Bătălia algoritmilor. Sisteme de apărare cibernetică

În vara anului 1956, profesorul american John McCarthy a lansat pentru prima dată conceptul de inteligență artificială și domeniul de cercetare asociat acestui concept, concentrând astfel eforturile unei mici comunități de informaticieni. De la acest moment, cercetarea în domeniul inteligenței artificiale a evoluat semnificativ, atât la nivelul comunităților academice, cât și în cadrul companiilor producătoare de soluții în domeniul tehnologiei informației, generând preocupări inclusiv la nivel politic.

Fără a mai aștepta reglementarea domeniului sau clarificările conceptuale de ordin filozofic sau academic, companii importante din domeniul tehnologiei informației au folosit inteligenţa artificială în produsele și serviciile lansate, pe scară largă, în ultimii ani, iar succesul nu s-a lăsat aşteptat. Aplicaţiile asociate inteligenţei artificiale pot fi utilizate în majoritatea domeniilor. Deşi efortul şi investiţiile semnificative în domeniul tehnologiei informaţiei sunt orientate către creşterea productivităţii în diverse sectoare economice, companiile din domeniul securităţii cibernetice au identificat oportunitatea utilizării algoritmilor inteligenţi pentru optimizarea soluţiilor oferite. Astfel, creșterea în complexitate și volum a amenințărilor cibernetice a stat la baza nevoii de a identifica noi soluții de gestionare a acestora, capabilitățile actuale de automatizare a detecției și răspunsului în domeniu, oferite de produsele de pe piață, nefiind posibile fără „inteligența” din spatele acestora.

Protecție, detecție și răspuns

Promovate pe piață ca soluții bazate pe inteligență artificială, majoritatea platformelor de securitate cibernetică utilizează conceptul de Machine Learning, termen popularizat pentru prima dată de către Arthur Samuel, în 1959.

Evoluţia accelerată a domeniului nu este însă întotdeauna însoțită de explicații accesibile și suficientă transparență din partea producătorilor. Mulţi dintre cei care oferă soluţii de securitate cibernetică nu sunt implicaţi în activităţile de cercetare-dezvoltare sau de producţie din domeniul inteligenţei artificiale, ci preiau rezultatele şi le înglobează în propriile produse.

Pentru o mai bună înțelegere a nevoii de soluții inteligente în domeniul securității cibernetice, este necesară identificarea principalelor tendințe în domeniul amenințărilor cibernetice și a provocărilor pe care le întâmpină specialiștii în implementarea și operaționalizarea unor sisteme tehnice și procedurale eficiente de protecție, detecție și răspuns.

Astfel, se remarcă lipsa de integrare sau integrarea parțială a platformelor tehnologice destinate protecției, detecției și asigurării răspunsului la incidente de securitate cibernetică. Efortul de administrare sau menţinere în stare de funcţionare a acestor platforme este consistent, mai ales la nivelul organizațiilor de dimensiuni medii și mari, cu o complexitate tehnologică mare. Trebuie păstrat echilibrul între obiectivele implementării soluțiilor tehnice de securitate și nivelul de resurse necesare pentru exploatarea acestora în condiții optime și în scopul asigurării unei stări de securitate adecvate a infrastructurii hardware și software protejate.

Provocarea datelor

O altă provocare este reprezentată de acumularea unor volume mari de date generate de soluțiile de securitate cibernetică și, implicit, generarea unui efort uman ridicat pentru analiza acestora. Majoritatea soluțiilor destinate monitorizării unor funcționalități tehnice sunt importante pentru securitatea unei organizații. De la managementul inteligent al log-urilor generate la nivelul întregii infrastructuri pentru a transforma această capabilitate, din una reactivă, într-o capabilitate activ-reactivă, la managementul integrat al datelor generate de infrastructura IT și de securitate a unei organizații, soluţiile care folosesc inteligenţa artificială pot prelua o parte din efortul operatorilor sau analiştilor umani.

