аналіз шкідливого програмного забезпечення на основі ШІ для швидкого аналізу підозрілого макросу в електронній таблиці, тоді як виробнича фірма може покладатися на ШІ для виявлення шкідливого програмного забезпечення, спрямованого на промислові системи управління. Доповнюючи традиційний аналіз шкідливого програмного забезпечення генеративним ШІ, організації можуть реагувати на кампанії шкідливого програмного забезпечення швидше та проактивніше, ніж раніше.

Розвідка загроз та автоматизація аналізу

Щодня організації бомбардуються даними розвідки про загрози – від потоків нещодавно виявлених індикаторів компрометації (IOC) до звітів аналітиків про нові тактики хакерів. Завдання для команд безпеки полягає в тому, щоб просіяти цей потік інформації та отримати практичну інформацію. Генеративний штучний інтелект виявляється безцінним в автоматизації аналізу та використання розвідки про загрози . Замість того, щоб вручну читати десятки звітів або записів у базі даних, аналітики можуть використовувати штучний інтелект для узагальнення та контекстуалізації розвідки про загрози зі швидкістю машини.

Одним із конкретних прикладів є Threat Intelligence , який інтегрує генеративний штучний інтелект (модель Gemini) з масивами даних про загрози від Mandiant та VirusTotal. Цей штучний інтелект забезпечує «розмовний пошук у величезному сховищі інформації про загрози Google» , дозволяючи користувачам ставити природні запитання про загрози та отримувати чіткі відповіді ( Як генеративний штучний інтелект можна використовувати в кібербезпеці? 10 реальних прикладів ). Наприклад, аналітик може запитати: «Чи бачили ми якесь шкідливе програмне забезпечення, пов’язане з групою загроз X, спрямоване на нашу галузь?», і штучний інтелект отримає відповідну інформацію, можливо, зазначивши: «Так, група загроз X була пов’язана з фішинговою кампанією минулого місяця з використанням шкідливого програмного забезпечення Y» , а також короткий виклад поведінки цього шкідливого програмного забезпечення. Це значно скорочує час збору інформації, яка в іншому випадку вимагала б звернення до кількох інструментів або читання довгих звітів.

Генеративний ШІ також може співвідносити та узагальнювати тенденції загроз . Він може переглянути тисячі публікацій у блогах з безпеки, новин про порушення та розмови в даркнеті, а потім створити короткий виклад «головних кіберзагроз цього тижня» для брифінгу директора з інформаційної безпеки. Традиційно цей рівень аналізу та звітності вимагав значних людських зусиль; тепер добре налаштована модель може скласти її за лічені секунди, а люди лише вдосконалюють результат. Такі компанії, як ZeroFox, розробили FoxGPT , інструмент генеративного ШІ, спеціально розроблений для «прискорення аналізу та узагальнення розвідувальних даних у великих наборах даних», включаючи шкідливий контент та фішингові дані ( Як генеративний ШІ можна використовувати в кібербезпеці? 10 реальних прикладів ). Автоматизуючи важку роботу зі зчитування та перехресного посилання на дані, ШІ дозволяє командам розвідки про загрози зосередитися на прийнятті рішень та реагуванні.

Ще один варіант використання – це розмовне полювання на загрози . Уявіть, що аналітик з безпеки взаємодіє з помічником ШІ: «Покажіть мені будь-які ознаки витоку даних за останні 48 годин» або «Які найновіші вразливості використовують зловмисники цього тижня?» ШІ може інтерпретувати запит, шукати у внутрішніх журналах або зовнішніх джерелах розвідки та відповідати чіткою відповіддю або навіть списком відповідних інцидентів. Це не так вже й малоймовірно – сучасні системи управління інформацією та подіями безпеки (SIEM) починають включати запити природною мовою. Наприклад, пакет безпеки QRadar від IBM у 2024 році додасть генеративні функції ШІ, щоб аналітики могли «ставити […] конкретні запитання про зведений шлях атаки» інциденту та отримувати детальні відповіді. Він також може «інтерпретувати та узагальнювати високорелевантну інформацію про загрози» ( Як генеративний ШІ можна використовувати в кібербезпеці? 10 реальних прикладів ). По суті, генеративний ШІ перетворює гори технічних даних на аналітичні дані розміром з чат на вимогу.

Це має значні наслідки для різних галузей. Медичний працівник може використовувати штучний інтелект, щоб бути в курсі останніх атак груп програм-вимагачів на лікарні, не присвячуючи аналітика повноцінним дослідженням. Директор з охорони здоров'я роздрібної компанії може швидко узагальнити нові тактики шкідливого програмного забезпечення для POS-систем під час інструктажу ІТ-персоналу магазину. А в урядових установах, де необхідно синтезувати дані про загрози від різних установ, ШІ може створювати уніфіковані звіти, що виділяють ключові попередження. Автоматизуючи збір та інтерпретацію розвідувальних даних про загрози , генеративний ШІ допомагає організаціям швидше реагувати на нові загрози та зменшує ризик пропустити критичні попередження, приховані в шумі.

Оптимізація центру операцій безпеки (SOC)

Центри операцій безпеки відомі своєю втомою від сповіщень та величезним обсягом даних. Типовий аналітик SOC може щодня пробиратися крізь тисячі сповіщень та подій, розслідуючи потенційні інциденти. Генеративний штучний інтелект діє як мультиплікатор сили в SOC, автоматизуючи рутинну роботу, надаючи інтелектуальні зведення та навіть координуючи деякі реагування. Мета полягає в оптимізації робочих процесів SOC, щоб аналітики-люди могли зосередитися на найважливіших питаннях, поки інший пілот на базі ШІ займається рештою.

Одним з основних застосувань є використання генеративного ШІ як «другого пілота аналітика» . Microsoft Security Copilot, про який згадувалося раніше, є прикладом цього: він «розроблений для допомоги аналітику з безпеки в його роботі, а не для його заміни», допомагаючи в розслідуванні та звітності про інциденти ( Microsoft Security Copilot — це новий помічник ШІ GPT-4 для кібербезпеки | The Verge ). На практиці це означає, що аналітик може ввести необроблені дані – журнали брандмауера, часову шкалу подій або опис інциденту – і попросити ШІ проаналізувати їх або підсумувати. Другий пілот може вивести розповідь на кшталт: «Схоже, що о 2:35 ранку на сервері Y відбувся підозрілий вхід з IP-адреси X, після чого відбулася незвичайна передача даних, що вказує на потенційне порушення цього сервера». Такий вид негайної контекстуалізації є безцінним, коли час має вирішальне значення.

Копілоти на основі штучного інтелекту також допомагають зменшити навантаження на сортування сповіщень першого рівня. Згідно з галузевими даними, команда безпеки може витрачати 15 годин на тиждень, просто сортуючи близько 22 000 сповіщень та хибнопозитивних результатів ( 6 варіантів використання генеративного штучного інтелекту в кібербезпеці [+ приклади] ). За допомогою генеративного штучного інтелекту багато з цих сповіщень можна автоматично сортувати – штучний інтелект може відхиляти ті, які є явно нешкідливими (з наданням обґрунтування), та виділяти ті, які дійсно потребують уваги, іноді навіть пропонуючи пріоритет. Фактично, сила генеративного штучного інтелекту в розумінні контексту означає, що він може здійснювати перехресну кореляцію сповіщень, які окремо можуть здаватися нешкідливими, але разом вказують на багатоетапну атаку. Це зменшує ймовірність пропустити атаку через «втому від сповіщень».

Аналітики SOC також використовують природну мову зі штучним інтелектом для пришвидшення пошуку та розслідувань. Наприклад, платформа Purple AI «ставити складні запитання щодо пошуку загроз простою англійською мовою та отримувати швидкі та точні відповіді» ( Як генеративний штучний інтелект можна використовувати в кібербезпеці? 10 реальних прикладів ). Аналітик може ввести: «Чи зв’язувалися якісь кінцеві точки з доменом badguy123[.]com за останній місяць?» , і Purple AI перегляне журнали, щоб відповісти. Це позбавляє аналітика від необхідності писати запити до бази даних або сценарії – штучний інтелект робить це «під капотом». Це також означає, що молодші аналітики можуть виконувати завдання, які раніше вимагали досвідченого інженера, навченого мовами запитів, що ефективно підвищує кваліфікацію команди завдяки допомозі штучного інтелекту . Дійсно, аналітики повідомляють, що керівництво генеративним ШІ «підвищує їхні навички та майстерність» , оскільки молодші співробітники тепер можуть отримувати підтримку кодування або поради щодо аналізу від ШІ на вимогу, що зменшує залежність від постійного звернення за допомогою до старших членів команди ( 6 варіантів використання генеративного ШІ в кібербезпеці [+ приклади] ).

