Командам разработчиков нужен способ упростить наблюдение за ИТ-ресурсами и одновременно обеспечить их безопасность, особенно в условиях строгих требований непрерывных циклов выпуска и сложных облачных сред. В соответствии с этим убедительное подавляющее большинство австралийских ИТ-директоров считает, что необходимо повысить точность и надежность решений безопасности ИИ, прежде чем автоматизация конвейера CI/CD станет разумным решением.
Необходимость повышения надежности автоматизации
ИТ-директора и ИТ-команды не встречают существенного сопротивления автоматизации. Как показывает вышеупомянутый опрос, организации в Австралии намерены увеличить свои общие расходы на автоматизацию. Похоже, что Австралия более склонна инвестировать в автоматизацию по сравнению со средним мировым показателем. ИТ-директора в стране говорят, что планируют увеличить автоматизацию на 41% по сравнению с 35% в среднем по миру.
Автоматизация безопасности является ведущим приоритетом среди австралийских организаций. Австралийские ИТ-директора говорят, что планируют увеличить финансирование автоматического обнаружения и блокировки уязвимостей на 56% (в среднем по миру: 41%). Они также намерены увеличить расходы на автоматизацию проверки релизов на 51% (в среднем по миру: 35%).
Тем не менее, даже с растущим стремлением австралийских организаций к автоматизации безопасности, существует заметное чувство осторожности. В том же опросе говорится, что около 91% считают, что необходимо повысить доверие к точности автоматизированных решений на основе ИИ для автоматизации конвейера CI/CD. Кроме того, около 94 % говорят, что важно распространить культуру DevSecOps на большее количество команд, чтобы ускорить цифровую трансформацию и поддерживать более быстрые и безопасные циклы выпуска.
Для сравнения, около 70% считают важным повысить надежность решений, автоматически генерируемых системами безопасности на базе ИИ. Это по-прежнему подавляющее большинство, но не так много по сравнению с тем, как 9 из 10 австралийских организаций подчеркивают точность решений ИИ.
Проблемы в достижении точной автоматизации безопасности
Нет никаких сомнений в том, что точность ИИ важна. В конце концов, эффективность без точности — это просто скорость, и она не гарантирует надлежащей киберзащиты. В свете стремления к практике DevSecOps имеет смысл сделать упор на точность ИИ, особенно в том, что касается непрерывной проверки безопасности.
Непрерывная проверка безопасности играет решающую роль в DevSecOps, где безопасность интегрируется на протяжении всего процесса разработки программного обеспечения, от проектирования до развертывания. Делать это вручную было бы непрактично и невероятно дорого. Даже с лучшими аналитиками безопасности, нанятыми для проекта, они не могут безошибочно обнаружить и быстро устранить все слабые места и проблемы безопасности.
Не помогает, что есть постоянная нехватка навыков кибербезопасности. Наем лучших сотрудников службы безопасности обойдется очень дорого, если только компания сможет найти нужных людей для найма. Однако это не означает, что автоматизированные системы на основе ИИ полностью надежны и не содержат ошибок. Есть причины, по которым австралийские ИТ-директора подчеркивают важность точных решений ИИ.
«Автоматизация и современные методы доставки, такие как DevSecOps, являются ключом к этому (более быстрым и безопасным инновациям), но команды должны быть уверены, что их ИИ делает правильные выводы о влиянии риска конкретной уязвимости», — говорит Бернд Грайфенедер, один из ключевые лица в независимом опросе ИТ-директоров.
Тот факт, что система безопасности утверждает, что использует искусственный интеллект для выполнения автоматизированных операций, не означает, что она так же хороша, как и другие решения, которые также используют ИИ. Различные системы ИИ имеют разные возможности и уровни надежности. Многие продолжают совершать значительное количество ложных срабатываний или выявлять угрозы, которые не являются реальными угрозами. Существует также возможность получения ложноотрицательных результатов.
Как ложные срабатывания, так и негативы препятствуют внедрению надежной киберзащиты. Ложные срабатывания, как правило, приводят к большому количеству предупреждений, которые скрывают реальный сценарий угрозы. Аналитики безопасности не в состоянии оперативно реагировать на реальные угрозы, потому что тонны ложных срабатываний скрывают более срочные события и уведомления безопасности. С другой стороны, ложноотрицательные результаты создают ложное чувство безопасности.
Другая ошибка, которую могут совершать автоматизированные системы безопасности, называется переоснащением. Когда система ИИ слишком сосредоточена на конкретных примерах в наборе данных, она может неправильно идентифицировать новые или неизвестные угрозы. Это серьезная проблема для платформ безопасности на основе ИИ, которые полагаются исключительно на проприетарную аналитику угроз или несколько источников информации об угрозах. Средством здесь является расширение источников информации об угрозах и воспользоваться такими фреймворками, как MITRE ATT&CK использовать легкодоступную информацию об угрозах и идеи, подготовленные уважаемыми органами кибербезопасности.
Кроме того, автоматизированным системам безопасности на основе ИИ может не хватать контекста, необходимого для точного выявления угроз. В настоящее время большинство автоматизированных решений уже учитывают контекст. Однако контекст может быть неадекватным или неполным из-за отсутствия наглядности. Трудно установить реальную ситуацию с угрозами, если некоторые данные отсутствуют, а большая часть информации, необходимой для правильной идентификации угроз, скрыта в теневых ИТ.
Кроме того, автоматизированные системы безопасности также могут выйти из строя, если они подвергаются атакам со стороны злоумышленников. Скоординированные киберпреступники могут запускать атаки, направленные на то, чтобы обмануть алгоритмы ИИ и заставить их неправильно классифицировать данные. Эти атаки обычно включают компонент социальной инженерии для использования уязвимостей человека.
Необходима точная автоматизация безопасности
Точность автоматизации ИИ имеет решающее значение для DevSecOps и кибербезопасности в целом, поскольку она является основой соответствующих действий по обеспечению безопасности. Оптимизация процесса бесполезна, если информация, проходящая через него, неверна. Приоритизация не имеет большого смысла, если приоритетные угрозы не являются реальными угрозами (ложноположительные результаты) или если угрозы вообще не были обнаружены (ложноотрицательные результаты).
Вопрос в том, как организации могут определить, является ли система безопасности точной или нет? Единственный способ ответить на этот вопрос — просмотреть авторитетные обзоры платформ безопасности и изучить послужной список таких платформ в правильном обнаружении и предотвращении угроз. Это будет кропотливая и утомительная задача, но она обязательна для организаций, которые хотят получить наилучшие результаты от используемых ими решений по обеспечению безопасности.
Было бы хорошим началом ограничить варианты теми, которые не обещают слишком многого. Некоторые охранные фирмы имеют привычку использовать как можно больше технических терминов, чтобы произвести впечатление на потенциальных клиентов. Например, они заявляют, что их решение представляет собой одновременно систему безопасности информации и событий нового поколения (NG-SIEM) и открытое расширенное обнаружение и реагирование (Open XDR). Это не имеет смысла для знающих людей.
Читать полную новость на сайте
