Valójában beszélhetünk-e AI-ról a kiberbiztonságban?
Corne van Roij
2021.11.09
A mesterséges intelligencia a kiberbiztonágban
2021-ben nem kell sokat görgetnünk az Interneten, hogy a “mesterséges intelligencia” (artificial intelligence – AI) szavakkal találkozzunk, de még nagyobb a valószínűsége, hogy szembejön velünk ez a kifejezés, ha valamilyen IT-vel kapcsolatos területen tevékenykedünk. Mint más iparágakban, az AI az kiberbiztonság területén is felkapott téma lett. De valóban mesterséges intelligencia-e az, amit az IT-biztonsági szakemberek mesterséges intelligencia alatt értenek? Ha érdekli a válasz, olvasson tovább.
A mesterséges intelligencia kezdetei
Sokak számára, attól függően, hogy milyen területen dolgoznak, a mesterséges intelligencia egy felkapott, viszonylag új keletű kifejezésként hathat, ami csupán az elmúlt időben épült be a köztudatba. Azonban az AI már 1993-ban is létező kifejezés volt, amikor a kognitív rendszerekkel kapcsolatos kutatások beindultak. Akkoriban a “mesterséges intelligencia” kifejezést túl ambiciózusnak tartották, főleg a tudomány akkori álláshoz képest. De ami ennél is meghökkentőbb, az az, hogy az AI fogalma még ennél is jóval régebben született meg: a gondolkodó gép gondolata a második világháború környékén fogalmazódott meg Alan Turing elméjében – jóval azelőtt, hogy megjelentek volna működőképes számítógépek és szoftverek, amelyek által az egész megvalósíthatóvá vált. Azonban az elmúlt 30 (vagy inkább 80) évben sok minden változott. Az “AI” felhasználása elterjedtté vált sok különböző szektorban, mint például a big data, az okos város, az önvezető autó, sőt, az egészségügy területén is – a szakemberek pedig már nem bánnak olyan óvatosan ezzel a kifejezéssel.
AI kontra ML kontra DL
Mielőtt rátérnénk arra, hogy mit jelent pontosan az AI a kiberbiztonságban (és más szektorokban is, ha már itt tartunk), érdemes tisztázni pár kapcsolódó kifejezést, amelyek hasznosnak fognak bizonyulni, amikor közelebbről is megvizsgáljuk a helyzetet.
Habár a deep learningre (DL) és a machine learningre (ML) is több figyelem irányult az elmúlt időben, ezeket még mindig nem emlegetik olyan gyakran, mint az AI-t, amire meg is van a magyarázat. Ami azt illeti, amikor az emberek mesterséges intelligenciáról beszélnek – és nem is kizárólag csak a laikusok –, hajlamosak a DL-t és ML-t is AI-nak címkézni, pedig ezek a kifejezések nem felcserélhetők. Persze vannak hasonlóságok és átfedések ez a három technológia között, de messze állnak egymástól, és nem is szabadna egyként kezelni őket. Vizsgáljuk meg őket egyenként.
Deep learning
A deep learning kifejezés egy olyan technológiát takar, amely gondolkodni ugyan nem képes, de meg tudja tanulni, hogy hogyan dolgozza fel az agyunk az információt, és utánozza a folyamatot anélkül, hogy bármilyen hálózattal modellezné azt. Képes szimulálni az emberi viselkedést, de mint ahogy a repülés szimuláció és igazi repülés között is van különbség, vannak határai, amelyeket nem tud átlépni. Azonban ez nem azt jelenti, hogy a DL nem értékes. Sőt, a DL-t bevált és megbízható technológiaként alkalmazzák például leszállási rendszerekben is. De fontos megjegyezni, hogy hatalmas mennyiségű adatra van szüksége, hogy megfelelően működjön.
Machine learning
Ezzel ellentétben, a machine learningnek nincs szüksége sok adatra, hogy hatékony legyen. Abban különbözik a DL-től, hogy kivételek betanítása által, valamint ember által betáplált tanácsokkal is lehet okosítani. Az algoritmus képes magán is változásokat végrehajtani (melynek megnevezése “unsupervised”), de végrehajthat változtatásokat rajta egy adatelemző is (“supervised”). Habár ez utóbbi kétségtelenül rendelkezik előnyökkel, mint például a rugalmasság, mégis az első bizonyul igazán értékesnek, mivel az képes kiváltani az emberi erőforrást, amely meglehetősen szűkös mostanában, mint ahogy azt Önök is tudják. Emellett az ML remekül tud feladatokat támogatni, még akkor is, ha nem érti, hogy mit csinál. Más szóval, nem tudja, hogy “miért”, de tudja, hogy “hogyan”.