Ще однією оптимізацією SOC є автоматизоване підсумовування та документування інцидентів . Після обробки інциденту хтось повинен написати звіт – завдання, яке багато хто вважає виснажливим. Генеративний ШІ може взяти дані судово-медичної експертизи (системні журнали, аналіз шкідливого програмного забезпечення, графік дій) та створити перший варіант звіту про інцидент. IBM вбудовує цю можливість у QRadar, щоб «одним клацанням миші» можна було створити підсумок інциденту для різних зацікавлених сторін (керівників, ІТ-команд тощо) ( Як генеративний ШІ можна використовувати в кібербезпеці? 10 реальних прикладів ). Це не тільки економить час, але й гарантує, що у звіті нічого не буде пропущено, оскільки ШІ може послідовно включати всі відповідні деталі. Аналогічно, для дотримання вимог та аудиту ШІ може заповнювати форми або таблиці доказів на основі даних про інцидент.

Результати реального світу є переконливими. Ті, хто першими впроваджує SOAR (оркестрацію безпеки, автоматизацію та реагування) від Swimlane на основі штучного інтелекту, повідомляють про значне підвищення продуктивності – наприклад, Global Data Systems побачила, як їхня команда SecOps керує набагато більшим навантаженням; один директор сказав: «Те, що я роблю сьогодні з 7 аналітиками, ймовірно, зайняло б 20 співробітників без» автоматизації на базі штучного інтелекту ( Як генеративний штучний інтелект можна використовувати в кібербезпеці ). Іншими словами, штучний інтелект у SOC може багаторазово збільшити потужності . У різних галузях, будь то технологічна компанія, що займається сповіщеннями про хмарну безпеку, чи виробничий завод, що контролює OT-системи, команди SOC можуть отримати швидше виявлення та реагування, менше пропущених інцидентів та ефективніші операції, використовуючи генеративних помічників на основі штучного інтелекту. Йдеться про розумнішу роботу – дозволяючи машинам обробляти повторювані та обсяги даних завдання, щоб люди могли застосовувати свою інтуїцію та досвід там, де це найбільш важливо.

Управління вразливостями та моделювання загроз

Виявлення та управління вразливостями – слабкими місцями в програмному забезпеченні або системах, які можуть використати зловмисники – є основною функцією кібербезпеки. Генеративний штучний інтелект покращує управління вразливостями, пришвидшуючи виявлення, допомагаючи у визначенні пріоритетів виправлень і навіть імітуючи атаки на ці вразливості для підвищення готовності. По суті, штучний інтелект допомагає організаціям швидше знаходити та усувати прогалини у своїй броні, а також проактивно тестувати захист, перш ніж це зроблять справжні зловмисники.

Одним із важливих застосувань є використання генеративного ШІ для автоматизованого перегляду коду та виявлення вразливостей . Великі кодові бази (особливо застарілі системи) часто містять недоліки безпеки, які залишаються непоміченими. Моделі генеративного ШІ можна навчити безпечним практикам кодування та поширеним шаблонам помилок, а потім застосувати до вихідного коду або скомпільованих бінарних файлів для пошуку потенційних вразливостей. Наприклад, дослідники NVIDIA розробили конвеєр генеративного ШІ, який може аналізувати контейнери застарілого програмного забезпечення та виявляти вразливості «з високою точністю — до 4 разів швидше, ніж експерти-люди». ( 6 варіантів використання генеративного ШІ в кібербезпеці [+ приклади] ). ШІ, по суті, вивчив, як виглядає небезпечний код, і зміг сканувати програмне забезпечення, що виникло десятиліттями, щоб позначити ризиковані функції та бібліотеки, значно пришвидшуючи зазвичай повільний процес ручного аудиту коду. Такий інструмент може стати переломним для таких галузей, як фінанси чи уряд, які покладаються на великі, старіші кодові бази — ШІ допомагає модернізувати безпеку, виявляючи проблеми, на пошук яких персоналу можуть знадобитися місяці або роки (якщо взагалі знадобляться).

Генеративний ШІ також допомагає в робочих процесах управління вразливостями , обробляючи результати сканування вразливостей та встановлюючи їм пріоритети. Такі інструменти, як ExposureAI , використовують генеративний ШІ, щоб аналітики могли запитувати дані про вразливості простою мовою та отримувати миттєві відповіді ( Як генеративний ШІ можна використовувати в кібербезпеці? 10 реальних прикладів ). ExposureAI може «підсумувати повний шлях атаки в описовому вигляді» для заданої критичної вразливості, пояснюючи, як зловмисник може поєднати її з іншими слабкими місцями, щоб скомпрометувати систему. Він навіть рекомендує дії для усунення та відповідає на подальші запитання щодо ризику. Це означає, що коли оголошується нова критична CVE (поширені вразливості та експозиції), аналітик може запитати ШІ: «Чи постраждали якісь із наших серверів від цієї CVE та який найгірший сценарій, якщо ми не виправимо їх?» та отримати чітку оцінку, складену на основі власних даних сканування організації. Контекстуалізуючи вразливості (наприклад, ця знаходиться в Інтернеті та знаходиться на цінному сервері, тому вона має головний пріоритет), генеративний ШІ допомагає командам розумно виправляти їх з обмеженими ресурсами.

Окрім пошуку та управління відомими вразливостями, генеративний ШІ сприяє тестуванню на проникнення та симуляції атак – по суті, виявленню невідомих вразливостей або тестуванню засобів контролю безпеки. Генеративно-змагальні мережі (GAN), тип генеративного ШІ, використовувалися для створення синтетичних даних, що імітують реальний мережевий трафік або поведінку користувачів, що може включати приховані шаблони атак. У дослідженні 2023 року було запропоновано використовувати GAN для генерації реалістичного трафіку атак нульового дня для навчання систем виявлення вторгнень ( 6 варіантів використання генеративного ШІ в кібербезпеці [+ приклади] ). Завантажуючи IDS сценаріями атак, створеними ШІ (які не ризикують використовувати фактичне шкідливе програмне забезпечення у виробничих мережах), організації можуть навчити свій захист розпізнавати нові загрози, не чекаючи, поки вони їх вразять у реальності. Аналогічно, ШІ може імітувати зловмисника, який зондує систему – наприклад, автоматично пробуючи різні методи експлойту в безпечному середовищі, щоб побачити, чи є якісь із них успішними. Агентство передових оборонних дослідницьких проектів США (DARPA) бачить у цьому багатообіцяючий результат: його конкурс AI Cyber ​​Challenge 2023 року явно використовує генеративний штучний інтелект (наприклад, моделі великих мов) для «автоматичного пошуку та виправлення вразливостей у програмному забезпеченні з відкритим кодом» у рамках змагання ( DARPA прагне розробляти штучний інтелект та автономні програми, яким військові можуть довіряти > Міністерство оборони США > Новини Міністерства оборони ). Ця ініціатива підкреслює, що штучний інтелект не просто допомагає латати відомі діри; він активно виявляє нові та пропонує виправлення, завдання, яке традиційно обмежується кваліфікованими (і дорогими) дослідниками безпеки.

Генеративний ШІ може навіть створювати інтелектуальні приманки та цифрові двійники для захисту. Стартапи розробляють системи-приманки на основі ШІ, які переконливо імітують реальні сервери чи пристрої. Як пояснив один генеральний директор, генеративний ШІ може «клонувати цифрові системи, щоб імітувати реальні та заманювати хакерів» ( 6 варіантів використання генеративного ШІ в кібербезпеці [+ приклади] ). Ці приманки, згенеровані ШІ, поводяться як реальне середовище (скажімо, підроблений пристрій Інтернету речей, який надсилає звичайну телеметрію), але існують виключно для того, щоб залучити зловмисників. Коли зловмисник націлюється на приманку, ШІ, по суті, обманом змушує його розкрити свої методи, які захисники потім можуть вивчити та використовувати для посилення реальних систем. Ця концепція, що базується на генеративному моделюванні, забезпечує перспективний спосіб перевернути ситуацію проти зловмисників , використовуючи обман, посилений ШІ.

У всіх галузях швидше та розумніше управління вразливостями означає менше порушень. Наприклад, в галузі медичних ІТ штучний інтелект може швидко виявити вразливу застарілу бібліотеку в медичному пристрої та спонукати до виправлення прошивки, перш ніж будь-який зловмисник скористається цим. У банківській справі штучний інтелект може імітувати внутрішню атаку на новий додаток, щоб гарантувати безпеку даних клієнтів за будь-яких сценаріїв. Таким чином, генеративний ШІ діє як мікроскоп, так і стрес-тестер для стану безпеки організацій: він виявляє приховані недоліки та створює тиск на системи у винахідливі способи, щоб забезпечити стійкість.

