ხელოვნური ინტელექტი კიბერუსაფრთხოებაში
ფოტო: საქართველოს უნივერსიტეტი
ჩვენ ვცხოვრობთ ეპოქაში, როდესაც ციფრული საფრთხეები არა მხოლოდ იზრდება, არამედ ვითარდება, ადაპტირდება და უფრო და უფრო მეტად უსწრებს დროს. დღესდღეობით თავდასხმები ხორციელდება ავტომატიზებული სკრიპტებითა და უკვე უშუალოდ ხელოვნური ინტელექტის მიერ. ეს ბადებს კითხვას: თუ თავდასხმა მანქანურ სიჩქარეზეა გათვლილი, შეუძლია კი ადამიანურ რესურსზე დაფუძნებულ თავდაცვას პოზიციების შენარჩუნება? პასუხი, რომელსაც კიბერუსაფრთხოების სამყარო დღეს გვთავაზობს, ერთმნიშვნელოვანია — ეს შეუძლებელია, თუ თავდაცვა თავდასხმის თანაბარი სიჩქარით მოქმედებას არ ისწავლის.
რატომ ვეღარ უმკლავდება გამოწვევებს ადამიანის სიჩქარეზე გათვლილი თავდაცვა?
თანამედროვე უსაფრთხოების ოპერაციების ცენტრები (SOC) დღეში ათიათასობით შეტყობინებას (alert) იღებენ, რომელთა აბსოლუტური უმრავლესობა მხოლოდ ფონური ხმაურია — თუმცა, სადღაც ამ ხმაურში იმალება ერთი რეალური შეტევის მცდელობა მაინც. კვლევები მუდმივად აჩვენებს, რომ კიბერშეტევის გამოვლენასა და ლოკალიზებას შესაძლოა, თვეები დასჭირდეს; ეს არის დრო, რომლის განმავლობაშიც თავდამსხმელი შეუმჩნევლად და მშვიდად აგროვებს მონაცემებს. სიჩქარე, მასშტაბი, ხანგრძლივი ჯაშუშობა და ადამიანური რესურსების დეფიციტი — ეს სამი ფაქტორი ერთობლიობაში ქმნის რეალობას, სადაც მექანიკური, ადამიანის მიერ მართული თავდაცვა პროგრესს უბრალოდ ჩამორჩება.
რა დამატებითი ღირებულება მოაქვს ხელოვნურ ინტელექტს თავდაცვისთვის?
ღირებულება, რომელიც ხელოვნურ ინტელექტს (AI) შეაქვს ამ სფეროში, ოთხი სიტყვით შეიძლება შეჯამდეს: სიჩქარე, მასშტაბი, კონტექსტური ანალიზი და უწყვეტი ყურადღება. სიჩქარე ნიშნავს, რომ ინციდენტის ანალიზი და მასზე რეაგირება ხდება მილიწამებში და არა საათებში ან დღეებში. მასშტაბი გულისხმობს მილიარდობით მოვლენის ერთდროულ დამუშავებას ქსელში, ღრუბლოვან სერვისებსა და თითოეულ დაკავშირებულ მოწყობილობაზე — რაც ნებისმიერი ადამიანური გუნდის შესაძლებლობებს აღემატება. თუმცა, ყველაზე ფუნდამენტური ცვლილება კონტექსტურ ანალიზშია: ძველი მოდელი ეძებდა მხოლოდ მისთვის უკვე ნაცნობი შეტევების ხელწერას, მაშინ როდესაც ხელოვნური ინტელექტი სწავლობს, თუ როგორ გამოიყურება სისტემის ნორმალური მდგომარეობა და აფიქსირებს ნებისმიერ მნიშვნელოვან გადახრას, მათ შორის ისეთ თავდასხმებსაც, რომლებიც მანამდე არასდროს დაფიქსირებულა. ამას ემატება უწყვეტი ყურადღება — სისტემა ადამიანისგან განსხავებით, არასდროს იღლება. ეს ოთხი თვისება ერთიანობაში უზრუნველყოფს ტრანსფორმაციას: თავდაცვა რეაგირების რეჟიმიდან პროგნოზირების რეჟიმზე გადადის.
ტექნოლოგიის სამი საყრდენი
ხელოვნური ინტელექტის ფუნქციონალი ეყრდნობა სამ მკაფიო მიდგომას:
- მანქანური სწავლება კლასიფიკაციისთვის: მოდელი იწვრთნება მილიონობით ფაილზე, URL-მისამართსა და მოვლენაზე, რათა მავნე კონტენტი უსაფრთხოსგან განასხვაოს; ეს ცოდნა ვრცელდება სრულიად ახალ, მანამდე უცნობ ვარიაციებზეც.
- ქცევითი ანალიტიკა (Behavioral Analytics): რომელიც ადგენს ნორმალური აქტივობის ბაზისურ პროფილს (baseline) თითოეული მომხმარებლისთვის, მოწყობილობისთვისა და სერვერისთვის და იძლევა განგაშის სიგნალს ნებისმიერი მკვეთრი გადახრისას — იმ სცენარის შემთხვევაშიც კი, რომლისთვისაც წინასწარი წესი არასდროს დაწერილა.
- Natural Language Processing (NLP) და გენერაციული ხელოვნური ინტელექტი: რომელიც კითხულობს და აანალიზებს ლოგებს (logs), ფიშინგურ წერილებსა და ანგარიშებს. დღეს ის საფუძვლად უდევს ანალიტიკოსების დამხმარე ვირტუალურ ასისტენტებს (copilots), რომლებიც მარტივი ენით აჯამებენ ინციდენტს და სთავაზობენ შემდგომ ნაბიჯებს.