Mesterséges intelligencia
És el is érkeztünk a lényeghez, a mesterséges intelligenciához. Az AI képes mind arra, amire a fenti két technológia képes, de még ennél is sokkal többre: képes tapasztalatból tanulni, mint az emberek. Képes interakcióra és képes érvelni. Magyarán annyira emberi, amennyire egy gép az lehet.
Az AI először 1997-ben tett szert igazi hírnévre, amikor az IBM által fejlesztett Deep Blue legyőzte sakkban az akkori nagymestert és hosszú éveken át veretlen világbajnokot, Garry Kasparovot, aki azt megelőzően egyetlen meccset sem veszített még. Az AI persze sokat fejlődött azóta (a Deep Blue-t magát nem is arra programozták, hogy emberként gondolkodjon, hanem “csupán” arra, hogy képes legyen hiba nélkül sakkozni), de ez mindenképpen egy mérföldkő volt a technológia számára, amely nagy visszhangot váltott ki. Az AI-ban rejlő hatalmas potenciálnak, valamint a fogalom körül a science fiction és a popkultúra közreműködésével kialakult felhajtásnak köszönhetően nem csoda, hogy az emberek mindent megtesznek, hogy azt mondhassák: “mesterséges intelligenciával dolgoznak”.
Valóban van-e a kiberbiztonságban AI?
Röviden: nincs, legalábbis nem teljesen. A kiberbiztonságban kétségkívül alkalazni fogják az AI-t a jövőben, de egyelőre amit annak neveznek, az valójában egy ML képességekkel bíró szakértői rendszer. Nézzük meg közelebbről, hogy mi is jelent ez.
Szakértői rendszerek
A szakértői rendszerek olyan számítógépes rendszerek, amelyek emulálják egy emberi szakértő döntéshozatali képességét, és komplex problémákat tudnak megoldani érvelés által, if-then szabályok nagy mennyiségű adaton történő alkalmazásához hasonlóan. A szakértői rendszereket két alrendszerre osztjuk, a következtető rendszerre és a tudásbázisra. A tudásbázis tartalmazza a tényeket és a szabályokat, amelyek alapján a következtető rendszer alkalmazza a szabályokat az ismert tényekre, és új tényeket állapít meg. Ugyanakkor egy szakértői rendszer nem képes önállóan és pontosan kiszűrni egy hackert. Ehelyett képes értesíteni a SOC elemzőt az olyan incidensekről, amelyek nagy valószínűséggel lehetnek támadások vagy egyéb veszélyforrások. Ezt követően az ML további if-then szabályokkal egészíti ki a tudásbázist, hogy az a jövőben pontosabb tudjon lenni. Azonban mivel gyakran nem érkezik visszajelzés a tényleges felhasználótól, az emberi szakvéleményt leginkább a szolgáltató adja.
De akkor miért mondja az iparág ennek ellenére továbbra is, hogy “AI”? A válasz egyszerű: a “szakértői rendszer” kifejezés nem eléggé piacképes, így hát nem is használják sokat. Tehát ha bármilyen kiberbiztonsági anyagban mesterséges intelligenciát emlegetnek, valójában egy ML képességekkel bíró szakértői rendszerről, valamint a fent leírt következtető műveletről beszélnek.
Állapotjelentés az AI-ról a kiberbiztonságban
Nézzünk egy analógiát egy másik szektorból, hogy még tisztább legyen. Az autóiparban például sokat hallhatunk vezető asszisztens rendszerekről és önvezető autókról. A legtöbb ember számára ez a két kifejezés hasonló fogalmat jelenthet, de a valóságban jelentős különbségek vannak a kettő között. A vezető asszisztens rendszerek nem többek mint szakértői rendszerek, amelyeket fentebb már alaposan körbejártunk. Az önvezető autókat azonban machine learning és a fejlesztői szakasz során hozzáadott vezetői visszajelzések is segítik.
Na most, ha vesszük a vezető asszisztens rendszereket és önvezető autókat, és ezek között szerenék elhelyezni a kiberbiztonság “AI” képességeit, azok valahol a kettő között lennének félúton. Ez azt jelenti, hogy megvan az AI-ban a potenciál, hogy önállóan SOC elemzőként cselekedjen a jövőben, mint ahogy az önvezető autó is képes sofőrként cselekedni, de ehhez intenzív visszajelzésre van szükség minden érintett felhasználótól a rendszerben.