Безпечна генерація коду та розробка програмного забезпечення

Таланти генеративного ШІ не обмежуються виявленням атак – вони також поширюються на створення безпечніших систем з самого початку . У розробці програмного забезпечення генератори коду ШІ (такі як GitHub Copilot, OpenAI Codex тощо) можуть допомогти розробникам писати код швидше, пропонуючи фрагменти коду або навіть цілі функції. Під кутом зору кібербезпеки є забезпечення безпеки цих запропонованих ШІ фрагментів коду та використання ШІ для покращення методів кодування.

З одного боку, генеративний ШІ може виступати помічником кодування, який впроваджує найкращі практики безпеки . Розробники можуть запропонувати інструменту ШІ «Згенерувати функцію скидання пароля на Python» і, в ідеалі, отримати код, який не тільки функціональний, але й відповідає правилам безпеки (наприклад, належна перевірка вхідних даних, ведення журналу, обробка помилок без витоку інформації тощо). Такий помічник, навчений на численних прикладах безпечного коду, може допомогти зменшити кількість людських помилок, які призводять до вразливостей. Наприклад, якщо розробник забуває очистити вхідні дані користувача (що відкриває двері для SQL-ін'єкцій або подібних проблем), ШІ може або включити це за замовчуванням, або попередити його. Деякі інструменти кодування ШІ зараз налаштовуються з урахуванням даних, орієнтованих на безпеку, саме для цієї мети – по суті, ШІ поєднує програмування з свідомістю безпеки .

Однак є й зворотний бік: генеративний ШІ може так само легко створювати вразливості, якщо ним не керувати належним чином. Як зазначив експерт з безпеки Sophos Бен Вершарен, використання генеративного ШІ для кодування «добре для короткого, перевіреного коду, але ризиковано, коли неперевірений код інтегрується» у виробничі системи. Ризик полягає в тому, що ШІ може створювати логічно правильний код, який є небезпечним таким чином, що неспеціаліст може не помітити. Більше того, зловмисники можуть навмисно впливати на публічні моделі ШІ, заповнюючи їх вразливими шаблонами коду (форма отруєння даних), щоб ШІ пропонував небезпечний код. Більшість розробників не є експертами з безпеки , тому, якщо ШІ пропонує зручне рішення, вони можуть використовувати його наосліп, не усвідомлюючи, що воно має недолік ( 6 варіантів використання генеративного ШІ в кібербезпеці [+ приклади] ). Це занепокоєння реальне – насправді зараз існує список 10 найкращих OWASP для LLM (моделей великих мов), який окреслює такі поширені ризики, як цей, при використанні ШІ для кодування.

Щоб протидіяти цим проблемам, експерти пропонують «боротися з генеративним ШІ за допомогою генеративного ШІ» у сфері кодування. На практиці це означає використання ШІ для перевірки та тестування коду , написаного іншим ШІ (або людьми). ШІ може сканувати нові коміти коду набагато швидше, ніж людина-рецензент коду, та позначати потенційні вразливості або логічні проблеми. Ми вже бачимо появу інструментів, які інтегруються в життєвий цикл розробки програмного забезпечення: код пишеться (можливо, за допомогою ШІ), потім генеративна модель, навчена на принципах безпечного коду, перевіряє його та генерує звіт про будь-які проблеми (наприклад, використання застарілих функцій, відсутність перевірок автентифікації тощо). Дослідження NVIDIA, згадане раніше, яке досягло в 4 рази швидшого виявлення вразливостей у коді, є прикладом використання ШІ для безпечного аналізу коду ( 6 варіантів використання генеративного ШІ в кібербезпеці [+ приклади] ).

Крім того, генеративний ШІ може допомогти у створенні безпечних конфігурацій та скриптів . Наприклад, якщо компанії потрібно розгорнути безпечну хмарну інфраструктуру, інженер може попросити ШІ згенерувати скрипти конфігурації (Інфраструктура як код) з вбудованими елементами керування безпекою (наприклад, належна сегментація мережі, ролі IAM з найменшими привілеями). ШІ, навчений на тисячах таких конфігурацій, може створити базову лінію, яку інженер потім налаштовує. Це пришвидшує безпечне налаштування систем та зменшує помилки неправильної конфігурації – поширене джерело інцидентів безпеки хмари.

Деякі організації також використовують генеративний штучний інтелект для підтримки бази знань про безпечні шаблони кодування. Якщо розробник не впевнений, як безпечно реалізувати певну функцію, він може звернутися до внутрішнього штучного інтелекту, який навчався на основі попередніх проектів компанії та рекомендацій щодо безпеки. Штучний інтелект може повернути рекомендований підхід або навіть фрагмент коду, який відповідає як функціональним вимогам, так і стандартам безпеки компанії. Цей підхід використовувався такими інструментами, як Questionnaire Automation від Secureframe , який витягує відповіді з політик компанії та попередніх рішень, щоб забезпечити послідовні та точні відповіді (по суті, генеруючи безпечну документацію) ( Як генеративний штучний інтелект можна використовувати в кібербезпеці? 10 реальних прикладів ). Концепція перекладається як кодування: штучний інтелект, який «пам’ятає», як ви безпечно реалізували щось раніше, і направляє вас зробити це таким чином знову.

Підсумовуючи, генеративний штучний інтелект впливає на розробку програмного забезпечення, роблячи допомогу в безпечному кодуванні більш доступною . Галузі, які розробляють багато користувацького програмного забезпечення – технології, фінанси, оборона тощо – можуть виграти від наявності колег-пілотів зі штучного інтелекту, які не тільки пришвидшують кодування, але й діють як пильні експерти з безпеки. За належного управління ці інструменти штучного інтелекту можуть зменшити появу нових вразливостей та допомогти командам розробників дотримуватися найкращих практик, навіть якщо в команді немає експерта з безпеки, залученого на кожному кроці. Результатом є програмне забезпечення, яке є більш стійким до атак з першого дня.

Підтримка реагування на інциденти

Коли трапляється інцидент кібербезпеки – будь то спалах шкідливого програмного забезпечення, витік даних чи збій системи внаслідок атаки – час має вирішальне значення. Генеративний штучний інтелект все частіше використовується для підтримки команд реагування на інциденти (IR) у швидшому стримуванні та усуненні інцидентів з більшою кількістю інформації. Ідея полягає в тому, що штучний інтелект може взяти на себе частину тягаря розслідування та документування під час інциденту, а також пропонувати або автоматизувати деякі дії реагування.

Одна з ключових ролей штучного інтелекту в інформаційно-комунікаційному середовищі — це аналіз та підсумовування інцидентів у режимі реального часу . Під час інциденту службам реагування можуть знадобитися відповіді на такі запитання, як «Як зловмисник потрапив всередину?» , «Які системи постраждали?» та «Які дані можуть бути скомпрометовані?» . Генеративний штучний інтелект може аналізувати журнали, сповіщення та судово-медичні дані з уражених систем і швидко надавати аналітичні висновки. Наприклад, Microsoft Security Copilot дозволяє службі реагування на інциденти надавати різні докази (файли, URL-адреси, журнали подій) та запитувати часову шкалу або підсумок ( Microsoft Security Copilot — це новий помічник штучного інтелекту GPT-4 для кібербезпеки | The Verge ). Штучний інтелект може відповісти так: «Витік, ймовірно, розпочався з фішингового електронного листа користувачеві JohnDoe о 10:53 за Гринвічем, що містив шкідливе програмне забезпечення X. Після запуску шкідливе програмне забезпечення створило бекдор, який через два дні був використаний для переходу до фінансового сервера, де воно збирало дані». Наявність цієї цілісної картини за лічені хвилини, а не за години, дозволяє команді набагато швидше приймати обґрунтовані рішення (наприклад, які системи ізолювати).

Генеративний ШІ також може пропонувати дії щодо стримування та відновлення . Наприклад, якщо кінцева точка заражена програмою-вимагачем, інструмент ШІ може згенерувати скрипт або набір інструкцій для ізоляції цієї машини, вимкнення певних облікових записів та блокування відомих шкідливих IP-адрес на брандмауері – по суті, виконання за сценарієм. Palo Alto Networks зазначає, що генеративний ШІ здатний «генерувати відповідні дії або скрипти на основі характеру інциденту» , автоматизуючи початкові кроки реагування ( Що таке генеративний ШІ в кібербезпеці? - Palo Alto Networks ). У сценарії, коли команда безпеки перевантажена (скажімо, широкомасштабна атака на сотні пристроїв), ШІ може навіть безпосередньо виконати деякі з цих дій за попередньо затверджених умов, діючи як молодший реагувач, який працює невпинно. Наприклад, агент ШІ може автоматично скидати облікові дані, які він вважає скомпрометованими, або поміщати в карантин хости, які демонструють шкідливу активність, що відповідає профілю інциденту.

