Czy rozwiązania, które bazują na sztucznej inteligencji (AI, SI), uczeniu maszynowym i głębokim, są na tyle dojrzałe, że już dzisiaj są w stanie zapewnić natychmiastowe korzyści z wdrożenia? Warto przypomnieć, że już jakąś dekadę temu AI była bardzo promowana w monitoringu wizyjnym. Miała być wtedy doskonałym remedium na błędy pracowników ochrony wpatrujących się przez długie godziny w wiele ekranów monitorów. Okazało się, że zamiast poprawy bezpieczeństwa efektem zastosowania sztucznej inteligencji była nieakceptowalna liczba fałszywych alarmów. Rozwiązania, które miały odciążyć ludzi, w rzeczywistości dokładały im pracy. Zamiast przynosić oszczędności, zwiększały koszty.

Tak wyglądało to przed laty, jednak od tego czasu – dzięki postępowi technicznemu – wiele się zmieniło (we wspomnianym nadzorze wideo widać to wyraźnie). Gdy obecnie AI wchodzi na coraz większą skalę w obszar cyberbezpieczeństwa, jest ona już znacznie bardziej dojrzała. Do dyspozycji są doskonalsze algorytmy i znacznie większa moc obliczeniowa infrastruktury (dzięki chmurze wręcz nieograniczona). Można wdrażać rozwiązania AI lokalnie, można korzystać z nich za pośrednictwem platform chmurowych. Przy czym nie oznacza to, że użycie sztucznej inteligencji w systemie bezpieczeństwa jest bezproblemowe. Żeby osiągnąć wyraźne korzyści, trzeba poradzić sobie z wyzwaniami, których wciąż nie brakuje.

Łatwiej już było

Sytuację pogarsza prawdziwy wysyp wszelkich produktów typu „smart”, a więc elektronicznych urządzeń bezprzewodowo łączących się z innymi urządzeniami bądź sieciami, co znacząco zwiększa pole manewru współczesnym cyberprzestępcom. Nic dziwnego, że skala ich działania już teraz wręcz szokuje. Według szacunków Cybersecurity Ventures do 2021 r. ma to być lepszy interes niż globalny handel wszystkimi rodzajami narkotyków, przynosząc jego beneficjentom 6 bln dol. rocznie (w porównaniu z 3 bln w 2015 r.). Co gorsza, jeśli atakujący są wyposażeni w najnowsze techniki zdalnej kradzieży danych bądź wyrządzania szkód w systemach informatycznych, ich powstrzymanie staje się wręcz niemożliwe. Przynajmniej za pomocą tradycyjnych środków. Z tego powodu rozmowa z klientem o cyberbezpieczeństwie powinna – zdaniem Piotra Tobiasza, dyrektora sprzedaży w polskim oddziale Yellow Cube – zaczynać się od uświadamiania go, jaki jest obecny stan zagrożenia. Zwłaszcza że nie tylko liczbę ataków należy uznać za porażającą. Równie złą, a może nawet gorszą wiadomością jest fakt, jak długo potrafią one pozostawać niewykryte.

Jak wynika z badań, średnio 700 razy na godzinę w Polsce dochodzi do próby ataku. W samym 2018 r. odnotowano u nas ponad 6 mln takich prób. Ich liczba z każdym rokiem nie tylko jest wyraźnie większa, ale co gorsza, średni czas wykrycia incydentu w Polsce wynosi około… 200 dni – alarmuje Piotr Tobiasz.

 

W rezultacie udany atak jest w obecnej sytuacji tylko kwestią czasu. Nie chodzi już o to, czy do niego dojdzie, tylko kiedy. Tym bardziej że atakujący stosują coraz bardziej zautomatyzowane metody. Mając dostęp do najnowszych technologii, bardzo często są krok przed przedsiębiorstwami próbującymi chronić swoje dane i zasoby. Często wystarczy im nawet tylko jeden atak, by przełamać zabezpieczenia systemów. Dlatego kluczowe jest to, w jakim czasie ofiara zorientuje się, że do niego doszło. Tylko bowiem wykrywając atak na wczesnym etapie, będzie w stanie zminimalizować szkody.

