Na rynku coraz częściej przy okazji różnych artykułów i felietonów pojawia się rosnącej popularności opinia, jakoby wraz z rozwojem sztucznej inteligencji, mogłaby ona kiedyś całkowicie zastąpić analityków pracujących w zespołach SOC. No bo jeśli AI potrafi analizować miliony zdarzeń w czasie rzeczywistym, wykrywać anomalie i generować raporty szybciej niż człowiek, to w czym jeszcze może być potrzebny specjalista od cyberbezpieczeństwa? Cóż, w rzeczywistości sprawa zmierza ku zbyt wielkiemu uproszczeniu.
Sztuczna inteligencja w narzędziach typu SIEM, XDR, SOAR itp. rzeczywiście ułatwiła i poniekąd, aż zmieniła sposób działania zespołów Security Operations Center. Mechanizmy oparte na uczeniu maszynowym (ML) i analizie behawioralnej (UEBA) pozwalają im na automatyczne wychwytywanie podejrzanych wzorców, co za tym idzie zmniejszenie liczby fałszywych alarmów (false positive), a idąc dalej – finalnie zmniejsza to nakłady ludzkiej pracy. Swoją cegiełkę dokłada do tego jeszcze automatyzacja odpowiedzi na incydenty przez systemy SOAR lub narzędzia w systemach SIEM odpowiedzialne za to, że skrypty mogą np. szybko izolować zainfekowane hosty, resetować hasła, blokować podejrzane adresy IP itd…
Ale czy to wystarczy?
Nie do końca, problem jest w tym, że AI działa w obrębie zdefiniowanych już wzorców, sygnatur, które ktoś wcześniej musiał stworzyć. Jeśli coś wykracza poza jej model, to zaczyna się problem. Weźmy jako przykład ataki typu zero-day, które wykorzystują nieznane wcześniej podatności. AI może nie być w stanie ich wykryć, ponieważ może się okazać, że nie ma na ich temat żadnych, wcześniejszych, danych. Często tego typu zagrożenia wymagają czegoś, czego AI jeszcze długo nie osiągnie – po prostu ludzkiej intuicji i doświadczenia.
Do tego dochodzi jeszcze kwestia kontekstu. AI może co prawda wykryć nietypową aktywność, ale czy będzie w 100% potrafiła odróżnić atak od autoryzowanej operacji administratora? Analityk SOC prawdopodobnie spojrzy na sytuację szerzej: przeanalizuje wybrane logi, sprawdzi ostatnie zmiany w środowisku i przede wszystkim osobiście zapyta użytkownika, co właściwie robił. AI takich zdolności nie posiada, bo to nie film science fiction. Może zasugerować pewne działania, ale ostateczna decyzja zawsze powinna należeć do człowieka.
Inną sprawą są jeszcze fałszywe alarmy. Algorytmy AI oczywiście potrafią je redukować, ale to wciąż nie eliminuje ich całkowicie. Koniecznością jest, aby zespół SOC nadal sprawdzał, czy alert to rzeczywiste zagrożenie, czy może zwykły błąd konfiguracji systemowej. I nie oszukujmy się, w większości przypadków, ostateczna, rzetelna ocena tego, co jest prawdziwym incydentem, a co nie zależy od człowieka.
Kolejnym aspektem jest zdolność do adaptacji. Nowoczesne zagrożenia cybernetyczne coraz lepiej wiedzą, jak działają mechanizmy obronne i jak je skutecznie omijać. AI działa na podstawie tego, co już wcześniej poznało, czyli jeśli atak jest nowy, niestandardowy, sztuczna inteligencja może go po prostu przeoczyć. Analityk SOC za to ma zdolność do abstrakcyjnego myślenia i łączenia faktów.
Nie zapominajmy też o aspekcie odpowiedzialności. AI może wspierać decyzje, ale finalnie nie podejmie ich samodzielnie. Jeśli dany system sugeruje podjęcie jakiś działań, to nadal człowiek musi zdecydować, czy faktycznie należy je wdrożyć. Nawet w przypadku niepoprawnych rekomendacji, ostateczna odpowiedzialność zawsze spoczywa na analityku SOC, który zatwierdza lub odrzuca dane działania systemu.
Czy więc AI jest bezużyteczna? Oczywiście, że nie. Wręcz przeciwnie – jest niesamowicie pomocnym narzędziem dla współczesnych zespołów SOC. AI pomaga skrócić czas reakcji i wesprzeć analityka w podejmowaniu finalnej decyzji.
A więc, odpowiadając na pytanie, które sugeruje tytuł artykułu – czy AI może całkowicie zastąpić analityków SOC?
Oczywiście, że nie.
Końcowy wniosek jest taki, że i tak to człowiek jest tym, który finalnie rozumie abstrakcyjnie kontekst danego zdarzenia i przewiduje nietypowe scenariusze.
Wróć