Під час реагування на інциденти комунікація є життєво важливою – як всередині команди, так і із зацікавленими сторонами. Генеративний ШІ може допомогти, складаючи звіти про інциденти або брифінги на льоту . Замість того, щоб інженер зупиняв усунення несправностей, щоб написати оновлення електронною поштою, він міг би попросити ШІ: «Підсумуйте, що сталося в цьому інциденті на даний момент, щоб повідомити керівництву». ШІ, отримавши дані про інцидент, може скласти стислий виклад: «Станом на 15:00 зловмисники отримали доступ до 2 облікових записів користувачів та 5 серверів. Уражені дані включають записи клієнтів у базі даних X. Заходи стримування: доступ до VPN для скомпрометованих облікових записів скасовано, а сервери ізольовано. Наступні кроки: сканування на наявність будь-яких механізмів збереження». Потім респондент може швидко перевірити або налаштувати це та надіслати, гарантуючи, що зацікавлені сторони тримаються в курсі подій та отримують точну та актуальну інформацію.

Після того, як усе вщухне, зазвичай потрібно підготувати детальний звіт про інцидент та зібрати отримані уроки. Це ще одна сфера, де підтримка ШІ проявляє себе чудово. Він може переглянути всі дані про інцидент та створити звіт після інциденту, що охоплює першопричину, хронологію, вплив та рекомендації. Наприклад, IBM інтегрує генеративний ШІ для створення «простих зведень випадків безпеки та інцидентів, якими можна поділитися із зацікавленими сторонами» одним натисканням кнопки ( Як можна використовувати генеративний ШІ в кібербезпеці? 10 реальних прикладів ). Завдяки оптимізації звітності після дій організації можуть швидше впроваджувати покращення, а також мати кращу документацію для цілей дотримання вимог.

Одним з інноваційних перспективних застосувань є симуляції інцидентів на основі штучного інтелекту . Подібно до того, як можна було б провести пожежну поліцію, деякі компанії використовують генеративний штучний інтелект для розгляду сценаріїв інцидентів «що, якщо». Штучний інтелект може симулювати, як програма-вимагач може поширюватися з урахуванням структури мережі, або як інсайдер може викрасти дані, а потім оцінювати ефективність поточних планів реагування. Це допомагає командам готувати та вдосконалювати схеми дій до того, як станеться реальний інцидент. Це як мати постійно вдосконалюваного радника з реагування на інциденти, який постійно перевіряє вашу готовність.

У галузях з високими ставками, таких як фінанси чи охорона здоров'я, де простої або втрата даних внаслідок інцидентів є особливо дороговартісними, ці можливості реагування на інциденти на основі штучного інтелекту є дуже привабливими. Лікарня, яка переживає кіберінцидент, не може дозволити собі тривалі перебої в роботі системи – штучний інтелект, який швидко допомагає у стримуванні, може буквально врятувати життя. Аналогічно, фінансова установа може використовувати штучний інтелект для первинної оцінки підозрюваного шахрайського вторгнення о 3:00 ночі, щоб до того часу, як чергові співробітники будуть онлайн, велика частина роботи (вихід із уражених облікових записів, блокування транзакцій тощо) вже була виконана. Доповнюючи команди реагування на інциденти генеративним штучним інтелектом , організації можуть значно скоротити час реагування та покращити ретельність їх обробки, зрештою зменшуючи збитки від кіберінцидентів.

Поведінкова аналітика та виявлення аномалій

Багато кібератак можна викрити, помітивши відхилення від «нормальної» поведінки – будь то обліковий запис користувача, який завантажує незвичний обсяг даних, чи мережевий пристрій, який раптово починає зв’язуватися з незнайомим хостом. Генеративний штучний інтелект пропонує передові методи аналізу поведінки та виявлення аномалій , вивчаючи звичайні моделі поведінки користувачів і систем, а потім попереджаючи про випадки, коли щось виглядає незвичним.

Традиційне виявлення аномалій часто використовує статистичні пороги або просте машинне навчання за певними показниками (піки використання процесора, вхід у незвичайний час тощо). Генеративний ШІ може піти далі, створюючи більш нюансовані профілі поведінки. Наприклад, модель ШІ може з часом збирати дані про вхід, шаблони доступу до файлів та звички електронної пошти працівника та формувати багатовимірне розуміння «норми» цього користувача. Якщо цей обліковий запис пізніше зробить щось кардинально поза межами своєї норми (наприклад, вхід з нової країни та доступ до великої кількості файлів відділу кадрів опівночі), ШІ виявить відхилення не лише за одним показником, а й за цілим шаблоном поведінки, який не відповідає профілю користувача. Технічно кажучи, генеративні моделі (такі як автокодери або моделі послідовностей) можуть моделювати, як виглядає «норма», а потім генерувати очікуваний діапазон поведінки. Коли реальність виходить за межі цього діапазону, це позначається як аномалія ( Що таке генеративний ШІ в кібербезпеці? - Palo Alto Networks ).

Одним із практичних застосувань є моніторинг мережевого трафіку . Згідно з опитуванням 2024 року, 54% організацій США назвали моніторинг мережевого трафіку головним варіантом використання ШІ в кібербезпеці ( Північна Америка: головні варіанти використання ШІ в кібербезпеці в усьому світі, 2024 рік ). Генеративний ШІ може вивчати звичайні схеми зв'язку в мережі підприємства – які сервери зазвичай спілкуються один з одним, які обсяги даних переміщуються в робочий час порівняно з нічним часом тощо. Якщо зловмисник починає витягувати дані з сервера, навіть повільно, щоб уникнути виявлення, система на основі ШІ може помітити, що «Сервер А ніколи не надсилає 500 МБ даних о 2 годині ночі на зовнішню IP-адресу» , і підняти сповіщення. Оскільки ШІ використовує не лише статичні правила, а й модель поведінки мережі, що розвивається, він може виявляти незначні аномалії, які статичні правила (наприклад, «сповіщення, якщо дані > X МБ») можуть пропустити або помилково позначити. Ця адаптивна природа робить виявлення аномалій на основі ШІ потужним у таких середовищах, як мережі банківських транзакцій, хмарна інфраструктура або парки пристроїв Інтернету речей, де визначення фіксованих правил для нормального та аномального стану є надзвичайно складним.

Генеративний ШІ також допомагає з аналітикою поведінки користувачів (UBA) , яка є ключовою для виявлення внутрішніх загроз або скомпрометованих облікових записів. Генеруючи базову модель кожного користувача або сутності, ШІ може виявляти такі речі, як неправомірне використання облікових даних. Наприклад, якщо Боб з бухгалтерії раптово почне запитувати базу даних клієнтів (чого він ніколи раніше не робив), модель ШІ для поведінки Боба позначить це як незвичайне. Це може бути не шкідливе програмне забезпечення – це може бути випадок крадіжки та використання облікових даних Боба зловмисником, або Боб зондує там, де не слід. У будь-якому випадку, команда безпеки отримує попередження для розслідування. Такі системи UBA на основі ШІ існують у різних продуктах безпеки, а методи генеративного моделювання підвищують їхню точність та зменшують кількість хибних тривог, враховуючи контекст (можливо, Боб працює над спеціальним проектом тощо, що ШІ іноді може зробити з інших даних).

У сфері управління ідентифікацією та доступом виявлення дипфейків є зростаючою потребою – генеративний ШІ може створювати штучні голоси та відео, які обманюють біометричну безпеку. Цікаво, що генеративний ШІ також може допомогти виявляти ці дипфейки, аналізуючи ледь помітні артефакти в аудіо чи відео, які важко помітити людині. Ми бачили приклад з Accenture, яка використовувала генеративний ШІ для імітації незліченних виразів обличчя та умов, щоб навчити свої біометричні системи розрізняти реальних користувачів від дипфейків, згенерованих ШІ. Протягом п'яти років цей підхід допоміг Accenture ліквідувати паролі для 90% своїх систем (перейшовши на біометрію та інші фактори) та зменшити кількість атак на 60% ( 6 варіантів використання генеративного ШІ в кібербезпеці [+ приклади] ). По суті, вони використовували генеративний ШІ для посилення біометричної автентифікації, зробивши її стійкою до генеративних атак (чудова ілюстрація боротьби ШІ зі ШІ). Таке поведінкове моделювання – у цьому випадку розпізнавання різниці між живим людським обличчям та обличчям, синтезованим ШІ, – має вирішальне значення, оскільки ми більше покладаємося на ШІ в автентифікації.

