เขียนโดย: Sridhar Muppidi, IBM Fellow and Chief Technology Officer, IBM Security
ที่มา: MIT
เราได้ถกเถียงกันถึงประโยชน์ของปัญญาประดิษฐ์ (AI) ต่อสังคมมาหลายปี แต่ตอนนี้ผู้คนเริ่มเห็นผลกระทบในแต่ละวันของมันแล้ว แต่ทำไมตอนนี้? อะไรจะทำให้ AI ในปี 2023 มีผลกระทบมากกว่าที่เคย?
ประการแรก การเปิดรับผู้บริโภคต่อนวัตกรรม AI ที่เกิดขึ้นใหม่จะเพิ่มการยอมรับ ตั้งแต่การแต่งเพลงและการสังเคราะห์ภาพที่เคยเป็นเพียงจินตนาการ ไปจนถึงการเขียนวิทยานิพนธ์ระดับมหาวิทยาลัย AI กำเนิดได้เข้ามาอยู่ในชีวิตประจำวันของเรา ประการที่สอง เรายังมาถึงจุดเปลี่ยนบนเส้นโค้งวุฒิภาวะของนวัตกรรม AI ขององค์กร และในอุตสาหกรรมความปลอดภัยทางไซเบอร์ ความก้าวหน้านี้สามารถเกิดขึ้นได้เร็วกว่ามาก
ผู้บริโภคของ AI และการประยุกต์ใช้ในการรักษาความปลอดภัยกำลังสร้างระดับของความไว้วางใจและประสิทธิภาพที่จำเป็นเพื่อให้มีผลกระทบที่แท้จริงในศูนย์ปฏิบัติการด้านความปลอดภัย (SOCs) เพื่อให้เข้าใจถึงวิวัฒนาการนี้มากขึ้น ลองมาดูกันดีกว่าว่าเทคโนโลยีที่ขับเคลื่อนด้วย AI หาทางไปอยู่ในมือของนักวิเคราะห์ความปลอดภัยในโลกไซเบอร์ได้อย่างไร
ตอนนี้ให้ AI อยู่ด้านบนของสถานการณ์ทั่วไปนี้: AI จะสังเกตเห็นว่าผู้ใช้ที่คลิกอีเมลนั้นกำลังทำงานต่างออกไป ตัวอย่างเช่น ตรวจพบการเปลี่ยนแปลงในโฟลว์ของผู้ใช้ และการโต้ตอบกับระบบที่ปกติจะไม่โต้ตอบด้วย เมื่อพิจารณาถึงกระบวนการ สัญญาณ และการโต้ตอบต่างๆ ที่เกิดขึ้น AI จะวิเคราะห์พฤติกรรมนี้และใส่เข้าไปในบริบท ซึ่งฟังก์ชันความปลอดภัยแบบคงที่ไม่สามารถทำได้
เนื่องจากผู้คุกคามไม่สามารถเลียนแบบพฤติกรรมทางดิจิทัลได้ง่ายเท่ากับการเลียนแบบลักษณะเฉพาะที่คงที่ เช่น ข้อมูลประจำตัวของใครบางคน ข้อได้เปรียบเชิงพฤติกรรมที่ AI และระบบอัตโนมัติมอบให้ผู้ป้องกัน ทำให้ความสามารถด้านความปลอดภัยเหล่านี้มีประสิทธิภาพมากยิ่งขึ้น
IBM丨AI ในการรักษาความปลอดภัยในโลกไซเบอร์: คำมั่นสัญญาของปีกลายเป็นจริงแล้ว
เขียนโดย: Sridhar Muppidi, IBM Fellow and Chief Technology Officer, IBM Security
ที่มา: MIT
เราได้ถกเถียงกันถึงประโยชน์ของปัญญาประดิษฐ์ (AI) ต่อสังคมมาหลายปี แต่ตอนนี้ผู้คนเริ่มเห็นผลกระทบในแต่ละวันของมันแล้ว แต่ทำไมตอนนี้? อะไรจะทำให้ AI ในปี 2023 มีผลกระทบมากกว่าที่เคย?
