Algoritmi veštačke inteligencije i mašinsko učenje mogu efikasno i u relativno kratkom vremenu proći kroz ogromne količine podataka. Ovo je od ključnog značaja za pomaganje zaštitnicima mreže da probiju beskrajnu ponudu upozorenja i identifikuju ona koja predstavljaju moguću prijetnju (umjesto lažnih pozitivnih). Učenje s pojačavanjem podupire dobrobit AI za ekosistem cyber sigurnosti i najbliže je načinu na koji ljudi uče kroz iskustvo, pokušaje i greške.
Za razliku od učenja pod nadzorom , učenje s pojačanjem se fokusira na to kako agenti mogu učiti iz vlastitih postupaka i povratnih informacija u okruženju. Ideja je da će učenje s pojačanjem maksimizirati svoje sposobnosti tokom vremena korištenjem nagrada i kazni za izračunavanje pozitivnog i negativnog ponašanja. Prikupljeno je dovoljno informacija za donošenje najbolje odluke u budućnosti.
Kako učenje s pojačanjem može pomoći
Umor od upozorenja za analitičare bezbednosnih operativnih centara (SOC) postao je legitimna poslovna briga za glavne službenike za bezbednost informacija, koji su zabrinuti zbog sagorevanja analitičara i fluktuacije zaposlenih kao rezultat toga. Svako rješenje koje može podnijeti većinu „buke“ upozorenja, tako da analitičari mogu dati prioritet stvarnim prijetnjama, uštedjet će organizaciji i vrijeme i novac.
Mogućnosti umjetne inteligencije pomažu u ublažavanju prijetnje koju predstavljaju veliki društveni inženjering, phishing i spam kampanje razumijevanjem i prepoznavanjem lanca ubijanja takvih napada prije nego što uspiju. Ovo je važno s obzirom na ograničenja sigurnosnih resursa s kojima većina organizacija doživljava, bez obzira na njihovu veličinu i budžet.
Sofisticiraniji dinamički napadi su veći izazov i, ovisno o akteru prijetnje, mogu se koristiti samo ograničen broj puta prije nego što napadači prilagode ili izmijene dio sekvence napada. Ovdje učenje s pojačanjem može proučavati cikluse napada i identificirati primjenjive obrasce iz prethodnih napada koji su i neuspjeli i uspjeli. Što je više izloženo sofisticiranim napadima i njihovim raznovrsnim iteracijama, bolje pozicionirano učenje pojačanja je pozicionirano da ih identifikuje u realnom vremenu.
Doduše, na početku će postojati krivulja učenja, posebno ako napadači često mijenjaju način na koji izvode svoje napade. Ali neki dio lanca napada će ostati, postajući relevantna tačka podataka za pokretanje procesa.
Od otkrivanja do predviđanja
Detekcija je samo jedan dio praćenja prijetnji. Učenje uz pomoć umjetne inteligencije može biti primjenjivo i u predviđanju kako bi se spriječili napadi, učenje iz prošlih iskustava i slabih signala i korištenje obrazaca za predviđanje onoga što bi se moglo dogoditi sljedeći put.
Sprečavanje sajber prijetnji prirodni je napredak od pasivnog otkrivanja i neophodan je napredak ka tome da se sajber sigurnost učini proaktivnom, a ne reaktivnom. Učenje s pojačavanjem može poboljšati sposobnost proizvoda za kibernetičku sigurnost donošenjem najboljih odluka na osnovu prijetnje. Ovo ne samo da će pojednostaviti odgovore, već i maksimizirati dostupne resurse putem optimalne alokacije, koordinacije sa drugim sistemima cyber sigurnosti u okruženju i primjene protumjera. Kontinuirani ciklus povratnih informacija i nagrada-kažnjavanje će sve više učiniti prevenciju robusnijom i efikasnijom što se duže koristi.
Slučajevi korištenja učenja s pojačavanjem
Jedan slučaj upotrebe učenja s pojačanjem je nadgledanje mreže, gdje agent može otkriti upade u mrežu promatranjem prometnih obrazaca i primjenom naučenih lekcija za podizanje upozorenja. Učenje s pojačanjem može napraviti korak dalje izvođenjem protumjera: blokiranjem ili preusmjeravanjem saobraćaja. Ovo može biti posebno učinkovito protiv botneta gdje učenje s pojačanjem može proučavati komunikacijske obrasce i uređaje u mreži i poremetiti ih na osnovu najboljeg pravca reakcije.
Učenje pomoću AI-a može se primijeniti i na virtuelno okruženje u kojem se može analizirati kako zlonamjerni softver radi, što može pomoći ciklusima upravljanja zakrpama za upravljanje ranjivostima.
Učenje s pojačavanjem dolazi sa specifičnim izazovima
Jedna od trenutnih briga je broj uređaja koji se neprestano dodaju mrežama, stvarajući više krajnjih tačaka za zaštitu. Ovu situaciju pogoršavaju situacije rada na daljinu , kao i lični uređaji koji su dozvoljeni u profesionalnim okruženjima. Stalno dodavanje uređaja sve će teže otežati mašinskom učenju da uzme u obzir sve potencijalne ulazne tačke za napade. Dok sam pristup nultom povjerenju može donijeti nerješive izazove, njegova sinergija sa učenjem ojačanim umjetnom inteligencijom može postići snažnu i fleksibilnu IT sigurnost.
Drugi izazov će biti pristup dovoljnom broju podataka za otkrivanje obrazaca i poduzimanje protumjera. U početku može postojati nedovoljna količina dostupnih podataka za konzumiranje i obradu, što može iskriviti cikluse učenja ili čak pružiti pogrešne smjerove odbrambenog djelovanja.
Ovo bi moglo imati posljedice kada se obraćate protivnicima koji namjerno manipuliraju podacima kako bi prevarili cikluse učenja i utjecali na „osnovnu istinu“ informacija na samom početku. Ovo se mora uzeti u obzir s obzirom da je više algoritama za učenje s pojačavanjem AI integrirano u tehnologije kibernetičke sigurnosti. Akteri prijetnji nisu ništa ako nisu inovativni i spremni da razmišljaju izvan okvira.
Izvor:HELP NET SECURITY