Виявлення аномалій на базі генеративного штучного інтелекту застосовується в різних галузях: в охороні здоров'я, моніторинг поведінки медичних пристроїв на предмет ознак злому; у фінансах, спостереження за торговельними системами на предмет нерегулярних закономірностей, які можуть свідчити про шахрайство або алгоритмічні маніпуляції; в енергетиці/комунальних послугах, спостереження за сигналами систем управління на предмет ознак вторгнень. Поєднання широти (розгляд усіх аспектів поведінки) та глибини (розуміння складних закономірностей) , яке надає генеративний штучний інтелект, робить його потужним інструментом для виявлення індикаторів кіберінциденту, що нагадують голку в копиці сіна. Оскільки загрози стають все більш прихованими, ховаючись серед звичайних операцій, ця здатність точно характеризувати «нормальність» і сигналізувати про відхилення стає життєво важливою. Таким чином, генеративний штучний інтелект служить невтомним вартовим, який завжди навчається та оновлює своє визначення нормальності, щоб йти в ногу зі змінами в середовищі, та попереджає служби безпеки про аномалії, які заслуговують на ретельніше вивчення.

Можливості та переваги генеративного штучного інтелекту в кібербезпеці

Застосування генеративного ШІ в кібербезпеці відкриває безліч можливостей та переваг для організацій, які бажають використовувати ці інструменти. Нижче ми підсумовуємо ключові переваги, які роблять генеративний ШІ переконливим доповненням до програм кібербезпеки:

  • Швидше виявлення та реагування на загрози: генеративні системи штучного інтелекту можуть аналізувати величезні обсяги даних у режимі реального часу та розпізнавати загрози набагато швидше, ніж ручний аналіз людиною. Ця перевага в швидкості означає раніше виявлення атак та швидше стримування інцидентів. На практиці моніторинг безпеки на основі штучного інтелекту може виявляти загрози, на кореляцію яких людям знадобилося б набагато більше часу. Оперативно реагуючи на інциденти (або навіть автономно виконуючи початкові дії), організації можуть значно скоротити час перебування зловмисників у своїх мережах, мінімізуючи збитки.

  • Підвищена точність та охоплення загроз: Оскільки генеративні моделі постійно навчаються на нових даних, вони можуть адаптуватися до загроз, що розвиваються, та виявляти менш помітні ознаки шкідливої ​​діяльності. Це призводить до покращеної точності виявлення (менше хибнонегативних та хибнопозитивних результатів) порівняно зі статичними правилами. Наприклад, штучний інтелект, який вивчив ознаки фішингового електронного листа або поведінки шкідливого програмного забезпечення, може ідентифікувати варіанти, які ніколи раніше не спостерігалися. Результатом є ширше охоплення типів загроз, включаючи нові атаки, що зміцнює загальний рівень безпеки. Команди безпеки також отримують детальну інформацію з аналізу ШІ (наприклад, пояснення поведінки шкідливого програмного забезпечення), що дозволяє здійснювати точніший та цілеспрямованіший захист ( Що таке генеративний ШІ в кібербезпеці? - Palo Alto Networks ).

  • Автоматизація повторюваних завдань: Генеративний ШІ чудово автоматизує рутинні, трудомісткі завдання безпеки – від перегляду журналів та складання звітів до написання сценаріїв реагування на інциденти. Ця автоматизація зменшує навантаження на аналітиків-людей , дозволяючи їм зосередитися на стратегії високого рівня та прийнятті складних рішень ( Що таке генеративний ШІ в кібербезпеці? - Palo Alto Networks ). ШІ може виконувати (або принаймні складати початкові чернетки) буденні, але важливі завдання, такі як сканування вразливостей, аудит конфігурації, аналіз активності користувачів та звітність про відповідність. Обробляючи ці завдання зі швидкістю машини, ШІ не тільки підвищує ефективність, але й зменшує кількість людських помилок (значний фактор порушень).

  • Проактивний захист та моделювання: Генеративний ШІ дозволяє організаціям переходити від реактивної до проактивної безпеки. Завдяки таким методам, як моделювання атак, генерація синтетичних даних та навчання на основі сценаріїв, захисники можуть передбачати загрози та готуватися до них, перш ніж вони матеріалізуються в реальному світі. Команди безпеки можуть симулювати кібератаки (фішингові кампанії, спалахи шкідливого програмного забезпечення, DDoS-атаки тощо) у безпечному середовищі, щоб перевірити свої реакції та усунути будь-які слабкі місця. Це безперервне навчання, яке часто неможливо ретельно виконати лише людськими зусиллями, підтримує захист у тонусі та актуальності. Це схоже на кібер«вогневі навчання» – ШІ ​​може кинути багато гіпотетичних загроз вашому захисту, щоб ви могли практикуватися та вдосконалюватися.

  • Розширення людської експертизи (ШІ як мультиплікатор сили): Генеративний ШІ виступає в ролі невтомного молодшого аналітика, радника та помічника одночасно. Він може надавати менш досвідченим членам команди рекомендації та рекомендації, яких зазвичай очікують від досвідчених експертів, ефективно демократизуючи експертизу в команді ( 6 варіантів використання генеративного ШІ в кібербезпеці [+ приклади] ). Це особливо цінно, враховуючи дефіцит талантів у кібербезпеці – ШІ ​​допомагає меншим командам робити більше з меншими витратами. Досвідчені аналітики, з іншого боку, отримують вигоду від того, що ШІ справляється з важкою роботою та виявляє неочевидні висновки, які вони потім можуть перевірити та діяти на їх основі. Загальний результат – команда безпеки, яка є набагато продуктивнішою та більш компетентною, причому ШІ посилює вплив кожного члена команди ( Як можна використовувати генеративний ШІ в кібербезпеці ).

  • Покращена підтримка рішень та звітності: Перетворюючи технічні дані на природну мову, генеративний ШІ покращує комунікацію та прийняття рішень. Керівники з безпеки отримують чіткіше уявлення про проблеми завдяки згенерованим ШІ зведенням та можуть приймати обґрунтовані стратегічні рішення без необхідності аналізувати необроблені дані. Так само покращується міжфункціональна комунікація (з керівниками, відповідальними за дотримання вимог тощо), коли ШІ готує зрозумілі звіти про стан безпеки та інциденти ( Як генеративний ШІ можна використовувати в кібербезпеці? 10 реальних прикладів ). Це не лише зміцнює впевненість та узгодженість питань безпеки на рівні керівництва, але й допомагає виправдати інвестиції та зміни, чітко формулюючи ризики та виявлені ШІ прогалини.

У поєднанні ці переваги означають, що організації, які використовують генеративний ШІ в кібербезпеці, можуть досягти сильнішої позиції безпеки з потенційно нижчими експлуатаційними витратами. Вони можуть реагувати на загрози, які раніше були непомітними, заповнювати прогалини, які залишалися поза контролем, і постійно вдосконалюватися завдяки циклам зворотного зв'язку, керованим ШІ. Зрештою, генеративний ШІ дає шанс випередити супротивників, порівнюючи швидкість , масштаб і складність сучасних атак з такими ж складними засобами захисту. Як показало одне опитування, понад половина бізнес-лідерів та кіберлідерів очікують швидшого виявлення загроз і підвищення точності завдяки використанню генеративного ШІ ( [PDF] Глобальний огляд кібербезпеки 2025 | Всесвітній економічний форум ) ( Генеративний ШІ в кібербезпеці: комплексний огляд LLM ... ) – свідчить про оптимізм щодо переваг цих технологій.

Ризики та виклики використання генеративного штучного інтелекту в кібербезпеці

Хоча можливості значні, критично важливо підходити до генеративного штучного інтелекту в кібербезпеці з урахуванням ризиків та викликів . Сліпа довіра до штучного інтелекту або його неправильне використання може призвести до появи нових вразливостей. Нижче ми окреслюємо основні проблеми та пастки, а також контекст для кожного з них:

  • Змагальне використання кіберзлочинцями: ті ж генеративні можливості, що допомагають захисникам, можуть розширити можливості зловмисників. Суб'єкти, що створюють загрози, вже використовують генеративний ШІ для створення переконливіших фішингових електронних листів, створення фальшивих персон та дипфейкових відео для соціальної інженерії, розробки поліморфного шкідливого програмного забезпечення, яке постійно змінюється, щоб уникнути виявлення, і навіть автоматизації аспектів злому ( Що таке генеративний ШІ в кібербезпеці? - Palo Alto Networks ). Майже половина (46%) лідерів у сфері кібербезпеки стурбовані тим, що генеративний ШІ призведе до більш просунутих змагальних атак ( Безпека за допомогою генеративного ШІ: тенденції, загрози та стратегії пом'якшення ). Ця «гонка озброєнь ШІ» означає, що, коли захисники впроваджують ШІ, зловмисники не сильно відставатимуть (насправді, вони можуть бути попереду в деяких областях, використовуючи нерегульовані інструменти ШІ). Організації повинні бути готові до загроз, посилених ШІ, які є більш частими, складними та важкими для відстеження.