სად არის ინტეგრირებული ხელოვნური ინტელექტი უსაფრთხოების ინსტრუმენტებში?
ხელოვნური ინტელექტის შესყიდვა იშვიათად ხდება ცალკეული პროდუქტის სახით — ის უკვე ჩაშენებულია იმ ინსტრუმენტებში, რომლებსაც ორგანიზაციები ყოველდღიურად იყენებენ. SIEM სისტემებში იგი ათიათასობით შეტყობინებიდან ახდენს რეალურად მნიშვნელოვანი შემთხვევების ფილტრაციას. საბოლოო წერტილების დაცვის ინსტრუმენტებში (EDR და XDR) იგი ცნობს მავნე ქცევას მოწყობილობაზე და ბლოკავს მას რეალურ დროში. ქსელის დონეზე ის აფიქსირებს ანომალიურ ტრაფიკს, მაგალითად, ჰორიზონტალურ გადაადგილებას (lateral movement) იმ სერვერებს შორის, რომლებიც, ჩვეულებრივ, ერთმანეთთან არ კონტაქტობენ. ელექტრონული ფოსტის უსაფრთხოებისას, იგი აანალიზებს გზავნილის ენასა და განზრახვას და ავლენს ისეთ თაღლითობას, რომელიც არ შეიცავს მავნე ბმულს ან ფაილს. იდენტიფიკაციის სისტემებში იგი აფასებს თითოეული ავტორიზაციის რისკს, ხოლო ავტომატიზებული რეაგირების პლატფორმებში, მაღალი სანდოობის არსებობისას, დამოუკიდებლად ახდენს საფრთხის იზოლირებას ან ბლოკირებას.
AI-ის გამოყენების სარგებელი და რისკი ერთად
უსაფრთხოებაში ხელოვნური ინტელექტის გამოყენების არგუმენტები რეალურ, გაზომვად მიღწევებს ეფუძნება: გამოვლენისა და ლოკალიზაციის დროის შემცირება, ფინანსური ზარალის მინიმიზაცია უსაფრთხოების დარღვევისას, ცრუ განგაშის (false alarms) შემცირება ანალიტიკოსებისთვის და უწყვეტი დაცვა, რომელიც მასშტაბირდება კადრების პროპორციული ზრდის გარეშე. თუმცა, თავდამსხმელებიც იყენებენ ხელოვნურ ინტელექტს — ფიშინგური წერილები ახლა უფრო დამაჯერებლად იწერება, ხოლო ყალბი აუდიო და ვიდეო მასალები (deepfakes) უკვე ფიქსირდება რეალურ თაღლითურ შემთხვევებში. თავად სისტემაც კი შეიძლება გახდეს თავდასხმის ობიექტები. თუ საწყისი მონაცემები ხარვეზიანია, შედეგიც მცდარი იქნება. გამოსავალი ტექნოლოგიის არიდებაში კი არა, მის მართვაშია (governance): ადამიანის ჩართულობის შენარჩუნება ყოველ მნიშვნელოვან გადაწყვეტილებაში, მონაცემთა ხარისხის ვალიდაცია და მოდელის ქცევის მუდმივი მონიტორინგი.
პრაქტიკული გზა — სტრატეგიის ხუთი ნაბიჯი
ხელოვნურ ინტელექტზე დაფუძნებული უსაფრთხოების სტრატეგიის ნაბიჯები:
- შეფასება: განსაზღვრეთ თქვენი აქტივები, ხარვეზები და უდიდესი რისკები.
- ინტეგრაცია: გააქტიურეთ და გამართეთ ხელოვნური ინტელექტის ის ფუნქციები, რომლებიც უკვე არსებობს თქვენს მფლობელობაში არსებულ ინსტრუმენტებში — ეს ყველაზე სწრაფი და ნაკლებხარჯიანი ნაბიჯია.
- მართვა (Governance): ოფიციალურად განსაზღვრეთ, რომელი გადაწყვეტილებების მიღება შეუძლია სისტემას დამოუკიდებლად და სად არის აუცილებელი ადამიანის ჩართულობა.
- კვალიფიკაციის ამაღლება: გადაამზადეთ გუნდი, რათა მათ შეძლონ სისტემის ეფექტური მართვა და, საჭიროების შემთხვევაში, მისი გადაწყვეტილებების გადამოწმება.
- გაზომვა: მუდმივად აწარმოეთ გამოვლენისა და რეაგირების დროის მონიტორინგი, შემდეგ კი კვლავ პირველ ნაბიჯს დაუბრუნდით. ეს არის უწყვეტი ციკლი და არა ერთჯერადი პროექტი.
თავდამსხმელთა ბანაკში მანქანებმა უკვე სრულყოფილად აითვისეს ავტომატიზაცია. ერთადერთი ღია კითხვაა — როდის გახდება თავდაცვა ისეთივე სწრაფი, თანმიმდევრული და გონიერი, როგორიც თავდასხმაა?
ავტორი
თამარ ქურდაძე
სსიპ ციფრული მმართველობის სააგენტოს უფროსი კიბერუსაფრთხოების ანალიტიკოსი, ემ ბი სი ბანკის უფროსი ინფორმაციული უსაფრთხოებუს სპეციალისტი, UG მოწვეული ლექტორი
კომენტარები