ประการแรก การเปิดรับผู้บริโภคต่อนวัตกรรม AI ที่เกิดขึ้นใหม่จะเพิ่มการยอมรับ ตั้งแต่การแต่งเพลงและการสังเคราะห์ภาพที่เคยเป็นเพียงจินตนาการ ไปจนถึงการเขียนวิทยานิพนธ์ระดับมหาวิทยาลัย AI กำเนิดได้เข้ามาอยู่ในชีวิตประจำวันของเรา ประการที่สอง เรายังมาถึงจุดเปลี่ยนบนเส้นโค้งวุฒิภาวะของนวัตกรรม AI ขององค์กร และในอุตสาหกรรมความปลอดภัยทางไซเบอร์ ความก้าวหน้านี้สามารถเกิดขึ้นได้เร็วกว่ามาก
เพิ่มความเร็วและความแม่นยำในการรักษาความปลอดภัยทางไซเบอร์ด้วยปัญญาประดิษฐ์
หลังจากหลายปีของการทดลองและการปรับแต่งกับผู้ใช้ในโลกแห่งความเป็นจริง ควบคู่ไปกับความก้าวหน้าอย่างต่อเนื่องในโมเดล AI เอง ความสามารถด้านความปลอดภัยทางไซเบอร์ที่ขับเคลื่อนด้วย AI นั้นไม่ได้เป็นเพียงคำศัพท์เฉพาะสำหรับผู้เริ่มต้นใช้งาน หรือรูปแบบที่เรียบง่ายและความสามารถตามกฎอีกต่อไป ข้อมูลได้กระจายออกไป จึงมีสัญญาณและข้อมูลเชิงลึกที่ไม่เหมือนใคร อัลกอริทึมได้พัฒนาเต็มที่และปรับบริบทข้อมูลทั้งหมดที่นำเข้ามาได้ดีขึ้น ตั้งแต่กรณีการใช้งานที่แตกต่างกันไปจนถึงข้อมูลดิบที่เป็นกลาง เป็นเวลาหลายปีที่เราเฝ้ารอคำสัญญาของปัญญาประดิษฐ์ที่จะมาถึง
สำหรับทีมรักษาความปลอดภัยทางไซเบอร์ นี่หมายถึงความสามารถในการขับเคลื่อนความเร็วและความแม่นยำที่เปลี่ยนแปลงเกมในการป้องกัน และบางทีอาจได้เปรียบในการต่อสู้กับอาชญากรไซเบอร์ในท้ายที่สุด ความปลอดภัยทางไซเบอร์เป็นอุตสาหกรรมที่พึ่งพาความเร็วและความแม่นยำโดยเนื้อแท้ ซึ่งทั้งสองอย่างนี้เป็นลักษณะเฉพาะของปัญญาประดิษฐ์ ทีมรักษาความปลอดภัยจำเป็นต้องรู้ว่าควรมองหาที่ไหนและควรมองหาอะไร ขึ้นอยู่กับความสามารถในการเคลื่อนที่อย่างรวดเร็ว อย่างไรก็ตาม ในโลกของการรักษาความปลอดภัยทางไซเบอร์นั้น เราไม่สามารถรับประกันความเร็วและความแม่นยำได้ ส่วนใหญ่เกิดจากความท้าทายสองประการในอุตสาหกรรม ได้แก่ การขาดแคลนทักษะและการระเบิดของข้อมูลเนื่องจากความซับซ้อนของโครงสร้างพื้นฐาน
ความจริงก็คือจำนวนคนที่ทำงานด้านความปลอดภัยในโลกไซเบอร์ทุกวันนี้มีภัยคุกคามทางไซเบอร์จำนวนไม่ จำกัด จากการศึกษาของไอบีเอ็ม ผู้ปกป้องมีจำนวนมากกว่าผู้ตอบสนองต่อเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ 68 เปอร์เซ็นต์ของผู้ตอบสนองต่อเหตุการณ์ด้านความปลอดภัยทางอินเทอร์เน็ตกล่าวว่าเป็นเรื่องปกติที่จะตอบสนองต่อหลายเหตุการณ์พร้อมกัน นอกจากนี้ยังมีข้อมูลที่ไหลผ่านองค์กรมากกว่าที่เคยเป็นมา และองค์กรก็มีความซับซ้อนมากขึ้น Edge Computing, IoT และความต้องการระยะไกลกำลังเปลี่ยนแปลงสถาปัตยกรรมธุรกิจสมัยใหม่ สร้างจุดบอดที่สำคัญสำหรับทีมรักษาความปลอดภัย หากทีมเหล่านี้ไม่สามารถ "มองเห็น" ได้ การดำเนินการรักษาความปลอดภัยก็จะไม่สามารถแม่นยำได้