  • Галюцинації та неточність ШІ: Моделі генеративного ШІ можуть видавати правдоподібні, але неправильні або оманливі – явище, відоме як галюцинація. У контексті безпеки ШІ може проаналізувати інцидент і помилково зробити висновок, що причиною була певна вразливість, або ж він може створити несправний сценарій виправлення, який не стримує атаку. Ці помилки можуть бути небезпечними, якщо сприймати їх за чисту монету. Як попереджає NTT Data, «генеративний ШІ може правдоподібно видавати неправдивий контент, і це явище називається галюцинаціями… наразі їх важко повністю усунути» ( Ризики безпеки генеративного ШІ та контрзаходів, а також його вплив на кібербезпеку | NTT DATA Group ). Надмірна залежність від ШІ без перевірки може призвести до неправильно спрямованих зусиль або хибного відчуття безпеки. Наприклад, ШІ може помилково позначити критично важливу систему як безпечну, коли це не так, або навпаки, викликати паніку, «виявивши» порушення, якого ніколи не було. Ретельна перевірка результатів ШІ та залучення людей до прийняття критично важливих рішень є важливими для зменшення цього ризику.

  • Хибнопозитивні та негативні результати: Пов’язано з галюцинаціями, якщо модель ШІ погано навчена або налаштована, вона може перебільшено повідомляти про доброякісну активність як шкідливу (хибнопозитивні результати) або, що ще гірше, пропускати реальні загрози (хибнонегативні результати) ( Як генеративний ШІ можна використовувати в кібербезпеці ). Надмірна кількість хибних сповіщень може перевантажити команди безпеки та призвести до втоми від сповіщень (знівелюючи саме підвищення ефективності, яке обіцяв ШІ), тоді як пропущені виявлення залишають організацію незахищеною. Налаштування генеративних моделей для правильного балансу є складним завданням. Кожне середовище унікальне, і ШІ може не одразу працювати оптимально «з коробки». Безперервне навчання також є палицею з двома кінцями – якщо ШІ навчається на основі спотвореного зворотного зв’язку або із середовища, яке змінюється, його точність може коливатися. Команди безпеки повинні контролювати продуктивність ШІ та коригувати порогові значення або надавати коригувальні відгуки моделям. У контекстах з високими ставками (наприклад, виявлення вторгнень для критичної інфраструктури) може бути доцільно запускати пропозиції ШІ паралельно з існуючими системами протягом певного періоду, щоб забезпечити їх узгодженість та доповнення, а не конфлікт.

  • Конфіденційність та витік даних: Системи генеративного штучного інтелекту часто потребують великих обсягів даних для навчання та роботи. Якщо ці моделі базуються на хмарі або не є належним чином ізольованими, існує ризик витоку конфіденційної інформації. Користувачі можуть ненавмисно передавати власні дані або персональні дані до служби штучного інтелекту (уявіть, що ви просите ChatGPT підсумувати конфіденційний звіт про інцидент), і ці дані можуть стати частиною знань моделі. Дійсно, нещодавнє дослідження показало, що 55% вхідних даних для інструментів генеративного штучного інтелекту містили конфіденційну або персональну інформацію , що викликає серйозні занепокоєння щодо витоку даних ( Безпека генеративного штучного інтелекту: тенденції, загрози та стратегії пом'якшення ). Крім того, якщо штучний інтелект був навчений на внутрішніх даних, і до нього надсилаються запити певними способами, він може видавати частини цих конфіденційних даних комусь іншому. Організації повинні впроваджувати суворі політики обробки даних (наприклад, використовувати локальні або приватні екземпляри штучного інтелекту для конфіденційного матеріалу) та навчати співробітників не вставляти секретну інформацію в публічні інструменти штучного інтелекту. Також в гру вступають правила конфіденційності (GDPR тощо) – використання персональних даних для навчання штучного інтелекту без належної згоди або захисту може порушувати закон.

  • Безпека та маніпулювання моделями: Моделі генеративного ШІ самі можуть стати цілями. Зловмисники можуть спробувати отруїти модель , надаючи шкідливі або оманливі дані під час фази навчання або перенавчання, щоб ШІ вивчив неправильні шаблони ( Як генеративний ШІ можна використовувати в кібербезпеці ). Наприклад, зловмисник може непомітно отруїти розвідувальні дані про загрозу, щоб ШІ не розпізнав власне шкідливе програмне забезпечення зловмисника як шкідливе. Інша тактика — це введення запитань або маніпулювання виводом , коли зловмисник знаходить спосіб видавати вхідні дані ШІ, які змушують його поводитися непередбачуваним чином — можливо, ігнорувати його запобіжні заходи або розкривати інформацію, яку він не повинен розкривати (наприклад, внутрішні запити або дані). Крім того, існує ризик ухилення від моделі : зловмисники створюють вхідні дані, спеціально розроблені для обману ШІ. Ми бачимо це в прикладах змагальності — дещо спотворені дані, які людина сприймає як нормальні, але ШІ неправильно класифікує. Забезпечення безпеки ланцюга поставок штучного інтелекту (цілісність даних, контроль доступу до моделі, тестування на стійкість до атак) є новою, але необхідною частиною кібербезпеки під час розгортання цих інструментів ( Що таке генеративний штучний інтелект у кібербезпеці? - Palo Alto Networks ).

  • Надмірна залежність та втрата кваліфікації: Існує менший ризик того, що організації можуть стати надмірно залежними від штучного інтелекту та дозволити людським навичкам атрофуватися. Якщо молодші аналітики почнуть сліпо довіряти результатам роботи штучного інтелекту, вони можуть не розвинути критичного мислення та інтуїції, необхідних для випадків, коли штучний інтелект недоступний або помиляється. Слід уникати сценарію, коли команда безпеки має чудові інструменти, але не має уявлення, як ними керувати, якщо ці інструменти вийдуть з ладу (подібно до того, як пілоти надмірно покладаються на автопілот). Регулярні тренування без допомоги штучного інтелекту та формування уявлення про те, що штучний інтелект є помічником, а не безпомилковим оракулом, важливі для підтримки гостроти мислення аналітиків-людей. Люди повинні залишатися тими, хто приймає остаточні рішення, особливо щодо рішень, що мають велике значення.

  • Етичні проблеми та проблеми дотримання вимог: Використання штучного інтелекту в кібербезпеці викликає етичні питання та може спричинити проблеми з дотриманням нормативних вимог. Наприклад, якщо система штучного інтелекту помилково називає співробітника зловмисним інсайдером через аномалію, це може несправедливо зашкодити репутації або кар'єрі цієї особи. Рішення, прийняті штучним інтелектом, можуть бути непрозорими (проблема «чорної скриньки»), що ускладнює пояснення аудиторам або регуляторним органам, чому були вжиті певні дії. Оскільки контент, створений штучним інтелектом, стає все більш поширеним, забезпечення прозорості та підзвітності має вирішальне значення. Регулятори починають ретельно перевіряти штучний інтелект – наприклад, Закон ЄС про штучний інтелект встановлюватиме вимоги до систем штучного інтелекту «високого ризику», і штучний інтелект у сфері кібербезпеки може потрапити до цієї категорії. Компаніям потрібно буде орієнтуватися в цих правилах і, можливо, дотримуватися стандартів, таких як Структура управління ризиками штучного інтелекту NIST, щоб відповідально використовувати генеративний штучний інтелект ( Як генеративний штучний інтелект можна використовувати в кібербезпеці? 10 реальних прикладів ). Дотримання вимог поширюється і на ліцензування: використання моделей з відкритим кодом або сторонніх моделей може мати умови, що обмежують певне використання або вимагають спільного використання покращень.

