Czy sztuczna inteligencja zapewni bezpieczeństwo

Szybko rośnie liczba producentów, którzy twierdzą, że ich rozwiązania wykorzystują mechanizmy AI. Jak odróżnić marketing od produktów lub usług, które mogą przynieść wymierne korzyści biznesowe?

Mechanizmy wykorzystujące sztuczną inteligencję oraz narzędzia pozwalające na automatyzację przeciwdziałania zagrożeniom to obecnie chyba najbardziej perspektywiczne metody, które mogą zasadniczo zwiększyć poziom bezpieczeństwa systemów IT.

Z opinią taką zgadza się większość specjalistów, a osoby odpowiedzialne za bezpieczeństwo firmowych systemów coraz częściej sięgają po oprogramowanie, które umożliwia automatyzację procedur związanych z aktualizacją i łataniem luk w systemach oraz szybką reakcję na pojawiające się ataki i zagrożenia.

Zobacz również:

W pewnym sensie oznacza to, że zaczyna się walka między maszynami, bo cyberprzestępcy już od pewnego czasu wykorzystują mechanizmy pozwalające na automatyzację ataków. Jeśli skuteczna obrona systemu IT przed zagrożeniami generowanymi maszynowo zależy od reakcji ludzi, to z reguły stoją oni na straconej pozycji i bez wspomagania przez oprogramowanie automatyzujące reakcję mogą przegrać walkę z dynamicznie zmieniającymi się zagrożeniami.

W starciu ze zautomatyzowanym atakiem ludzka reakcja coraz częściej sprowadza się do analizy śledczej, a nie bezpośredniego blokowania zagrożenia.

Dodatkowy problem stwarza rosnący popyt na wysoko wykwalifikowanych specjalistów ds. bezpieczeństwa i coraz wyraźniej odczuwany na rynku niedobór osób, które mogłyby zapewnić odpowiedni poziom bezpieczeństwa systemów IT przy wykorzystaniu tradycyjnych rozwiązań.

„Liczba incydentów związanych z bezpieczeństwem wciąż rośnie i utrzymanie zaplanowanego poziomu zabezpieczeń wymaga zatrudniania kolejnych specjalistów i analityków. Często jest to jednak niemożliwe z powodu ograniczeń budżetowych lub problemów ze znalezieniem odpowiednich ludzi. Jedynym logicznym rozwiązaniem tego problemu jest wdrożenie mechanizmów umożliwiających automatyzację. Tego typu narzędzia mogą skutecznie zareagować na nawet 95% incydentów istotnie odciążając pracowników zajmujących się bezpieczeństwem systemu od analizy szumu pozwalając im skupić się na analizie i reakcji na najpoważniejsze zagrożenia” mówi James Sillence z firmy Juniper Networks.

Klasyczne, wciąż wykorzystywane podejście do ochrony systemów IT jest reaktywne. Gdy pojawi się nowy atak i dotkniętych nim zostanie kilka firm, producenci oprogramowania zabezpieczającego ścigają się by jak najszybciej dostarczyć odpowiednie aktualizacje. Wiele firm wykorzystujących ich produkty zostaje więc uodporniona na ten malware zanim zostaną zaatakowane, ale na pewno nie wszystkie zdążą przed atakiem.

Czy można zahamować rosnącą i coraz bardziej groźną falę ataków?

Największe nadzieje można wiązać z rozwojem narzędzi wykorzystujących zaawansowane mechanizmy sztucznej inteligencji AI (Artificial Intelligence), które mogą pozwolić na zablokowanie zagrożeń zanim dotkną one nawet jednej firmy. Sztuczna inteligencja i takie związane z nią technologie, jak uczenie maszynowe lub analityka predykcyjna dają szansę na wygranie walki z cyberprzestępcami lub przynajmniej na znaczące zmniejszenie ich skuteczności.

Obecnie technologie AI już zaczynają znajdować zastosowanie w oprogramowaniu do ochrony systemów IT przed zagrożeniami, ale na razie są jeszcze we względnie wczesnej fazie rozwoju.

Dobrym przykładem jaki wpływ na zwiększenie bezpieczeństwa może mieć AI są rozwiązania opracowywane przez firmę Cylance.

System Cyclance analizuje miliardy plików (petabajty danych) i miliony ich cech by wykryć wzorce związane z zagrożeniami.

Cylance opracowała modele stosujące technologię uczenia maszynowego. Ich przygotowanie wymagało analizy dużych zbiorów danych (miliardy plików i petabajty danych). Analizy trwały około dwóch tygodni i zostały przeprowadzone przy wykorzystaniu 40 tysięcy procesorów wynajętych w chmurze AWS. W efekcie udało się stworzyć system, który identyfikuje złośliwe oprogramowanie ze skutecznością 99,7% twierdzi Ryan Permeh, założyciel firmy Cylance, który wcześniej pracował w McAfee.