Folosind algoritmi matematici avansați, platformele moderne sunt capabile să analizeze în timp real riscurile de securitate și să detecteze amenințările de securitate cibernetică. Un volum mare de date rezultate din implementarea unor măsuri complexe de securitate impune utilizarea unor soluții adecvate, atât din perspectiva relevanței istorice a datelor colectate pentru obiective de securitate, dar și din perspectiva utilizării lor pentru detecția și predicția riscurilor de securitate. De asemenea, valorificarea unor indicatori de compromitere sau indicatori de atac obținuți dintr-una sau mai multe surse credibile de informații (Cyber Threat Intelligence) nu ar putea fi posibilă fără integrarea inteligentă a structurilor de date colectate cu sursele indicatorilor. Detecția atacurilor cibernetice de mare risc, care nu se manifestă prin utilizarea unor indicatori de atac sau compromitere cunoscuți, este imposibil de realizat în timp real fără utilizarea unor algoritmi capabili să interpreteze datele colectate din sistemul protejat, astfel încât să poată identifica anomaliile de sistem asociate unui atac cibernetic sau să poată sesiza tacticile, tehnicile și procedurile (TTP) utilizate de un atacator.

Automatizarea răspunsului

O provocare o reprezintă şi lipsa capabilităților de răspuns adecvat în timp real la anumite tipuri de atacuri cibernetice realizate, fie pe scară largă, care implică volume mari de date și efort uman complex, cu nivel de risc ridicat, sau care implică volume mari de alerte sau date de procesat. Corelată capabilităţilor automate de detecţie a atacurilor cibernetice mai sus menţionate, integrarea soluţiilor inteligente în platformele de securitate ale unor producători din domeniu permite nu numai detectarea în timp real a ameninţărilor, dar şi asigurarea unui răspuns automatizat, în timp real, atât la nivel de reţea, cât şi la nivelul utilizatorului final. În acest caz nu mai este necesară intervenţia operatorului uman asupra acţiunilor de răspuns.

Întreruperea comunicaţiilor, izolarea unui segment de reţea, a unui dispozitiv aparţinând unui utilizator final, oprirea unui proces la nivelul unui dispozitiv din reţea, izolarea unui fişier suspect sau despre care s-a stabilit cu certitudine că este compromis sau mai multe astfel de acţiuni concertate, sunt posibile prin implementarea unor soluţii inteligente de răspuns bazate pe algoritmi care decid şi acţionează folosind datele colectate şi scenariile tehnice prestabilite (playbooks).

Inteligența artificială, o soluție complementară

Lipsa sau insuficiența resursei umane, dar şi a unui nivel adecvat de specializare în monitorizarea infrastructurii și managementul incidentelor de securitate reprezintă o problemă majoră a organizațiilor mari și medii, care sunt astfel expuse la riscuri de securitate cibernetică. Platformele de integrare, automatizare și răspuns ce folosesc inteligenţa artificială şi completează soluțiile clasice de securitate, reprezintă singurele variante viabile pentru asigurarea unui nivel adecvat de securitate în condițiile unei balanţe dezechilibrate între resursa umană disponibilă și cererea crescută de specialiști în domeniu.

Analizând tendințele din România, remarcăm prezența pe piață a unui număr important de furnizori de platforme de securitate cibernetică ale căror soluții tehnice înglobează inteligență artificială. Creşterea cererii şi a utilizării acestor soluţii pe piaţa românească impune adaptarea permanentă a țării noastre evoluțiile internaționale din acest domeniu, fiind necesară implicarea mai activă a mediului de afaceri, autorităților de reglementare, mediului academic şi profesioniştilor din domeniul securității cibernetice.

La nivel internațional, evoluția conceptuală și tehnologică în domeniul inteligenței artificiale este însoțită de o serie de provocări, atât în domeniul cercetării, dar și în plan etic, de reglementare sau chiar filozofic.

De asemenea, autorii amenințărilor din domeniul securității cibernetice, ce dispun de cunoștințe și resurse adecvate, au identificat deja oportunitatea utilizării capabilităților asociate inteligenței artificiale pentru derularea unor atacuri cibernetice sofisticate. Astfel de atacuri, imposibil de realizat fără ajutorul inteligenţei artificiale, au fost deja semnalate.

Abstract

Cyber security technologies with core artificial intelligence functionalities have grown for the last couple of years to a global scale at an exponential rate. Currently, almost all global tech companies promote artificial intelligence-based technological capabilities with augmented efficiency in cyber threat mitigation, detection and response.

Autor: Silviu-Florin Brebeanu

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *

*
*