Viimeisten kymmenen vuoden aikana tekoälyn kehitys huipentui ChatGPT:n julkistukseen, mikä toi konkreettisen tekoälytuotteen IT-markkinoille. Vaikka olemme edenneet, tuntuu siltä, että emme ole vielä saavuttaneet vuoden 2012 Microsoft-tutkimusjohtaja Rick Rashidin esittelemää vallankumousta. Hype huipussa näemme markkinointiviestejä ja tuotejulkistuksia, jotka vaikuttavat asiakkaasta lähinnä kevyeltä hötöpilveltä. Todellisen hyödyn löytäminen tekoälypohjaisista tuotteista voi olla haastavaa, ainakin markkinoinnille. Onko AI Kyberturva totta vai tarua?
”Security analysts now have a unified incident experience that streamlines triage and provides a complete, end-to-end view of threats across the digital estate”
Todellinen hyöty jää avoimeksi?
Esimerkkinä voimme tarkastella PaloAlto SOC:n siirtymistä SIEM-ratkaisusta tekoälyä hyödyntävään XSOAR- ja XSIAM-ratkaisuun. Vuonna 2017 tarvittiin 10 henkilöä datan analysointiin, kun taas vuonna 2023 vastaava määrä olisi teoriassa ollut 26. Ratkaisu näin ollen säästää 16 ihmisen työpanoksen. Vaikka tämä voi tuntua suurelta pienessä mittakaavassa, se on vain 0,1 % henkilöstöstä. On myös syytä huomata, että ero kapenee, kun otetaan huomioon vanhan teknologian vuotuinen kehitys. OPEX:n kannalta hyöty on marginaalinen.
Kuitenkin tärkein kysymys jää usein avoimeksi: Muuttaako uusi ratkaisu kykyä havaita ja torjua uhkia? Olisivatko 26 ihmistä mahdollisesti havainneet jotain paremmin?
Kone- ja syväoppiminen apuna
Kun tarkastellaan kyberturvallisuutta yleisesti, perinteiset menetelmät kuten allekirjoitusperusteinen havaitseminen ja käyttäytymisen tunnistus ovat olleet käytössä vuosikymmeniä. Tekoälyä on mainostettu turvatuotteissa jo pitkään, mutta useimmat niistä joko käyttävät tilastollista analyysiä tietojen priorisointiin tai perinteistä koneoppimista (AI Machine Learning) tehtävien optimointiin.
Syväoppimismenetelmä (AI Deep Learning) ei vaadi asiantuntijan manuaalista piirteiden määrittelyä mallille. Se kykenee oppimaan, mitkä ominaisuudet määrittelevät uhan tai pahanaikeisuuden käyttäen vaaratonta ja uhkaavaa dataa. Tätä mallia voidaan sitten käyttää havaitsemaan erilaisia uhkia, jopa uusia ja tuntemattomia (Zero Day).
Vaikka syväoppimisen teoria on ollut tiedossa jo 70-luvulla, sen keskeinen kehitys tapahtui 2012. Potentiaalisista hyödystä huolimatta ratkaisun käyttö päätelaitteissa (EDR) on edelleen haastavaa resurssien puutteen takia. SIEM/SOC-ratkaisuissa resursseja on enemmän käytettävissä ja sen käyttäminen antaa hieman paremman tilannekuvan, mutta aina liian myöhään. Verkkoliikenteessä oikein toteutettuna syväoppiminen voi kuitenkin havaita tuntemattomia uhkia ja pysäyttää ne reaaliajassa.
Kyber AI pioneerit kuolevat
Tekoälyn ja syväoppimisen avulla on teoriassa mahdollista löytää tuntemattomia uhkia, minkä varaan monet AI-kyberturvan palkitut startupit perustuivat noin viisi vuotta sitten. Sellainen teknologia mullistaisi alaamme ja he saivat sijoittajat liikkeelle. Kukapa meistä ei haluaisi ratkaisua, joka tunnistaa reaaliaikaisesti uudet ja tuntemattomat uhat ja pahuudet ja torjuu ne?
Hyvin harva näistä yrityksistä selvisi yli 5 v kuolemanlaakson juuri todisteiden puuttuessa. Pelkkä hype ja tekninen markkinointimateriaali eivät riitä asiantuntijoille. Kiinnostavaa on, että nämä AI teknologiat eivät uusien omistajien hallussa tunnu pärjäävän vieläkään kyberturvavertailuissa erityisen hyvin. Asia ei ole helppoa maailman parhaimmillekkaan, mutta oliko AI Kyberturva totta vai tarua?
Data on uusi öljy – salattu data maitoa
Etsiessäni ratkaisua finanssisektorille 2021, eräs vaikeimmista keskusteluistamme näiden startup kanssa liittyi siihen, että syväoppimisen tulokset salaamattomalle liikenteelle ovat paljon parempia kuin salatulle. Vaikka salauksen purkaminen on mahdollista, se ei ole kovin yleistä. Tämä näkökulma tulisi ottaa huomioon esimerkiksi siirryttäessä Cloud Security tai Next Generation Firewalliin. Jos haluat parempia tuloksia, sinun on purettava salaus noin 50 protokollasta, ei pelkästään TLS/SSL. Se tarkoittaa erillisratkaisun hankkimista ja sen voi toteuttaa vain datan omistaja. Parempi aloittaa turvallisuuden parantaminen Zero Trust -projektilla, jolloin syväanalysoitavaa on tulevaisuudessa mahdollisimman vähän.
Hannu Rokka, Senior Advisor
5Feet Networks Oy