Підсумовуючи, генеративний ШІ — це не панацея . Якщо його не впроваджувати ретельно, він може створювати нові слабкі місця, навіть вирішуючи інші. Дослідження Всесвітнього економічного форуму 2024 року показало, що ~47% організацій називають досягнення в генеративному ШІ з боку зловмисників основною проблемою, що робить його «найбільш тривожним впливом генеративного ШІ» на кібербезпеку ( [PDF] Глобальний огляд кібербезпеки 2025 | Всесвітній економічний форум ) ( Генеративний ШІ в кібербезпеці: всебічний огляд LLM... ). Тому організації повинні застосовувати збалансований підхід: використовувати переваги ШІ, одночасно ретельно керуючи цими ризиками за допомогою управління, тестування та людського нагляду. Далі ми обговоримо, як практично досягти цього балансу.

Перспективи на майбутнє: Еволюція ролі генеративного штучного інтелекту в кібербезпеці

Заглядаючи в майбутнє, генеративний ШІ готовий стати невід'ємною частиною стратегії кібербезпеки, а також інструментом, який кіберпротивники продовжуватимуть використовувати. Динаміка гри в кішки-мишки прискорюватиметься, і ШІ буде по обидва боки барикад. Ось деякі перспективні ідеї щодо того, як генеративний ШІ може формувати кібербезпеку в найближчі роки:

  • Кіберзахист на базі штучного інтелекту стає стандартом: До 2025 року і пізніше можна очікувати, що більшість середніх і великих організацій впровадять інструменти на базі штучного інтелекту у свої операції безпеки. Так само, як антивіруси та брандмауери є стандартними сьогодні, копілоти ШІ та системи виявлення аномалій можуть стати базовими компонентами архітектур безпеки. Ці інструменти, ймовірно, стануть більш спеціалізованими – наприклад, окремі моделі ШІ, налаштовані для хмарної безпеки, для моніторингу пристроїв Інтернету речей, для безпеки коду додатків тощо, і всі вони працюватимуть узгоджено. Як зазначається в одному прогнозі, «у 2025 році генеративний ШІ стане невід'ємною частиною кібербезпеки, дозволяючи організаціям проактивно захищатися від складних і постійно мінливих загроз» ( Як генеративний ШІ можна використовувати в кібербезпеці ). ШІ покращить виявлення загроз у режимі реального часу, автоматизує багато дій реагування та допоможе командам безпеки керувати значно більшими обсягами даних, ніж вони могли б вручну.

  • Безперервне навчання та адаптація: Майбутні генеративні системи штучного інтелекту в кіберпросторі покращуватимуть навчання на ходу з нових інцидентів та інформації про загрози, оновлюючи свою базу знань майже в режимі реального часу. Це може призвести до справді адаптивного захисту – уявіть собі штучний інтелект, який дізнається про нову фішингову кампанію, що вражає іншу компанію, а до обіду вже налаштовує фільтри електронної пошти вашої компанії у відповідь. Хмарні служби безпеки на основі штучного інтелекту можуть сприяти такому колективному навчанню, коли анонімні висновки з однієї організації приносять користь усім передплатникам (подібно до обміну інформацією про загрози, але автоматизовано). Однак це вимагатиме обережного поводження, щоб уникнути обміну конфіденційною інформацією та запобігти внесенню зловмисниками неякісних даних до спільних моделей.

  • Злиття талантів у сфері штучного інтелекту та кібербезпеки: Набір навичок фахівців з кібербезпеки розвиватиметься, включаючи володіння штучним інтелектом та наукою про дані. Так само, як сьогоднішні аналітики вивчають мови запитів та сценарії, майбутні аналітики можуть регулярно налаштовувати моделі ШІ або писати «планові посібники» для роботи ШІ. Ми можемо побачити нові посади, такі як «тренер з безпеки ШІ» або «інженер з кібербезпеки ШІ» – людей, які спеціалізуються на адаптації інструментів ШІ до потреб організації, перевірці їхньої продуктивності та забезпеченні їх безпечної роботи. З іншого боку, міркування кібербезпеки дедалі більше впливатимуть на розробку ШІ. Системи ШІ будуть створюватися з функціями безпеки з нуля (безпечна архітектура, виявлення втручання, журнали аудиту для рішень ШІ тощо), а рамки для надійного ШІ (справедливі, зрозумілі, надійні та безпечні) спрямовуватимуть їх розгортання в критично важливих для безпеки контекстах.

  • Більш складні атаки на базі штучного інтелекту: На жаль, ландшафт загроз також розвиватиметься разом зі штучним інтелектом. Ми очікуємо частішого використання штучного інтелекту для виявлення вразливостей нульового дня, створення цілеспрямованого фішингу (наприклад, штучний інтелект, який збирає дані в соціальних мережах для створення ідеально підібраної приманки) та створення переконливих дипфейкових голосів або відео для обходу біометричної автентифікації або вчинення шахрайства. Можуть з'явитися автоматизовані хакерські агенти, які зможуть самостійно виконувати багатоетапні атаки (розвідка, експлуатація, латеральний рух тощо) з мінімальним наглядом людини. Це змусить захисників також покладатися на штучний інтелект – по суті, автоматизація проти автоматизації . Деякі атаки можуть відбуватися зі швидкістю машини, наприклад, боти штучного інтелекту, які пробують тисячу варіантів фішингових електронних листів, щоб побачити, яка з них проходить повз фільтри. Кіберзахист повинен працювати з подібною швидкістю та гнучкістю, щоб не відставати ( Що таке генеративний штучний інтелект у кібербезпеці? - Palo Alto Networks ).

  • Регулювання та етичний ШІ в безпеці: Оскільки ШІ глибоко впроваджується у функції кібербезпеки, буде здійснюватися ретельніший контроль і, можливо, регулювання, щоб забезпечити відповідальне використання цих систем ШІ. Ми можемо очікувати на рамки та стандарти, що стосуються ШІ в безпеці. Уряди можуть встановити рекомендації щодо прозорості, наприклад, вимагаючи, щоб значні рішення щодо безпеки (такі як припинення доступу співробітника через підозру у зловмисній діяльності) не могли прийматися ШІ самостійно без перевірки людиною. Також можуть бути сертифікації для продуктів безпеки на основі ШІ, щоб гарантувати покупцям, що ШІ було оцінено на предмет упередженості, надійності та безпеки. Крім того, міжнародна співпраця може розвиватися навколо кіберзагроз, пов'язаних зі ШІ; наприклад, угоди щодо обробки дезінформації, створеної ШІ, або норми проти певної кіберзброї, керованої ШІ.

  • Інтеграція з ширшими екосистемами штучного інтелекту та ІТ: Генеративний ШІ в кібербезпеці, ймовірно, інтегруватиметься з іншими системами ШІ та інструментами управління ІТ. Наприклад, ШІ, який керує оптимізацією мережі, може працювати зі ШІ безпеки, щоб гарантувати, що зміни не створять лазівок. Бізнес-аналітика на основі ШІ може обмінюватися даними зі ШІ безпеки для співвіднесення аномалій (наприклад, раптового падіння продажів з можливою проблемою веб-сайту через атаку). По суті, ШІ не буде жити ізольовано – він буде частиною більшої інтелектуальної структури операцій організації. Це відкриває можливості для цілісного управління ризиками, де ШІ може об'єднувати операційні дані, дані про загрози та навіть дані про фізичну безпеку, щоб отримати повне уявлення про стан безпеки організації.

У довгостроковій перспективі є надія, що генеративний ШІ допоможе схилити чашу терезів на користь захисників. Впоравшись із масштабом та складністю сучасних ІТ-середовищ, ШІ може зробити кіберпростір більш захищеним. Однак це шлях, і будуть труднощі зростання, оскільки ми вдосконалюватимемо ці технології та навчимося належним чином довіряти їм. Організації, які залишаються в курсі подій та інвестують у відповідальне впровадження ШІ для безпеки, ймовірно, будуть найкраще підготовлені до подолання загроз майбутнього.

Як зазначалося в нещодавньому звіті Gartner про тенденції кібербезпеки, «поява генеративних варіантів використання (і ризиків) ШІ створює тиск на трансформацію» ( Тенденції кібербезпеки: стійкість через трансформацію - Gartner ). Ті, хто адаптується, використовуватимуть ШІ як потужного союзника; ті, хто відстає, можуть виявити, що їх випереджають супротивники, оснащені ШІ. Наступні кілька років стануть ключовим часом у визначенні того, як ШІ змінює поле кібербитви.