„Nasz model to w zasadzie sieć neuronowa mająca ponad 7 milionów funkcji, które wykorzystują kilkanaście charakterystyk do identyfikowania szkodliwego oprogramowania” wyjaśnia Ryan Permeh.

Nowe szkodliwe oprogramowanie z reguły wykorzystuje znany wcześniej kod, który zostaje w mniejszym lub większym stopniu zmodyfikowany i dopasowany do wykorzystania znanych lub nowych luk w systemach i aplikacjach. W przypadku rozwiązań zabezpieczających opartych na sygnaturach w wielu przypadkach pozwala to na uniknięcie wykrycia ataku.

„Ale każdy szkodliwy kod ma cechy, które można zidentyfikować i jeśli jest dostępna dostatecznie duża liczba danych to ich masowa analiza i symulacje potencjalnych modyfikacji umożliwiają wykrywanie szkodliwego oprogramowania zanim rzeczywiście pojawi się ono w sieci” mówi Ryan Permeh.

Że jest to możliwe, udowadnia Cylance. Firma przeprowadziła testy swojego oprogramowania w wersji z listopada 2015 roku i okazało się, że skutecznie zidentyfikowało ono kod WannaCry, który pojawił się 18 miesięcy później. Firma zaprezentowała więcej takich przykładów z których wynika, że opracowany przez Cylance system mógł rozpoznać najbardziej znane w ostatnich latach szkodliwe kody na 7-18 miesięcy przed ich powstaniem i praktycznym wykorzystaniem.

Wszyscy chcą mieć AI w ofercie

W raporcie “Predictions 2017: Artificial Intelligence Will Drive The Insights Revolution” opublikowanym przez Forrester, analitycy tej firmy prognozują, że w 2017 roku firmy zainwestują w systemy związane ze sztuczną inteligencją ponad 300% więcej niż w 2016 roku.

Taki wzrost zainteresowania technologiami AI jest ważnym sygnałem dla wielu producentów, że warto inwestować w rozwiązania wykorzystujące sztuczną inteligencję. Dotyczy to również firm oferujących systemy bezpieczeństwa, które chcąc przyciągnąć uwagę potencjalnych klientów i zwiększyć sprzedaż produktów lub usług chętnie podkreślają, że są to rozwiązania wykorzystujące technologie sztucznej inteligencji.

Ponieważ jednak technologie AI są w stosunkowo wczesnej fazie rozwoju użytkownicy często mają problemy z rozróżnieniem co jest tylko marketingiem, a co może przynieść konkretne efekty i korzyści biznesowe.

„Obecnie prawie każdy dostawca technologii IT twierdzi, że oferuje rozwiązania wykorzystujące sztuczną inteligencję. Firm takich jest już ponad tysiąc. Ale czasami wejście w ten segment rynku polega na dodaniu określenia AI do materiałów marketingowych i katalogów” napisał Jim Hare, analityk z Gartnera w raporcie „How Enterprise Software Providers Should (and Should Not) Exploit the AI Disruption” opublikowanym w lipcu 2017 roku.

Wśród wielu nowych, względnie mało znanych firm, które zaangażowały się w opracowywanie i oferowanie innowacyjnych rozwiązań bezpieczeństwa wykorzystujących elementy sztucznej inteligencji można wymienić Tanium, Cylance, LogRhythm, Darktrace, Harvest.AI (przejęta przez Amazon), PatternEx, StatusToday lub SparkCognition.

W rozwój systemów AI mających zwiększyć bezpieczeństwo inwestują również największe światowe korporacje jak m.in. Amazon, Cisco, Google lub IBM.

Jak odróżnić marketing od rzeczywistej wartości biznesowej, którą może dać wdrożenie AI

Czy dostawca rozwiązania wykorzystuje sztuczną inteligencję czy tylko technologię uczenia maszynowego

To dość proste pytanie, ale pozwala na oddzielenie marketingu od rzeczywistości.

Określenie sztuczna inteligencja AI najczęściej kojarzy się z systemem działającym podobnie jak ludzki mózg i wykonywać różne skomplikowane zadania szybciej niż jest w stanie zrobić człowiek. Systemy takie, określane też jako “silna sztuczna inteligencja” (strong AI) obecnie nie istnieją, a na ich praktyczną realizację trzeba bedzie zaczekać jeszcze przynajmniej kilkanaście lat.

