Как человеческий интеллект усиливает ИИ CrowdStrike
8 апреля 2022 г.
В индустрии безопасности появился новый стереотип, и он звучит примерно так: чтобы обеспечить свою безопасность, вам нужно решение на базе искусственного интеллекта, которое может действовать само по себе, а для этого вам нужно держать этих надоедливых людей подальше от это. Как практик, имеющий опыт внедрения ИИ в кибербезопасность — не потому, что этого требует современная архитектура, а из-за его реальной полезности для решения проблем безопасности — я нахожу эту характеристику озадачивающей.
Если для вас это звучит спорно, обратите внимание, что такое случается только в индустрии кибербезопасности. Эта характеристика совершенно бесспорна среди исследователей ИИ и машинного обучения (МО). И даже в других отраслях использование человеческого опыта совершенно нормально. Насколько так? Вы можете приобрести услуги, чтобы люди маркировали ваши наборы данных. Некоторые компании даже используют краудсорсинговые процессы, чтобы получать ярлыки от обычных пользователей. Вероятно, вы уже внесли свой вклад в подобные усилия, доказав веб-сайту, что вы не робот.
Как эта человеконенавистническая позиция безопасности стала повсеместной? Здесь действуют два заблуждения. Если вы человек с наполовину полным стаканом, вы могли бы назвать эти заблуждения. Но если вы сосредоточитесь на верхней половине стакана, вы можете назвать это искажением фактов. Во-первых, искусственный интеллект на самом деле не разумен. Поговорите со своим умным динамиком, чтобы убедиться в этом. ИИ — это набор алгоритмов и методов, которые часто дают полезные результаты. Но иногда они терпят неудачу странным и неинтуитивным образом. У него даже есть своя собственная поверхность атаки, которую злоумышленники могут использовать, если оставить его незащищенным. Относиться к ИИ как к панацее, решающей проблемы нашей отрасли, опасно, как я говорил в прошлом году в приглашенном докладе на семинаре «Надежность систем ИИ против состязательных атак».
Во-вторых, мы все еще устали от дней подписания. Тогда сигнатуры были развернуты, сначала остановили угрозы, затем начали пропускать новые угрозы, побуждая людей писать новые сигнатуры и перезапуская цикл на следующий день. Естественно, этот подход является проигрышным: эта модель не только является чисто реактивной, но и ее скорость явно ограничена временем реакции человека. Конечно, модели ИИ интегрируются для предотвращения угроз не таким образом. Модель искусственного интеллекта на платформе CrowdStrike Falcon® не требует вмешательства человека, чтобы остановить угрозу. CrowdStrike специально использует ИИ для обнаружения еще не задуманных угроз — без каких-либо обновлений.
Что нужно для обучения модели ИИ, способной надежно выполнять такие задачи? Самое главное, он требует данных. И многое из этого. Облако CrowdStrike Security Cloud обрабатывает более триллиона событий от датчиков конечных точек в день. Для сравнения: стопка из 500 страниц бумаги для офисного принтера имеет толщину около 50 миллиметров (около 2 дюймов). Триллион страниц будет лежать на высоте около 100 000 километров, или примерно 60 000 миль. Этого количества миль достаточно, чтобы каждый день зарабатывать вам золотой статус в большинстве авиакомпаний, но вам понадобится около четырех дней, чтобы пролететь это расстояние на обычной крейсерской скорости авиалайнера. И через эти четыре дня стопка достигнет Луны.
Однако важно то, что эта метафорическая стопка не только высокая. Облако CrowdStrike Security также имеет обширную сферу деятельности, охватывающую такие аспекты, как безопасность конечных точек, облачная безопасность, защита личных данных, анализ угроз и многое другое. Для каждого из этих аспектов мы обрабатываем сложные и детальные записи данных. Вся эта информация контекстуализируется и коррелируется в нашей собственной CrowdStrike Threat Graph®, большой базе данных распределенных графов, которую мы разработали.
Платформа Falcon изначально разрабатывалась как облачная система для эффективной обработки такого объема данных. Ничего из этого невозможно на приборе. И все это невозможно с помощью гибридных облачных решений, то есть тех облаков, которые представляют собой просто стопки стоечных устройств, управляемых поставщиком. Это имеет такой же смысл, как потоковое видео через Интернет с видеомагнитофона.