הבינה המלאכותית נתפסת כגיים צ'יינג'ר עבור שני צידי המתרס של מרחב הסייבר, מגנים ותוקפים כאחד. היא מביאה לשינוי עמוק באסטרטגיות, באיומים ובתגובות ויוצרת מציאות חדשה בשדה הקרב הדיגיטלי. מצד אחד, אלגוריתמים מתקדמים מאפשרים לנתח רשתות ולזהות חריגות בזמן אמת, וגם להגיב אוטומטית לאירועי אבטחה. מצד שני, אותה טכנולוגיה משמשת תוקפים - מייצרת פישינג היפר-ריאליסטי, deepfakes, וירוסים אדפטיביים וכלים אוטונומיים לליקוט מידע וניצול פרצות ברשת. בפועל, ככל שמשתפרות יכולות ההגנה, כמו ניטור התנהגויות, זיהוי אנומליות ותגובה מהירה, כך גם התוקפים מצטיידים בכלים חדשים לפעולה זדונית בקנה מידה גדול ובקצב חסר תקדים.
המעבר לגישות פרואקטיביות
המעבר להגנה ולהתקפה מבוססי AI יוצר מרוץ חימוש דינמי, במסגרתו המגנים נדרשים לשכלל עוד יותר את האלגוריתמים, כדי להדוף מתקפות מבוססות AI שגם הן משתכללות בעקביות. אנו רואים בשטח מגמה מואצת של מעבר מגישות אבטחה פסיביות לגישות פרואקטיביות, תוך התבססות על יכולות AI. כלי הגנה מבוססי AI (לדוגמה, מערכות EDR חכמות) מסוגלים ללמוד דפוסי פעילות רגילים ולנפות במהירות אירועים חשודים מרעש רקע. הם מנסים להפוך לפרואקטיביים יותר, לזהות התקפות לא מוכרות, לתעדף תיקונים, אך הם גם מתמודדים עם אתגרים, כמו דיווח יתר וטעויות זיהוי. המערכות הללו עדיין אינן מחליפות אנליסט מיומן. הן משלימות משימות שגרתיות, נותנות מענה אוטומטי למתקפות נפוצות ומסננות התרעות, אך עדיין חסרות את ההבנה ההקשרית לקרוא את התמונה הכוללת.
מנגד, תוקפים משתכללים ומפתחים כלי התקפה חכמים מבוססי AI. מתקפה באמצעות AI יכולה לכלול סריקה אוטומטית של חולשות, למידת מערך ההגנה במטרה לעקוף אותו והתאמת הווירוס בזמן אמת, וכל זאת בקצב ובקנה מידה שבעבר דרשו עבודה עצמית רבה וממושכת. כך למשל, תוקפים משתמשים במודלים גנרטיביים כדי לייצר קוד זדוני ואפילו לשתול "backdoor" במודלי ה-AI עצמם. אלגוריתמים יכולים "לרכוש" מודלים של למידת מכונה לזיהוי מילות מפתח וליצור הודעות פישינג מדויקות ויוצאות דופן שיעדיפו מתקפה כנגד משתמשים ספציפיים.
בין הייפ למציאות
השוק מוצף בהבטחות לשינוי מקצה אל קצה בהגנת הסייבר הודות ל-AI, אולם יש מי שמדבר על הצורך לבחון מתי קיימת היתכנות שערך אמיתי בצידה. רדיפה עיוורת אחרי הייפ אינה אסטרטגיה נכונה בהקשר של כל טכנולוגיה, ועלולה להוביל למצב שבו ארגונים מקדמים פתרונות AI ללא ביצוע בדיקות POC, מה שעלול לחשוף אותם להתקפות נרחבות עם פוטנציאל נזק גבוה.
לכן, כאשר מיישמים AI למטרת הגנה, צריך להכיר גם את נקודות החולשה. מערכות מבוססות אלגוריתמים אמנם מצמצמות עבודה שוחקת, אולם במקביל עלולות לייצר עומס התרעות גבוה והמלצות שווא, שמעמיסות על צוותי אבטחת המידע בארגון. במקרים מסוימים אף התברר שמנהלי אבטחת מידע ציפו למודעות כל כך גבוהה מכלי ה-AI, עד שנטו לוותר על ערנות אנושית, מה שעלול דווקא להחליש את ההגנה. בסביבות SOC מודרניות, יש פתרונות AI מסוימים שעשויים להוסיף שכבה נוספת של טכנולוגיה הנדרשת לניהול, אך לא תורמים ישירות לירידה במשימות הקריטיות של האנליסטים. המסקנה היא שהרבה מהיישומים המוצעים בשוק נוטים להעצים את יכולות האנליסט ולא להחליפו לחלוטין.
אתיקה, אחריות ושקיפות
עם כניסת מערכות ה-AI לתחום אבטחת המידע עולות שאלות מוסריות וחוקיות חדשות. ראשית, מי נושא באחריות כשמערכת AI אוטונומית מקבלת החלטה. למשל, כשהיא קובעת בטעות שמשתמש לגיטימי הוא תוקף ונועלת את הגישה שלו. האם האחריות תיפול על החברה שמפעילה את המערכת, על מפתח התוכנה או על המערכת עצמה? ככל שמערכות הופכות לאוטונומיות יותר, התשובה הופכת מעורפלת ללא מנגנוני אחריות ברורים. לכן, ארגונים צריכים להגדיר מראש נהלי אחריות ברורים ולהסדיר בהסכמים עם ספקים ועובדים מי אחראי לכל פעולה של ה-AI.