Obecnie producenci wprowadzają do swoich rozwiązań tylko niektóre elementy AI takie jak na przykład technologie uczenia maszynowego.

Sztuczna inteligencja w rozumieniu strong AI nie ma wiele wspólnego z systemami do zapewniania bezpieczeństwa, które są przeznaczone do wykonywania względnie wąskiego zakresu zadań. W tym segmencie rynku wykorzystywane są tylko niektóre elementy sztucznej inteligencji.

Jakie konkretne technologie wykorzystuje dostawca w systemie uczenia maszynowego

W systemach uczenia maszynowego najczęściej wykorzystywane są sieci neuronowe ANN (Artificial Neural Networks), ale do analizy i klasyfikacji danych mogą być też wykorzystywane inne technologie. Dostawcę warto spytać jakie były źródła danych wykorzystanych do trenowania systemu, jaki jest poziom precyzji wyników analiz i jakie biblioteki programistyczne zostały wykorzystane do budowy systemu. Jeśli przedstawiciel producenta nie będzie w stanie udzielić prostych odpowiedzi na takie pytania to lepiej od razu zrezygnować z jego produktów lub usług.

Jakie są wymierne korzyści wynikające z wdrożenia danego systemu

Jednym z najczęściej spotykanych scenariuszy wdrożeń technologii uczenia maszynowego jest ich wykorzystanie do tzw. inteligentnej automatyzacji IA (intelligent Automation). IA różni się tym od zwykłych rozwiązań do automatyzacji procesów, że pozwala na zastąpienie działań wykonywanych przez ludzi bez spadku jakości i niezawodności zarządzania procesami. Tu przedstawicielom producenta należy zadać kluczowe pytanie: jakie są wymierne korzyści biznesowe z wdrożenia proponowanego rozwiązania, na przykład związane z redukcją kosztów lub zwiększeniem niezawodności w porównaniu do systemów nie korzystających z technologii AI. Dostawca powinien być w stanie udzielić konkretnej i jasnej odpowiedzi, a jeśli ma z tym problemy to najprawdopodobniej AI jest tylko elementem marketingowym.

Jakie są ograniczenia technologii

Praktycznie każda technologia ma swoje ograniczenia i dotyczy to również mechanizmów sztucznej inteligencji wykorzystywanych w systemach bezpieczeństwa. Jeśli dostawca oprogramowania lub usług nie jest w stanie jasno sprecyzować tych ograniczeń i twierdzi, że oferowany system jest idealny i doskonały to jest to tylko marketing.

Wykorzystanie uczenia maszynowego ułatwia automatyzację zadań, blokowanie nowych zagrożeń i przyspieszenie reakcji na ataki, ale nie jest w stanie całkowicie zastąpić ludzkiej inteligencji. Jest to narzędzie wspomagające, które może istotnie zwiększyć poziom bezpieczeństwa, ale w najbliższej przyszłości odciąży specjalistów ds. bezpieczeństwa od wykonywania wielu rutynowych zadań, ale ich nie zastąpi.

Jakie są koszty związane z trenowaniem i utrzymaniem inteligentnego systemu

Cyberprzestępcy wciąż doskonalą techniki, rozwijają szkodliwe kody, poszukują nowych luk i metod pozwalających na wykonanie efektywnych ataków. Dlatego systemy bezpieczeństwa wykorzystujące mechanizmy uczenia maszynowego muszą być systematycznie trenowane przez wysoko wykwalifikowanych ekspertów, a to oznacza koszty. Dlatego przed wdrożeniem systemu bezpieczeństwa stosującego mechanizmy sztucznej inteligencji warto przeanalizować i upewnić się czy koszty jego utrzymania nie będą wyższe od przewidywanych korzyści.

Czy system można dopasować do indywidualnych wymagań?

Większość usług wykorzystujących uczenie maszynowe do zabezpieczania systemów IT analizuje zbiory danych zbierane w skali globalnej i przetwarzanych w chmurze dostawcy. Oznacza to, że rozwiązanie takie do treningu mechanizmów AI nie wykorzystuje specyficznych zbiorów danych tworzonych w przedsiębiorstwie. Model taki można określić mianem antywirusa nowej generacji.

Planując wdrożenie systemu zabezpieczeń warto o tym pamiętać i zweryfikować czy analiza danych znajdujących się w firmowym środowisku jest potrzebna, a jeśli tak to wybrać usługodawcę, który to oferuje lub wdrożyć oprogramowanie AI w firmowym centrum danych. W tym ostatnim przypadku oznacza to dodatkowe koszty zawiązane z koniecznością utrzymania i trenowania systemu.