ปัญญาประดิษฐ์ที่ซับซ้อนในปัจจุบันสามารถช่วยจัดการกับอุปสรรคเหล่านี้ได้ แต่เพื่อให้มีประสิทธิภาพ AI ต้องได้รับความไว้วางใจ ดังนั้นเราจึงต้องวางแนวป้องกันไว้รอบ ๆ เพื่อให้มั่นใจถึงผลลัพธ์ด้านความปลอดภัยที่เชื่อถือได้ ตัวอย่างเช่น เมื่อคุณไปเร็วเกินไปเพื่อความเร็ว ผลที่ได้คือความเร็วที่หลีกเลี่ยงไม่ได้ซึ่งนำไปสู่ความโกลาหล แต่เมื่อ AI ได้รับความไว้วางใจ (เช่น ข้อมูลที่เราฝึกฝนโมเดลของเรานั้นไม่มีอคติ โมเดล AI นั้นโปร่งใส ไม่ถูก และอธิบายได้) ก็สามารถขับเคลื่อนความเร็วที่เชื่อถือได้ เมื่อรวมกับระบบอัตโนมัติ จะสามารถปรับปรุงท่าทางการป้องกันของเราได้อย่างมาก โดยดำเนินการโดยอัตโนมัติตลอดวงจรชีวิตของการตรวจจับเหตุการณ์ การสอบสวน และการตอบสนองโดยไม่ต้องพึ่งพาการแทรกแซงของมนุษย์
"มือขวา" ของทีมรักษาความปลอดภัยเครือข่าย
กรณีการใช้งานทั่วไปและเป็นที่ยอมรับเป็นอย่างดีในการรักษาความปลอดภัยทางไซเบอร์ในปัจจุบันคือการตรวจจับภัยคุกคาม โดยที่ AI นำบริบทเพิ่มเติมจากชุดข้อมูลขนาดใหญ่และหลากหลาย หรือตรวจจับความผิดปกติในรูปแบบพฤติกรรมของผู้ใช้ ลองดูตัวอย่าง:
ลองนึกภาพว่าพนักงานคลิกอีเมลฟิชชิ่งโดยไม่ได้ตั้งใจ ทำให้มีการดาวน์โหลดที่เป็นอันตรายไปยังระบบของพวกเขา ปล่อยให้ผู้คุกคามเคลื่อนที่ไปด้านข้างและดำเนินการอย่างลับๆ ในสภาพแวดล้อมของเหยื่อ ผู้ก่อภัยคุกคามนี้พยายามข้ามเครื่องมือรักษาความปลอดภัยที่มีอยู่ทั้งหมดในสภาพแวดล้อมในขณะที่มองหาจุดอ่อนที่สามารถสร้างรายได้ ตัวอย่างเช่น พวกเขาอาจมองหาการเข้ารหัสที่เสียหายหรือโปรโตคอลแบบเปิดเพื่อใช้ประโยชน์และปรับใช้แรนซัมแวร์ ทำให้พวกเขาสามารถยึดระบบที่สำคัญมาใช้ประโยชน์กับองค์กรได้
ตอนนี้ให้ AI อยู่ด้านบนของสถานการณ์ทั่วไปนี้: AI จะสังเกตเห็นว่าผู้ใช้ที่คลิกอีเมลนั้นกำลังทำงานต่างออกไป ตัวอย่างเช่น ตรวจพบการเปลี่ยนแปลงในโฟลว์ของผู้ใช้ และการโต้ตอบกับระบบที่ปกติจะไม่โต้ตอบด้วย เมื่อพิจารณาถึงกระบวนการ สัญญาณ และการโต้ตอบต่างๆ ที่เกิดขึ้น AI จะวิเคราะห์พฤติกรรมนี้และใส่เข้าไปในบริบท ซึ่งฟังก์ชันความปลอดภัยแบบคงที่ไม่สามารถทำได้
