A hackerek és egyéb digitális támadók úgyis mindig előttünk járnak, legyen hát az előnyük mindössze egy lépés. Ha pedig az ember nem tud elég gyorsan reagálni, figyeljen a veszélyekre a mesterséges intelligencia. Biztonsági szakértőkkel beszélgettünk az AI új szerepköréről a kiberbiztonságban.
Nemrég megjelent egy olyan videó, melyben egyfajta kerekasztalos formában beszélnek IT-biztonsági szakértők arról, milyen szerepe lehet a mesterséges intelligenciának a hackerek, támadások, vírusok és egyéb fenyegetések elleni védekezésben. Keleti Arthur, az IT-biztonság egyik legismertebb hazai stratégája, Kovács Zoltán, a T-Systems CTRL SWAT szolgáltatásának operációs vezetője, Regős Péter, a T-Systems kiberbiztonsági vezetője, valamint Kapui Nikolett, a BME ösztöndíjas hallgatója osztja meg véleményét arról, hogyan segíthet az AI abban, hogy lépést tarthassunk a kiberbűnözőkkel. Gondolatébresztőnek nézzük meg a videót, aztán pedig folytatjuk annak két szereplőjével a téma boncolgatását.
A mesterséges intelligenciáról manapság még az is olvashat naponta híreket, aki legfeljebb felhasználói szinten foglalkozik digitális eszközökkel, tehát mondjuk mobilos alkalmazásokat használ, a munkájához vesz igénybe alapszintű szoftvereket és néhány közösségi szolgáltatáson van jelen. Az ilyen felhasználók számára talán távoli és misztikus, mit is jelent a fogalom és egyáltalán miért kell a gépi algoritmusoknak mindenféle területen működnie. Mondjuk pont ezek a felhasználók azok, akik viszonylag óvatos tudatossággal figyelnek az internetes veszélyforrásokra, és legfeljebb akkor szembesülnek ilyesmivel, ha eléri őket is egy zsarolóvírus, vagy épp egy kiszivárgott jelszó miatt meghackelik az e-mail fiókjukat.
Pedig az egyéni felhasználók, és persze a vállalatok számára is folyamatos versenyfutást jelent az IT-biztonság területe. Ahogy azt Regős Péter is megerősíti: akármennyire próbálnak mindentudó, és mindenre felkészült szakembernek tűnni a biztonsági területen dolgozók, valójában tényleg az a helyzet, hogy védekezni csak olyan támadási módszerek ellen lehet, amit az “ellenfél” már kifejlesztett. A hatékonyság tehát azzal mérhető, hogy egy új típusú támadás, egy másféle módon kivitelezett hackelés, egy eddig nem ismert sérülékenység kihasználása után milyen gyorsan képes reagálni egy szervezet védelmi vonala, tehát eleve milyen hamar tudják a szakemberek felfedezni az incidenst és ezután mennyi idő kell annak elhárításához.
Robotok a gyorsítósávban
“Amikor valaki a mesterséges intelligenciáról hall, gyakran eszébe juthatnak az olyan popkulturális rémképek, mint a Terminátor-filmekben bemutatott Skynet, az öntudatra ébredő gépi tudat. Nos, itt azért még messze nem tartunk, a jelenlegi mesterséges intelligenciára épülő megoldások inkább olyan követő jellegű rendszerek, amelyek annyira képesek, amire megtanítjuk őket. Viszont az tény, hogy ha egyes célterületeken jól képezzük őket, akkor pont abban segíthetnek, hogy az emberi faktornál gyorsabban, átfogóbban képesek ellátni a feladatukat” – foglalja össze Regős Péter az alapokat.
Az IT-biztonság terén az AI legnagyobb előnye, hogy ha megfelelő mennyiségű információval rendelkezik arról, mire kell figyelnie, az emberi “véderőnél” jó esetben sokkal gyorsabban felismeri a támadások jeleit, és akár olyan esetekben is figyelmeztetheti a szakembereket, ha azok átsiklanak egyes rejtőző jelek fölött. Kapui Nikolett, aki jelenleg épp ilyen témakörben készíti szakdolgozatát a Budapesti Műszaki Egyetemen, egy speciális mentorprogram keretében a T-Systems-szel dolgozik együtt egy olyan projekten, amely az AI és az IT-biztonság együttműködésének lehetőségeit kutatja. Szerinte sem arról van szó, hogy a mesterséges intelligencia használatával a kiberbűnözők elé lehet vágni, de minimálisra csökkenthető a detektálás és a reagálás ideje.
