Cikksorozatunk előző részében bemutattuk, miért fontos a biztonsági incidensek minél gyorsabb észlelése és a reakcióidő minimalizálása. Felmérések szerint néhány perctől sok hónapig terjedhet azok időtartama, de legyen bármennyi, folyamatosan törekedni kell a lehető legkisebbre szorítani. Az automatizáció és a mesterséges intelligencia alkalmazása az egyik lehetőség a gyakran forráshiányos IT-biztonsági részlegek hatékonyságának fokozására.

(Nagyrészt) önműködő rendszerek

A biztonsági eseményekre adott válaszok automatizálása voltaképp egy szabályalapú, egyre inkább gépi tanulást és mesterséges intelligenciát is használó rendszer alkalmazását jelenti. Ennek során különböző forrásokból begyűjtött (aggregált) adatok elemzése, és a kórházakból ismert triázs módszer révén a legveszélyesebb fenyegetések előre sorolásával folyamatosan zajlik az aktuális helyzet felmérése. Önműködő rutinokkal felgyorsíthatók az incidensekre adott válaszfolyamatok, illetve növelhető a SecOps biztonsági csapatok hatékonysága és eredményessége.

Míg a kisebb szervezeteknél az automatizálás a forráshiányos állapoton segíthet, a nagyobb vállalatok esetében az IT-infrastruktúra komplexitásából adódó nehézségek kezelését könnyíti meg. Kézi incidenskezeléssel nem csak a hatékonyság marad alacsony szinten, de a feladattal megbízottak terhelése is látványosan nagyobb. Emellett a biztonsági fenyegetések gyökerének feltárása jóval tovább tart.

Az automatizálás célja, hogy a biztonsági központ (SOC – Security Operations Center) csapata csak a releváns, figyelmet igénylő riasztásokkal foglalkozzon, és figyelmen kívül hagyja (vagy legalább is hátra sorolja) a legitim tevékenységekből eredő jelentéseket. A hatékonyság tovább növelhető az automatizmusok reagálás során történő alkalmazásával.

A legjobb gyakorlatokra, korábbi tapasztalatokra alapozott útmutatók (playbooks) alapján a relatíve gyakran előforduló, alacsony kockázatú incidensek akár teljesen önműködően megoldhatóvá válnak, miközben a magasabb szintű fenyegetésekkel szemben kézzelfogható és gyorsan használható segítséget kaphat a SOC csapata. A humán munkaerő teljes kiváltása ugyan nem valósítható meg, de ez – a legdrágább – erőforrás koncentrálható az emberi beavatkozást igénylő, összetett feladatokra.

Gyakorlatból igazolta vissza az elméleti megállapításokat Vaspöri Ferenc, az Invitech IT biztonsági szolgáltatások vezetője, aki párhuzamot vont az ügyfélszolgálati megoldások terén alkalmazott automatizációval. A SOAR képes az első szintű (L1) incidenselemző feladatok automatizált végrehajtására, ugyanakkor teljes egészében nem váltja ki a mérnököket. Mint Vaspöri mondta, a SOC-csapat bővítése már nem nyújtott volna hatékony alternatívát, ezért inkább a szoftveres bevezetés és a jobb megtérülési mutatók irányába fordultak.

Mesterséges intelligencia a védelemben

Az automatizálás egyik speciális vetületét jelenti az MI felhasználása a digitális támadásokkal szembeni védekezés fokozása érdekében. Mondani persze könnyű: ahhoz, hogy hatékony támogatást jelentsen a mesterséges intelligencia, a szervezeteknek fel kell tudni mérniük infrastruktúrájukat, adatrendszereiket, alkalmazásaikat, képességeik korlátjait, legjobb gyakorlataikat, illetve ki kell választaniuk a megfelelő use case-eket és "útitervet" kell készíteniük az implementációhoz.

Kapkodva tehát a biztonság területén sem lehet bevezetni a mesterséges intelligenciát. Ugyanakkor egy-egy nagyobb technológiai ugrás időről-időre jelentős előrelépést hozhat ezen a téren. Nemrég a Logpoint számolt be az elmúlt hónapokban nagyot futó ChatGPT SOAR megoldásával történő integrációjáról. A komoly visszhangot kiváltó MI-t azért még nem az éles rendszerrel hangolták össze, egyelőre kísérleti stádiumban alkalmazzák a mesterséges intelligencia vezérelte csevegőrobotot.

Az integráció élessé válása lerövidíti majd a cég ügyfelei számára a támadásokról készített jelentések előállítását és kezelését. Emellett rövid összefoglalókat készíthet a hosszú és részletes riportokhoz, amivel kihangsúlyozhatók a főbb megállapítások és a helyzet megoldására tett javaslatok. A ChatGPT SOAR integrációja kiegészítheti a felhasználóitudatosság-képzéseket is: automatizált jelszóhalász leveleket küldhet a LinkedInből és egyéb forrásokból kinyert adatokra alapozva, a tesztelésre kiválasztott dolgozók e-mailcímére. Szintén automatizált értékelőrendszerével könnyen megállapíthatóvá teszi, hogy kik számítanak gyenge láncszemnek a szervezetnél.

Mire használják a hackerek?

Jól hangzik a mesterséges intelligencia "jó”"oldalon történő használata, de ne legyenek illúzióink: a rosszfiúk is élnek az MI kínálta lehetőségekkel. Például felhasználható a célzott rendszer sebezhetőségeit felfedő mintázatok felismerésére, amivel gyorsabban és szélesebb körben válnak kihasználhatóvá az újonnan felfedezett sebezhetőségek. De folyamatosan változó, ártalmas programok létrehozására is alkalmazták már, a védelmi rendszerek jobb kijátszása érdekében.

Nyílt adatforrásokból – például a közösségi hálózatokból – származó adatokkal felvértezve a rossz kezekbe került mesterséges intelligencia nagyszámú jelszóhalász levelet készíthet és malware-t terjeszthet vagy értékes információkat gyűjthet be. Az MI által összeállított elektronikus leveleket nagyobb arányban nyitják meg az áldozatok, mint a manuálisan létrehozott üzeneteket, állítja az amerikai Pillsbury Law jogi cég kiberbiztonsággal, adatvédelemmel foglalkozó szakembere, Brian Finch.

A kibertámadások ökonómiáját alapul véve – általánosságban könnyebb és olcsóbb támadást kivitelezni, mint hatékony védelmet felhúzni ellene – Finch azon a véleményen van, hogy a mesterséges intelligencia alkalmazásának terjedése inkább árt, mint használ a biztonság tekintetében. Azt ugyanakkor érdemes megjegyezni, hogy az igazán jó MI nem terem minden bokorban: sok és magasan képzett embert igényel ahhoz, hogy hatékonyan támogathassa a számítógépes rendszerek védelmét. Az „átlagos hackereknek” valószínűleg sosem lesz hozzáférésük ehhez a technológiákhoz, azonban a témában otthonosan mozgó, államilag támogatott csoportok esetében (lásd Kína, Oroszország, Észak-Korea) már más a helyzet.

Arra, hogy pontosan mi is az a SOAR és hogyan lehet a szervezetek segítségére, egy példán keresztül lehet a legjobban rávilágítani. Erről fog szólni cikksorozatunk következő része.
 

Ez a cikk független szerkesztőségi tartalom, mely az Invitech támogatásával készült. Részletek »