W wykrywaniu nowych wektorów ataków wymaganej wydajności, skuteczności i szybkości nie zapewniają tradycyjne rozwiązania cyberbezpieczeństwa bazujące na sygnaturach. Wobec wykładniczego wzrostu ruchu sieciowego detekcja odchyleń od wzorców staje się coraz większym wyzwaniem. Liczba ataków jest bardzo duża, ale liczba alarmów generowanych przez systemy bezpieczeństwa jest o wiele większa. Jak zatem odróżnić te fałszywe od prawdziwych? Z powodu braku czasu i specjalistów wiele przypadków nigdy nie doczeka się analizy. A przewiduje się, że do końca 2020 r. w Polsce będzie brakować blisko 10 tys. analityków ds. bezpieczeństwa.

Z pomocą przychodzą: sztuczna inteligencja (AI), uczenie maszynowe (ML) i uczenie głębokie (DL). Jeśli człowiek pozostaje najsłabszym ogniwem w systemie ochrony, to nowe, wykraczające poza jego możliwości rozwiązania stają się jedynym sposobem, by radzić sobie ze skalą i skomplikowaniem dzisiejszych zagrożeń. Ułatwiają one analizę wzorców ruchu sieciowego i szybką identyfikację potencjalnych anomalii. Stanowią też wsparcie w sytuacji coraz dotkliwszego braku specjalistów zajmujących się ochroną systemów informatycznych.

Nie mamy innego wyjścia. Jeśli nie będziemy zmierzać w kierunku systemów cyberbezpieczeństwa wzbogaconych o metody głębokiej analizy i automatyzacji, to nie damy sobie rady w trwającej cyberwojnie. Pozostaniemy w tyle za cyberprzestępcami, a czas do wykrycia incydentu jeszcze bardziej się wydłuży – mówi przedstawiciel Yellow Cube.

Jolanta Malak, dyrektor sprzedaży, Fortinet

Jednym z największych wyzwań w wykorzystaniu sztucznej inteligencji i uczenia maszynowego jest odpowiednia jakość pozyskiwanych informacji o zagrożeniach. Uczenie maszynowe jest napędzane dużymi ilościami danych gromadzonymi przez urządzenia końcowe oraz aplikacjami przewidującymi zdarzenia w sieci. Informacje te mogą jednak zawierać dużo fałszywych sygnałów. Zagrożenia zmieniają się w ciągu sekund: urządzenie może być „czyste” w jednym momencie, by za chwilę zostać zainfekowane i następnie „uzdrowione”. A to wszystko dzieje się w krótkim czasie.

 

Przede wszystkim detekcja i szybkie reagowanie

Systemy cyberbezpieczeństwa to nie są jakieś gotowe do wdrożenia produkty, tylko ciągły proces. Można w nim wyróżnić następujące fazy: przewidywania, zapobiegania, wykrywania i reagowania. Zdaniem specjalistów w dwóch pierwszych fazach w zasadzie trudno cokolwiek nowego wymyślić czy zrobić. Jeśli chodzi o przewidywanie i zapobieganie, możliwości są bowiem ograniczone. Pozostają więc dwa obszary, na których powinna obecnie skupiać się uwaga dostawców systemów IT. Tak by jak najszybciej wykrywać zagrożenia, a następnie na nie reagować. Obie te fazy dają przy tym największe możliwości zastosowania sztucznej inteligencji. Przy czym należy podkreślić, że AI można obecnie stosować praktycznie w każdej warstwie ochrony. Może analizować dane dostarczane przez firewalle, systemy wykrywania włamań lub rozwiązania ochrony punktów końcowych.

Wśród obszarów, w których sztuczna inteligencja jest wykorzystywana, wymienia się tzw. Intent-Based Network Security (IBNS). Rozwiązania tego typu zapewniają pełną widoczność statusu sieci, umożliwiają zintegrowanym systemom automatyczne dostosowywanie się do zmian w konfiguracji i koordynują proces reagowania na zagrożenia. Potrafią także dynamicznie dokonywać segmentacji sieci, izolować zainfekowane urządzenia i usuwać złośliwe oprogramowanie. Automatycznie identyfikują nowe urządzenia i usługi podłączane w każdym miejscu sieci, a następnie podejmują odpowiednie działania z tym związane.