“Az általam vizsgált gépi tanulási módszer lényege pont ez: minél több különböző mintával és adattal tápláljuk az AI-t, annál hatékonyabb akkor, amikor ilyesmiket fel kell ismernie egy rendszerben” – magyarázza Nikolett.
“Az incidenskezelésben az időfaktor kulcsfontosságú” – folytatja Regős Péter. “Eddig a védekezés úgy nézett ki, hogy az informatikai hálózatokba telepítettük a megfelelő szoftvereket, mögé helyeztük a megfelelően képzett szakembereket, és ez a két védvonal folyamatosan figyelt mindenfelé, talál-e jeleket sérülésekre, behatolásokra. Ez azonban egyáltalán nem gyors folyamat: néhány éve még azt mondhattuk, hogy ha egy támadó valamilyen sérülékenységet kihasználva beépül egy szervezet rendszerébe, ennek detektálása akár egy évig is eltarthatott. A védelmi módszerek finomodása folytán ez már nagyjából 60-100 napos átlagra csökkent, de ez még mindig rengeteg idő, hiszen ez alatt a bűnözők egy tonna adatot lapátolhatnak ki a vállalattól, további hozzáféréseket szerezhetnek, vagy akár konkrét pénzügyi veszteséget okozhatnak.”
Az ilyen incidensek felfedezését többek között az is hátráltatta, hogy a támadásokat leginkább akkor lehetett észrevenni, amikor már valamilyen aktív tevékenységet folytattak: megindult az adatok továbbítása, vagy valamilyen rendszerelem működésének megzavarása. A jelenlegi fejlesztések többek között azt a célt szolgálják, hogy már abban a fázisban felfedezhető legyen egy incidens, mielőtt aktiválná magát.
A hagyományos védekezés hatékonyságát az is csökkenti, hogy egyre több területen érezteti hatását a Big Data: egy rendszerben óriási mennyiségű feldolgozandó adat található, amelyek között elvesznek az esetleges oda nem illők, amelyek akár támadások jelei lehetnek. Emberi erőforrással az ilyen szinten megnövekedett adatot átfésülni gigantikus feladat, ám a mesterséges intelligencia “bírja” azt is, ha ilyen sok információval tanítják, és ezáltal könnyebben is megtalálja az incidensekre utaló jeleket a sűrűben.
Nem veszi el a munkát, hanem fogja a kezed
A fenti működési mechanizmus alapján a mesterséges intelligencia a ma divatos bulvár-felütéssel nem veszi el a biztonsági szakemberek munkáját, inkább egy olyan extra védelmi réteget képez egy SOC (Security Operation Center, biztonsági operációs központ) munkájában, amely az ott dolgozó szakembereknek egy már átnézett, letisztított jelentés-csomagot ad át a lehetséges veszélyekről. “A közeljövő biztonsági csapatai már egy olyan módszerrel dolgozhatnak, amikor nem mondjuk napi száz lehetséges incidensről kapnak figyelmeztetést, amivel mind foglalkozniuk kell, hanem az AI által leszűrt csomagban az szerepel, hogy száz esetleges incidenst találtunk, de ebből nektek ezzel a tízzel kell kiemelten foglalkoznotok, ugyanis a tulajdonságaik alapján ezek lehetnek valóban veszélyesek” – magyarázza Regős Péter.
Szóval az AI abban adhat nagy segítséget, hogy vezeti a szemet. “A jelenlegi védelmi rendszerek kifejezetten sok false positive információt jeleznek, a mesterséges intelligenciát bevonó módszer egyik legfontosabb célja az, hogy ezek számát csökkentsük, és ezáltal a biztonsági szakemberek elé valóban a kritikusak, fontosak, valósak kerüljenek” – magyarázza Kapui Nikolett.
A T-Systems CTRL szolgáltatásával kapcsolatban folyamatosan próbálkoznak azzal, hogy a gyakorlati működésbe hogyan épülhet be a mesterséges intelligencia. Kapui Nikolett speciális gyakornoki szerepe épp ezért már inkább egyfajta junior mérnöki feladat, hiszen olyan koncepciókat, alkalmazási lehetőségeket keres, amelyek már csatolhatók a biztonsági központ tevékenységéhez. Szerinte jelenleg egyfajta finomhangolási, betanítási szakaszban járnak, de már nagyon ígéretesek az eredmények ahhoz, hogy a közeljövőben az AI már élesben segítse a jelenlegi megoldások és szakemberek munkáját.