מעבר לכך, חשובה שקיפות והסברה של פעילות האלגוריתמים. יש לוודא שלמערכות יהיה מנגנון להסבר פעולותיהן, כדי שנוכל לפקח ולתקן טעויות בזמן אמת. אחריות נוספת נוגעת לאתגר ההטיות (Bias) ופרטיות. מערכות AI לומדות מנתונים ואם הנתונים מוטים, עלולות להיווצר תופעות של אפליה לא מכוונת. כמו כן, שימוש מוגבר בביג דאטה לצורכי אבטחה מעלה שאלות של פגיעה בפרטיות עובדי החברה. ועדות אתיקה ורגולציה במדינות רבות כבר מתוות קווי פעולה לעקרונות מוסריים כמו צדק, זהירות ואחריות.
המלצות למקבלי החלטות
לסיכום, הנה מספר המלצות למקבלי ההחלטות:
השקעה משולבת באנשים ובטכנולוגיה - ה-AI אמנם יעיל בטיפול בכמויות מידע גדולות, אך אינו מחליף ניסיון מקצועי ויצירתיות אנושית. שחררו את אנשי ה-SOC מטיפול במשימות שגרתיות כדי שיוכלו להתמקד באיתור איומים חדשים ובתכנון אסטרטגי. הסינרגיה בין AI למומחי הסייבר היא שתיצור את "נשק החזק ביותר, כאשר מידע שיועבר מה-AI ויעורר דאגה בקרב אנליסטים, ייפתח פתח לחקירה מעמיקה.
בחירת AI שקוף - העדיפו פתרונות שמספקים הסבר לפעולותיהם. הסכמים לרכישת כלי AI צריכים להבטיח שקיפות. הארגון יקבל פירוט על הדרך שבה המודל קיבל החלטות ואילו נתונים הוא עיבד. כך הצוות יוכל להבין את מגבלות המערכת ולבטל פתרון אוטומטי במקרה הצורך.
עליונות הגורם האנושי - שמרו על שליטה אנושית בפלט ה-AI. יש ליישם נהלים בהם אנליסטים מאשרים ידנית החלטות קריטיות, כמו שחרור נעילת משתמש או פריסה יזומה של תוכנה. צריכה להיות דרישה לשמור על ההחלטה הסופית בידי אדם בכל הנוגע לפעולות אוטונומיות.
קביעת אחריות ברורה - הבהירו לכלל המעורבים במרחב ה-AI, ממנהלים ועד מהנדסים, על מי מוטלת האחריות על תוצאות המערכת. בבואכם לחתום עם ספקי AI חיצוניים, ציינו בחוזה את רמת הניטור והבקרה הנדרשת מהם, ומי חייב לדווח מיידית במקרה שהתרחשה שגיאה קריטית.
ניהול ספקים ובקרת איכות - ודאו שספקיAI עומדים בסטנדרטים מחמירים: דרישת ביקורת קוד, בדיקות חיצוניות (PenTest) ועדכונים קבועים לכלי ה-AI. בנוסף, שקלו להטמיע מסגרות ניהול סיכונים בהתאם להמלצות (כגון מפת הדרכים של NIST) כדי לסנן פתרונות בטוחים.
הבינה המלאכותית מציגה פוטנציאל עצום להגנה מתקדמת, אך כדי לצלוח את המעבר לעידן ה-AI בסייבר יש לנהוג בזהירות ולזכור שמערכות טכנולוגיות הן רק חלק מהנוסחה. הדרכות לצוות, מעורבות של גורם אנושי מומחה, ניהול מובנה ואחריות ברורה, הם תנאי חובה להשגת היתרון הרצוי בעולם מאוים ותחרותי זה.
חדרי מלחמה שמבטיחים התקפה והגנה מסביב לשעון
ארמורי דיפנס הינה חברת סייבר גלובלית המבטיחה לארגונים חוסן סייבר אמיתי, בעידן של התקפות מתוחכמות ובלתי פוסקות על נכסיהם. החברה נוקטת בגישה פרואקטיבית של תקיפה למטרות הגנה המשלבת פלטפורמה שפיתחה עם שירותים הניתנים על ידי מומחי סייבר התקפי והגנתי. ארמורי דיפנס מפעילה כיום שני חדרי מלחמה, בישראל ובמקסיקו, בהם מרכזי אבטחת סייבר התקפיים (OSOC – Offensive Security Operation Center).
גישת Follow the Sun, על פיה פועלים חדרי המלחמה, מבטיחה התקפה והגנה רציפות, 24/7, במסגרתה מתבצעים מיפוי וזיהוי חולשות ואיומים עתידיים, ומיושמות סימולציות פריצה אמיתיות לנכסי הארגון ולנכסים של שרשרת האספקה של הארגון.
הפלטפורמה שפותחה בחברה משלבת AI, אוטומציה ולמידה התנהגותית. השילוב של ניתוח רציף של תשתיות, התנהגות משתמשים ותבניות תקיפה, מבטיח הגנה שמקדימה את התוקף ולא רק מגיבה לו. לקוחות ארמורי דיפנס מתעדכנים באופן שוטף בתוצרי הפעילות באמצעות דשבורד ייעודי, שיוצר עבורם סדר עדיפויות לגבי מידת הקריטיות של החולשות והאיומים, ובהתאם - המלצות פעולה שמספק צוות המומחים. כך יכול מנהל אבטחת המידע לקבל החלטות מבוססות נתוני אמת ולסגור פרצות עוד בטרם זוהו ונוצלו על ידי גורמים זדוניים.
הכותב הוא ראש צוות פיתוח ב-Armory Defense
אתר החברה>>>
בשיתוף Armory Defense