Практичні висновки щодо впровадження генеративного штучного інтелекту в кібербезпеці

Для компаній, які оцінюють, як використовувати генеративний штучний інтелект у своїй стратегії кібербезпеки, ось кілька практичних висновків та рекомендацій для відповідального та ефективного впровадження:

  1. Почніть з освіти та навчання: переконайтеся, що ваша команда безпеки (і ширший ІТ-персонал) розуміє, що може робити генеративний ШІ, а що не може. Забезпечте навчання основам інструментів безпеки на базі ШІ та оновіть свої програми підвищення обізнаності про безпеку для всіх співробітників, щоб вони охоплювали загрози, що використовуються ШІ. Наприклад, навчіть персонал, як ШІ може генерувати дуже переконливі фішингові шахрайства та дипфейкові дзвінки. Одночасно навчіть співробітників безпечному та схваленому використанню інструментів ШІ в їхній роботі. Добре поінформовані користувачі з меншою ймовірністю неправильно поводяться зі ШІ або стають жертвами атак, посилених ШІ ( Як генеративний ШІ можна використовувати в кібербезпеці? 10 реальних прикладів ).

  2. Визначте чіткі політики використання ШІ: Ставтеся до генеративного ШІ як до будь-якої потужної технології – з належним управлінням. Розробіть політики, які визначають, хто може використовувати інструменти ШІ, які інструменти дозволені та для яких цілей. Включіть інструкції щодо обробки конфіденційних даних (наприклад, заборона передачі конфіденційних даних зовнішнім службам ШІ), щоб запобігти витокам. Наприклад, ви можете дозволити лише членам команди безпеки використовувати внутрішнього помічника ШІ для реагування на інциденти, а маркетинг може використовувати перевірений ШІ для контенту – для всіх інших це обмежено. Багато організацій зараз чітко враховують генеративний ШІ у своїх ІТ-політиках, а провідні органи зі стандартизації заохочують політику безпечного використання, а не прямі заборони ( Як можна використовувати генеративний ШІ в кібербезпеці? 10 реальних прикладів ). Обов’язково доведіть ці правила та обґрунтування їх використання до відома всіх співробітників.

  3. Зменшення «тіньового ШІ» та моніторинг використання: Подібно до тіньових ІТ, «тіньовий ШІ» виникає, коли співробітники починають використовувати інструменти або послуги ШІ без відома ІТ-відділу (наприклад, розробник використовує неавторизованого помічника з кодування ШІ). Це може призвести до прихованих ризиків. Впроваджуйте заходи для виявлення та контролю несанкціонованого використання ШІ . Моніторинг мережі може позначати підключення до популярних API ШІ, а опитування або аудити інструментів можуть виявити, що використовують співробітники. Пропонуйте схвалені альтернативи, щоб співробітники з добрими намірами не спокушалися діяти шахрайським шляхом (наприклад, надайте офіційний обліковий запис ChatGPT Enterprise, якщо люди вважають це корисним). Виявляючи використання ШІ, команди безпеки можуть оцінювати та керувати ризиками. Моніторинг також є ключовим – реєструйте діяльність та результати інструментів ШІ якомога частіше, щоб був журнал аудиту рішень, на які вплинув ШІ ( Як генеративний ШІ можна використовувати в кібербезпеці? 10 реальних прикладів ).

  4. Використовуйте ШІ в обороні – не відставайте: усвідомте, що зловмисники використовуватимуть ШІ, тому ваш захист також повинен це робити. Визначте кілька областей з високим рівнем впливу, де генеративний ШІ може негайно допомогти вашим операціям безпеки (можливо, сортування сповіщень або автоматизований аналіз журналів) та запустіть пілотні проекти. Посиліть свій захист за допомогою швидкості та масштабу ШІ, щоб протистояти швидкозмінним загрозам ( Як генеративний ШІ можна використовувати в кібербезпеці? 10 реальних прикладів ). Навіть прості інтеграції, такі як використання ШІ для узагальнення звітів про шкідливе програмне забезпечення або створення запитів для пошуку загроз, можуть заощадити аналітикам години. Почніть з малого, оцініть результати та виконуйте ітерації. Успіхи закріплять аргументи для ширшого впровадження ШІ. Мета полягає в тому, щоб використовувати ШІ як множник сили – наприклад, якщо фішингові атаки перевантажують вашу службу підтримки, розгорніть класифікатор електронної пошти на основі ШІ, щоб проактивно зменшити цей обсяг.

  5. Інвестуйте в безпечні та етичні практики ШІ: під час впровадження генеративного ШІ дотримуйтесь безпечних практик розробки та розгортання. Використовуйте приватні або самостійно розміщені моделі для конфіденційних завдань, щоб зберегти контроль над даними. Якщо ви використовуєте сторонні сервіси ШІ, перегляньте їхні заходи безпеки та конфіденційності (шифрування, політики зберігання даних тощо). Впроваджуйте системи управління ризиками ШІ (наприклад, Структуру управління ризиками ШІ NIST або керівництво ISO/IEC), щоб систематично вирішувати такі питання, як упередженість, поясненьність та надійність у ваших інструментах ШІ ( Як генеративний ШІ можна використовувати в кібербезпеці? 10 реальних прикладів ). Також плануйте оновлення/виправлення моделей як частину технічного обслуговування – моделі ШІ також можуть мати «вразливості» (наприклад, їм може знадобитися перенавчання, якщо вони почнуть відхилятися або якщо буде виявлено новий тип зловмисної атаки на модель). Впроваджуючи безпеку та етику у використання ШІ, ви формуєте довіру до результатів та забезпечуєте дотримання нових правил.

  6. Тримайте людей в курсі подій: Використовуйте ШІ для сприяння, а не для повної заміни людського судження в кібербезпеці. Визначте точки прийняття рішень, де потрібна перевірка людиною (наприклад, ШІ може скласти звіт про інцидент, але аналітик переглядає його перед розповсюдженням; або ШІ може запропонувати заблокувати обліковий запис користувача, але людина схвалює цю дію). Це не тільки запобігає неперевіреним помилкам ШІ, але й допомагає вашій команді навчатися у ШІ та навпаки. Заохочуйте спільний робочий процес: аналітики повинні почуватися комфортно, ставлячи під сумнів результати ШІ та виконуючи перевірки на обґрунтованість. З часом цей діалог може покращити як ШІ (завдяки зворотному зв'язку), так і навички аналітиків. По суті, розробляйте свої процеси таким чином, щоб сильні сторони ШІ та людини доповнювали одне одного – ШІ ​​обробляє обсяг і швидкість, люди обробляють неоднозначність та остаточні рішення.

  7. Вимірювання, моніторинг та коригування: нарешті, ставтеся до своїх генеративних інструментів ШІ як до живих компонентів вашої екосистеми безпеки. Постійно вимірювайте їхню продуктивність – чи скорочують вони час реагування на інциденти? Виявляють загрози раніше? Яка тенденція щодо рівня хибнопозитивних результатів? Запитуйте відгуки від команди: чи корисні рекомендації ШІ, чи вони створюють шум? Використовуйте ці показники для вдосконалення моделей, оновлення даних навчання або коригування способу інтеграції ШІ. Кіберзагрози та потреби бізнесу розвиваються, і ваші моделі ШІ слід періодично оновлювати або перенавчати, щоб залишатися ефективними. Майте план управління моделлю, включаючи того, хто відповідає за її обслуговування та як часто вона переглядається. Активно керуючи життєвим циклом ШІ, ви гарантуєте, що він залишається активом, а не пасивом.

На завершення, генеративний ШІ може значно покращити можливості кібербезпеки, але успішне впровадження вимагає ретельного планування та постійного контролю. Компанії, які навчають своїх співробітників, встановлюють чіткі правила та інтегрують ШІ збалансованим, безпечним способом, отримають винагороду за швидше та розумніше управління загрозами. Ці висновки забезпечують дорожню карту: поєднуйте людський досвід з автоматизацією ШІ, охоплюйте основи управління та підтримуйте гнучкість, оскільки як технологія ШІ, так і ландшафт загроз неминуче розвиваються.

Здійснюючи ці практичні кроки, організації можуть впевнено відповісти на питання «Як генеративний ШІ можна використовувати в кібербезпеці?» – не лише в теорії, а й у повсякденній практиці – і тим самим зміцнити свій захист у нашому дедалі цифровішому світі, що керується ШІ. ( Як генеративний ШІ можна використовувати в кібербезпеці )

Технічні документи, які вам можуть сподобатися після цього:

🔗 Професії, які ШІ не може замінити, і які професії замінить ШІ?
Дізнайтеся про глобальний погляд на те, які професії захищені від автоматизації, а які ні.

🔗 Чи може ШІ передбачати фондовий ринок?
Детальніше розглянемо обмеження, прориви та міфи щодо здатності ШІ прогнозувати рухи ринку.

🔗 На що може покластися генеративний ШІ без втручання людини?
Зрозумійте, де ШІ може працювати самостійно, а де людський нагляд все ще є важливим.

Повернутися до блогу