Z kolei uczenie maszynowe umożliwia szybkie przetwarzanie informacji i reagowanie na zagrożenia w czasie rzeczywistym. Urządzenie może identyfikować wzorce i prawidłowości oraz podejmować na tej podstawie decyzje, a wszystko przy minimalnej ingerencji człowieka – mówi Jolanta Malak, dyrektor sprzedaży w polskim oddziale Fortinetu.

Uczenie maszynowe ma zastosowanie m.in. w aplikacyjnych zaporach sieciowych (Web Application Firewalls – WAF). Stało się konieczne, bo tradycyjnie do wykrywania anomalii w aplikacjach WWW jest stosowane tzw. jednowarstwowe podejście. Polega ono na porównywaniu nowo napływających danych z dotychczasowymi obserwacjami, a każde odchylenie jest traktowane jako zagrożenie. Obecnie takie metody przestały być efektywne, ponieważ często generują fałszywe alarmy. WAF nowej generacji stosują podejście dwuwarstwowe, w którym pierwsza warstwa buduje model matematyczny dla każdego poznanego parametru, a potem wykrywa anomalie w przypadku nietypowych żądań. Druga warstwa sprawdza wtedy, czy dana anomalia stanowi faktyczne zagrożenie, czy też nieszkodliwe odchylenie.

Piotr Tobiasz, dyrektor sprzedaży, Yellow Cube

Sztuczna inteligencja może rozwiązać największe problemy cyberbezpieczeństwa już teraz i oczywiście w przyszłości. Ponieważ tego typu rozwiązania automatycznie polują na zagrożenia, stanowią odpowiedź na braki kadrowe. Z uwagi na to, że działają w czasie rzeczywistym, są bardzo szybkie i wyraźnie skracają czas niezbędny do wykrycia zagrożenia. Ponieważ ciągle się uczą i poprawiają, więc popełniają coraz mniej błędów. Bazują przy tym na analizie zachowania użytkowników, więc są skuteczne. W rezultacie, to dzięki nim będzie można w coraz trudniejszej walce z cyberprzestępcami przechylić szalę zwycięstwa na stronę broniących się przed atakami.

 

 

Każdy kij ma dwa końce

Trzeba jednak pamiętać, że wdrożenie sztucznej inteligencji w cyberbezpieczeństwie zakończy się sukcesem tylko wtedy, gdy źródła informacji, podłączone do platform danych, będą dostarczać właściwe dane wejściowe algorytmom SI. A obsługa tych algorytmów może być trudna – z powodu problemów w integrowaniu ich z obecną infrastrukturą, systemami danych i ze środowiskiem aplikacyjnym.

Chociaż sztuczna inteligencja może być receptą na braki kadrowe, to sama także potrzebuje specjalistów. Problemem może być więc deficyt wykwalifikowanych ekspertów ds. cyberbezpieczeństwa, którzy potrafiliby usprawniać logikę leżącą u podstaw algorytmów AI, tak by skutecznie wykrywać zagrożenia. Do tego, by algorytm AI mógł likwidować potencjalne wektory ataku, potrzebują oni wiedzy o kluczowych procesach w przedsiębiorstwie.

Działy IT przekazują do systemów sztucznej inteligencji coraz więcej zadań wykonywanych przez ludzi i jest to swoisty test zaufania. Nie można bowiem przekazać pełnej kontroli maszynom i trzeba wypracować optymalny model równowagi operacyjnej. Ta współpraca – między ludźmi a zaawansowanymi systemami – uczyni rozwiązania nowej generacji prawdziwie efektywnymi. Pomocne może też być użycie asystowanej neutralizacji zagrożeń, będącej kombinacją działań ludzi i systemów zabezpieczających. Automatyzacja pozwoli zespołom IT poświęcić więcej czasu na analizę zdarzeń, by lepiej zorganizować działania prewencyjne.

