Kolla in alla on-demand-sessioner från Intelligent Security Summit här.
I dagens komplicerade cybersäkerhetslandskap är upptäckt bara en del av pusslet.
Med hotaktörer som utnyttjar allt från öppen källkod till AI-verktyg till multifaktorautentisering (MFA), måste säkerheten vara anpassningsbar och kontinuerlig över en organisations hela digitala ekosystem.
AI-hotdetektering – eller AI som ”förstår dig” – är ett viktigt verktyg som kan hjälpa organisationer att skydda sig själva, säger Toby Lewis, chef för hotanalys på cybersäkerhetsplattformen Darktrace.
Som han förklarade tillämpar tekniken algoritmiska modeller som bygger en baslinje för en organisations ”normala”. Den kan sedan identifiera hot – oavsett om de är nya eller kända – och fatta ”intelligenta mikrobeslut” om potentiellt misstänkt aktivitet.
”Cyberattacker har blivit för snabba, för frekventa och för sofistikerade”, sa Lewis. ”Det är inte möjligt för ett säkerhetsteam att vara överallt, hela tiden och i realtid i stor skala.”
Skyddar ”utsträckta” digitala landskap
Som Lewis påpekade, ”det råder ingen tvekan om att komplexitet och operativa risker går hand i hand när det blir svårare att hantera och skydda moderna organisationers ”utbredda digitala landskap”.
Angripare följer data till molnet och SaaS-applikationer, såväl som till en distribuerad infrastruktur av slutpunkter – från mobiltelefoner och IoT-sensorer till fjärranvända datorer. Förvärv med stora nya digitala tillgångar och integration av leverantörer och partners utsätter också dagens organisationer för risker, sa Lewis.
Ändå är cyberhot inte bara vanligare – inträdesbarriärerna för potentiella dåliga aktörer fortsätter att minska. Särskilt oroande är den växande kommersiella tillgängligheten av offensiva cyberverktyg som producerar ökande volymer av låga sofistikerade attacker som ”nedsätter” CISO:er och säkerhetsteam.
”Vi ser cyberbrottslighet som commoditized as-a-service, vilket ger hotaktörer paketerade program och verktyg som gör det enklare att etablera sig i verksamheten, säger Lewis.
Också oroväckande är den senaste utgåvan av ChatGPT – ett AI-drivet verktyg för att skapa innehåll – från OpenAI. ChatGPT kan användas för att skriva kod för skadlig programvara och andra skadliga syften, förklarade Lewis.
”Cyberbrottsaktörer fortsätter att förbättra sin ROI, vilket kommer att innebära en konstant utveckling av taktik på sätt som vi kanske inte kan förutsäga,” sa han.
AI tunga lyft
Det är här AI-hotdetektering kan komma in. AI ”tunga lyft” är avgörande för att skydda organisationer mot attacker, sa Lewis. AI:s ständigt pågående, kontinuerliga inlärningsförmåga gör att tekniken kan skala och täcka den enorma volymen av data, enheter och andra digitala tillgångar under en organisations ansvarsområde, oavsett var de befinner sig.
Vanligtvis, noterade Lewis, har AI-modeller fokuserat på befintliga signaturbaserade tillvägagångssätt. Men signaturer för kända attacker blir snabbt föråldrade eftersom angripare snabbt ändrar taktik. Att förlita sig på historisk data och tidigare beteende är mindre effektivt när det kommer till nyare hot eller ”betydande avvikelser i hantverk av kända angripare.”
”Organisationer är alldeles för komplexa för att något team av säkerhets- och IT-proffs ska ha ögonen på alla dataflöden och tillgångar”, sa Lewis. I slutändan överträffar sofistikeringen och hastigheten hos AI ”mänsklig kapacitet.”
Identifiera attacker i realtid
Darktrace tillämpar självlärande AI som ”ständigt lär sig en organisation, från ögonblick till ögonblick, och upptäcker subtila mönster som avslöjar avvikelser från normen”, sa Lewis.
Detta ”gör det möjligt att identifiera attacker i realtid, innan angripare kan göra skada”, sa han.
Till exempel pekade han på de senaste utbredda Hafnium-attacker som utnyttjade Microsoft Exchange. Denna serie av nya, otillskrivna kampanjer identifierades och stördes av Darktrace i ett antal av sina kunders miljöer.
Företagets AI upptäckte ovanlig aktivitet och anomalier som det vid den tiden inte fanns någon tidigare allmän kännedom om. Den kunde stoppa en attack som utnyttjade en noll-dagars eller en nyligen släppt n-dagars sårbarhet veckor före tillskrivning, förklarade Lewis.
Annars, påpekade han, var många organisationer oförberedda och sårbara för hotet tills Microsoft avslöjade attackerna några månader senare.
Som ett annat exempel upptäckte och stoppade Darktrace i mars 2020 flera försök att utnyttja sårbarheten Zoho ManageEngine, två veckor innan attacken diskuterades offentligt och sedan tillskrevs den kinesiska hotaktören APT41.
”Det är här AI fungerar bäst – att självständigt upptäcka, undersöka och reagera på avancerade och aldrig tidigare skådade hot baserat på en skräddarsydd förståelse för den organisation som riktas mot,” sa Lewis.
Han påpekade att ”dessa ’kända okända’, som är svåra eller omöjliga att fördefiniera i en oförutsägbar hotmiljö, är den nya normen inom cyber.”
Använder AI för att bekämpa AI
Darktrace startade 2013 med matematiska modeller för Bayesianska slutledningar som etablerade normala beteendemönster och avvikelser från dessa. Nu har företaget mer än 100 patent och patentsökta från dess AI Research Center i Storbritannien och dess FoU-center i Haag.
Lewis förklarade att Darktraces team av matematiker och andra multidisciplinära experter ständigt letar efter sätt att lösa cyberutmaningar med AI och matematik.
Till exempel har en del av dess senaste forskning tittat på hur grafteori kan användas för att kontinuerligt kartlägga över domäner, realistiska och riskbedömda attackvägar över ett digitalt ekosystem.
Dessutom har dess forskare testat offensiva AI-prototyper mot dess teknologi.
”Vi kan kalla detta ett krig av algoritmer,” sa Lewis. Eller, enkelt uttryckt, bekämpa AI med AI.
Som han uttryckte det: ”När vi börjar se angripare som beväpnar AI för illvilliga syften, kommer det att bli mer avgörande att säkerhetsteam använder AI för att bekämpa AI-genererade attacker.”