เนื่องจากผู้คุกคามไม่สามารถเลียนแบบพฤติกรรมทางดิจิทัลได้ง่ายเท่ากับการเลียนแบบลักษณะเฉพาะที่คงที่ เช่น ข้อมูลประจำตัวของใครบางคน ข้อได้เปรียบเชิงพฤติกรรมที่ AI และระบบอัตโนมัติมอบให้ผู้ป้องกัน ทำให้ความสามารถด้านความปลอดภัยเหล่านี้มีประสิทธิภาพมากยิ่งขึ้น
ตอนนี้ลองนึกภาพตัวอย่างนั้นคูณด้วยร้อยหรือพันหรือหลายหมื่นและหลายแสน เพราะนั่นคือจำนวนภัยคุกคามที่อาจเกิดขึ้นโดยประมาณที่ธุรกิจใดธุรกิจหนึ่งเผชิญในแต่ละวัน เมื่อคุณเปรียบเทียบตัวเลขเหล่านี้กับทีม SOC โดยเฉลี่ยในปัจจุบันที่มี 3 ถึง 5 คน ผู้โจมตีย่อมมีความได้เปรียบ แต่ด้วย AI ที่สนับสนุนทีม SOC ด้วยการจัดลำดับความสำคัญของความเสี่ยง ทีมเหล่านั้นจึงสามารถมุ่งเน้นไปที่ภัยคุกคามที่แท้จริงท่ามกลางเสียงรบกวนได้ นอกจากนี้ AI ยังช่วยให้พวกเขาเร่งการสอบสวนและตอบสนอง เช่น ขุดข้อมูลโดยอัตโนมัติทั่วทั้งระบบเพื่อหาหลักฐานเพิ่มเติมที่เกี่ยวข้องกับเหตุการณ์ หรือจัดหาเวิร์กโฟลว์อัตโนมัติสำหรับการดำเนินการตอบโต้
IBM กำลังนำความสามารถของ AI เช่นนี้มาใช้ในเทคโนโลยีการตรวจจับและตอบสนองภัยคุกคามผ่านชุดโปรแกรม QRadar ปัจจัยที่เปลี่ยนแปลงเกมคือความสามารถของ AI ที่สำคัญเหล่านี้ถูกนำมารวมกันด้วยประสบการณ์การวิเคราะห์แบบรวมศูนย์ ซึ่งครอบคลุมเทคโนโลยี SOC หลักทั้งหมด ทำให้ใช้งานได้ง่ายขึ้นตลอดวงจรชีวิตของเหตุการณ์ทั้งหมด นอกจากนี้ ความสามารถของ AI เหล่านี้ยังได้รับการปรับปรุงจนถึงจุดที่สามารถเชื่อถือได้และดำเนินการโดยอัตโนมัติด้วยการตอบสนองที่ประสานกัน โดยปราศจากการแทรกแซงของมนุษย์ ตัวอย่างเช่น ทีม Managed Security Services ของ IBM ใช้ความสามารถของ AI เหล่านี้เพื่อปิดการแจ้งเตือน 70 เปอร์เซ็นต์โดยอัตโนมัติภายในปีแรกของการใช้งาน และเร่งไทม์ไลน์การจัดการภัยคุกคามมากกว่า 50 เปอร์เซ็นต์
การผสมผสานระหว่างปัญญาประดิษฐ์และระบบอัตโนมัติทำให้เกิดประโยชน์ที่จับต้องได้ในด้านความเร็วและประสิทธิภาพที่ SOC ในปัจจุบันต้องการอย่างยิ่ง หลังจากการทดสอบเป็นเวลาหลายปี และเมื่อมันเติบโตเต็มที่ นวัตกรรม AI สามารถเพิ่มประสิทธิภาพการใช้เวลาของผู้พิทักษ์ผ่านการกระทำที่แม่นยำและรวดเร็ว ยิ่งมีการใช้ประโยชน์จาก AI มากขึ้นในภูมิทัศน์การรักษาความปลอดภัย ก็ยิ่งช่วยขับเคลื่อนความสามารถของทีมรักษาความปลอดภัยในการดำเนินการได้เร็วยิ่งขึ้น และอุตสาหกรรมการรักษาความปลอดภัยทางไซเบอร์จะมีความยืดหยุ่นและพร้อมที่จะปรับตัวเข้ากับสิ่งที่จะเกิดขึ้นในอนาคต