Firmy i instytucje potrzebują całkowitej zmiany paradygmatu w myśleniu o bezpieczeństwie oraz wdrażaniu rozwiązań ochronnych. W przyszłości czekają nas nowe rodzaje cyberataków, np. z wykorzystaniem rojów inteligentnych, samouczących się botów.

SŁOWNICZEK AI

Sztuczna inteligencja – Artificial Intelligence (AI): techniki działające na podobieństwo ludzkiego umysłu i postrzegane przez ludzi jako mające jakąś formę inteligencji. Obecnie typowe możliwości AI to: rozpoznawanie mowy, obrazów i wideo, autonomiczne obiekty, przetwarzanie języka naturalnego, agenty konwersacyjne, modelowanie predykcyjne, kreatywność rozszerzona, inteligentna automatyzacja, zaawansowane symulacje, a także złożone analizy i prognozy.

Uczenie maszynowe – Machine Learning (ML): algorytmy, które uczą się przewidywać na podstawie dostarczonych im danych. Inaczej mówiąc, dzięki ML komputery działają bez ściśle określonego ich zaprogramowania.

Uczenie głębokie – Deep Learning (DL): komputer uczy się wielu hierarchicznych abstrakcji w celu złożonego przewidywania na bazie dostarczonych danych. Wykorzystuje przy tym algorytmy przypominające strukturą i funkcjami ludzki mózg, tworzące sztuczne sieci neuronowe.

 

Rozwiązania bazujące na SI dają nadzieję, że uda się przeciwstawić temu zagrożeniu. Zdaniem Jolanty Malak idealnym rozwiązaniem byłoby stworzenie „układu odpornościowego” sieci, podobnego do tego w ludzkim organizmie, w którym białe krwinki przychodzą na ratunek po wykryciu infekcji i autonomicznie działają, by ją zwalczyć. Podobnie jest ze sztuczną inteligencją: w obecnej postaci jest wykorzystywana przede wszystkim do analizowania danych, z czasem jednak będzie w stanie funkcjonować bardziej jak ludzki układ odpornościowy lub sieć neuronowa. Obejmie wówczas połączone, rozmieszczone lokalnie, uczące się węzły, które będą zbierać dane, a następnie zacznie globalnie dzielić się informacją, korelować ją i analizować.

Jednakże nawet jeśli system bezpieczeństwa będzie przypominał układ immunologiczny, to nie można wykluczyć, że ataki będą przypominać nieustannie i automatycznie mutujące się drobnoustroje. Oczywiście dlatego, że do ich przeprowadzania cyberprzestępcy mogą i będą wykorzystywać sztuczną inteligencję.

Przykładowo już teraz algorytmy SI są skuteczniejsze w spear phishingu na Twitterze, co polega na wysyłaniu spersonalizowanych tweetów do ściśle określonych użytkowników, by nakłonić ich do udostępniania poufnych informacji. AI może przy tym wysyłać złośliwe tweety sześć razy szybciej niż człowiek, uzyskując dwa razy lepsze wyniki. Krótko mówiąc, wojna z cyberprzestępcami niezależnie od zastosowanych metod może nie mieć końca.

Zdaniem integratora

Matthew Gyde, Chief Executive Officer, NTT Security

Chociaż przedsiębiorcy i instytucje nadal kupują infrastrukturę on-premise, głównie by zachować zgodność z regulacjami, to i tak coraz więcej aplikacji i obciążeń jest tworzonych oraz hostowanych w środowiskach chmurowych. Stałą w swojej postaci infrastrukturę lokalną zwykle cechują standardowe wzorce ruchu, co sprawia, że stosunkowo łatwo jest wykryć występujące anomalie. Niestety, nie ma to zastosowania wobec infrastruktury hiperskalowalnych dostawców chmury, którzy codziennie dokonują setek tysięcy szybkich aktualizacji swoich platform. Ponieważ tak trudno jest znaleźć standardowe wzorce w infrastrukturze chmury publicznej, absolutnie krytyczne staje się wykorzystanie inteligencji w mechanizmach mających zabezpieczać aplikacje i obciążenia.