Mindazonáltal a kiberbiztonságban jelenleg alkalmazott AI segít megküzdeni egy olyan kiemelkedő problémával, amely megvetette a lábát a szektorban; ez pedig nem más, mint a személyzethiány. Ahogy azt a területen dolgozó emberek bizonyára tudják, egyszerűen nincs elegendő SOC szakértő a szektorban, amelyből következik, hogy nagy kihívást jelent a megfelelő számú újonnan érkezők betanítása és tapasztalatszerzése is. Azonban az AI – még jelenlegi érettségi szintjén is – rendkívül hasznosnak bizonyul a SOC dolgozók számára, és arra is megvan benne a potenciál, hogy a jövőben átvegyen tőlük bizonyos feladatokat.
A mesterséges intelligencia jövője a kiberbiztonságban
Ha most azt gondolná, hogy az IT biztonság nem teljesít túl jól az AI területén, az tökéletesen érthető lenne. A helyzet azonban egyáltalán nem olyan rossz. Az előző analógiánkhoz visszatérve nem volt teljesen igazságos az összehasonlításunk – az utak ritkán változnak, de a kiberbiztonsági környezet annál inkább, amely meglehetősen megnehezíti a fejlődést. Mielőtt “igazi” AI-t alkalmazhatnánk az IT biztonságban, először meg kell tanulnunk, hogy hogyan tudjuk kiaknázni teljesen a machine learning és szakértői rendszerek adta lehetőségeket, és csak ezután tudnak a rendszereink továbbfejlődni a következő fázisba.
Mindemellett az AI rendszereknek is fel kell nőniük. Nem lehet őket a kelleténél korábban munkába állítani, majd magasra helyezni a feléjük állított elvárásainkat, mert ettől csak a hitünket fogjuk elveszíteni a kiberbiztonságban alkalmazott AI-ban – ami kár lenne, mert nagy benne a potenciál. A SOC rendszerek egyszer képesek lesznek megjósolni a támadásokat azelőtt, hogy azok megtörténnének, ezáltal a cégek által elszenvedett károk nullára fognak redukálódni. Más szóval az AI segítségével a kiberbiztonsági műveleti központok többé nem reaktívan, hanem proaktívan fognak működni, előre figyelmeztetve minket a támodásokra ahelyett, hogy olyanokra reagálnának, amelyek már pusztítást végeznek. És ez az ismert fenyegetésekről az ismeretlenekre irányuló fókuszváltás éppen az a cél, amit egy hatékony SOC-nak ki kéne tűznie maga elé.
De hogy érhető el mindez? Először is a kiberbiztonságban alkalmazott AI képességeinek képesnek kell lenniük lépést tartani a fenyegetések fejlődésével, amely szorosan követi a technológiában történő fejlesztéseket. A támadási felületeink folyamatosan fejlődnek és bővülnek, de túl sok az összefüggéstelen és strukturálatlan adat, amely akadályozza a SOC elemzőket a gyors és hatékony incidens felderítésben és válaszadásban. A jelenleg használatban lévő, hatástalan megfigyelő technológiák általánosságban nem adnak a specialistáknak elegendő rálátást. Hogy lépést tudjunk tartani ezekkel a fenyegetésekkel, a szakértőknek segítségre van szükségük a rendellenes viselkedések felderítésében, az ismert és ismeretlen fenyegetések azonosításában, valamint a támadások életciklusainak teljes átlátásában – a mesterséges intelligencia pedig, ha majd eléri a megfelelő fejlettségi szintet, éppen ezekben tud segíteni a kiberbiztonságnak.
Erről a témáról tartott előadást néhány személyes példával Corne van Roij az idei EURO ONE-RSA Cyber Security Summiton. A summit előadásai felkerültek az InfoSec Akadémiára.
Az InfoSec Akadémia egy exkluzív klub IT security szakembereknek.
Kapcsolódó bejegyzések
A ChatGPT és a GDPR viszonya
Hüvelyes Péter
2023.06.15
Hogyan illeszkedik a ChatGPT a GDPR-hoz? Ismerje meg a mesterséges intelligencia adatkezelési gyakorlatát és a felhasználói adatok védelmével kapcsolatos kihívásokat.
Filmekből a valóságba: a ChatGPT előnyei és hátrányai
Polyák Bea
2023.04.19
A ChatGPT nemcsak a kiberbiztonság javítására alkalmas, hanem komoly kockázatokat is rejt, például adathalászat, ransomware és social engineering támadások formájában.