Umelá inteligencia ako obrana: AI v službách bezpečnosti

V predchádzajúcich článkoch sme sa venovali tomu, ako môžu útočníci využívať AI na phishing, deepfaky, OSINT a hľadanie zraniteľností. Bola by však chyba vidieť umelú inteligenciu iba ako hrozbu.

AI kybernetická obrana je dnes rovnako dôležitá téma ako AI útoky. AI je nástroj. V rukách obrancov môže výrazne zlepšiť kybernetickú bezpečnosť: pomáha odhaľovať podozrivé správy, analyzovať veľké množstvo dát, zrýchľovať reakciu na incidenty a znižovať záťaž bezpečnostných tímov.

Dôležité je pochopiť, kde AI pomáha najviac a kde stále potrebujeme človeka. Pre opačný pohľad si môžete prečítať aj článok AI ako útočník a text o AI hľadaní zraniteľností.

Pri obrannej stratégii je dobré poznať aj praktické útoky, proti ktorým sa bránime: najmä AI phishing, deepfake a vishing a AI a OSINT.

Prečo bezpečnostné tímy potrebujú pomoc

Moderná firma produkuje obrovské množstvo digitálnych signálov. E-maily, prihlásenia, cloudové udalosti, sieťová komunikácia, aplikácie, koncové zariadenia, prístupy používateľov, pokusy o prihlásenie a upozornenia z bezpečnostných nástrojov.

Aj menšia firma môže denne vytvoriť tisíce udalostí. Väčšia organizácia ich môže mať milióny. Človek nedokáže všetko ručne kontrolovať. Práve tu pomáha AI v kyberbezpečnosti: vie hľadať vzory, odchýlky a súvislosti, ktoré by sa v množstve dát stratili.

AI pri detekcii phishingu

Phishing je jedna z oblastí, kde AI pomáha veľmi prakticky. Moderný phishing filter už nesleduje iba známe škodlivé odkazy. Vie analyzovať jazyk správy, reputáciu odosielateľa, podobnosť domény, typ prílohy, správanie odkazu a ďalšie signály.

AI detekcia phishingu môže odhaliť správu, ktorá neobsahuje známy vírus, ale jej štýl je podozrivý: vytvára časový tlak, žiada prihlasovacie údaje, používa neobvyklý odkaz alebo sa tvári ako interná komunikácia.

Filter však nezachytí všetko. Najlepšia ochrana je kombinácia technológie a vyškolených ľudí. Filter zníži počet útokov. Človek musí vedieť spozornieť pri tom, čo prejde.

AI pri bezpečnostnom monitoringu

Bezpečnostný monitoring sleduje, čo sa deje v systémoch. AI tu môže pomôcť rozpoznať neobvyklé správanie a podporiť detekciu hrozieb.

Napríklad:

  • používateľ sa prihlási z krajiny, z ktorej sa nikdy neprihlasoval,
  • účet začne sťahovať nezvyčajne veľa dát,
  • zamestnanec sa pokúša pristupovať k systémom, ktoré bežne nepoužíva,
  • zariadenie komunikuje s podozrivou doménou,
  • v noci prebieha veľa neúspešných prihlásení,
  • administrátorský účet robí nezvyčajné zmeny.

Samostatne nemusí jedna udalosť znamenať incident. AI však môže spojiť viac signálov a upozorniť, že niečo nesedí. V praxi sa to často prepája so systémami ako SIEM, EDR alebo cloudové bezpečnostné nástroje.

Human-in-the-loop: AI navrhuje, človek kontroluje a bezpečnostná akcia sa vykoná až po ľudskom dohľade

AI pri reakcii na incidenty

Keď sa stane incident, čas je kritický. Bezpečnostný tím potrebuje rýchlo pochopiť, čo sa stalo, koho sa to týka, aké systémy sú zasiahnuté a čo treba urobiť.

AI môže pomôcť sumarizovať udalosti, navrhnúť možné kroky, zoradiť priority a pripraviť prehľad pre ľudí, ktorí rozhodujú. V oblasti incident response môže analytikovi ušetriť čas pri prechádzaní logov a udalostí.

Napríklad namiesto ručného čítania stoviek záznamov môže AI pripraviť zhrnutie: „Účet používateľa bol kompromitovaný. Najprv prišlo prihlásenie z neobvyklej lokality, následne bolo vytvorené pravidlo na preposielanie e-mailov a potom došlo k pokusu o prístup k zdieľaným dokumentom.“

Takéto zhrnutie šetrí čas. Ale opäť: človek musí výsledok overiť.

AI pri hľadaní zraniteľností

AI môže pomáhať aj vývojárom. Vie kontrolovať kód, upozorniť na rizikové miesta, navrhnúť bezpečnejší spôsob riešenia a vysvetliť problém jednoduchším jazykom.

To je dôležité najmä preto, že bezpečnostných expertov je málo. Vývojári často pracujú pod tlakom a bezpečnosť môže byť vnímaná ako brzda. Ak AI pomôže nájsť chybu hneď pri písaní kódu, je to lacnejšie a rýchlejšie než oprava po incidente.

AI však nemá byť výhovorka na slabý proces. Stále treba code review, testovanie, bezpečnostné pravidlá a jasnú zodpovednosť.

AI pri školení zamestnancov

Dobré školenie kybernetickej bezpečnosti nemá byť nudná prezentácia raz za rok. AI môže pomôcť vytvárať realistické, ale bezpečné tréningové scenáre.

Firma môže pripraviť simulované phishingové správy podľa rolí. Iné príklady pre financie, iné pre obchod, iné pre HR. Zamestnanci sa učia na situáciách, ktoré sa podobajú ich reálnej práci.

AI môže pomôcť aj s vysvetlením po chybe. Nie štýlom „nachytali sme vás“, ale štýlom „toto boli varovné znaky a nabudúce si všimnite tieto veci“.

Kde sú limity AI

AI nie je neomylná. Môže sa mýliť, prehliadnuť kontext, vyhodnotiť normálnu vec ako incident alebo naopak podceniť riziko.

Najväčšie riziká pri používaní AI v obrane sú:

  • slepá dôvera v odporúčania,
  • slabé nastavenie nástrojov,
  • nedostatok ľudského dohľadu,
  • únik citlivých dát do nevhodných AI nástrojov,
  • falošné poplachy,
  • nejasná zodpovednosť.

Preto treba mať pravidlo: AI navrhuje a pomáha, človek rozhoduje.

Čo by mala firma zaviesť

Ak chce firma používať AI v bezpečnosti rozumne, mala by začať základmi.

1. Určite, aké dáta môžu ísť do AI nástrojov.

Citlivé informácie nepatria do náhodných verejných nástrojov.

2. Nastavte pravidlá používania AI.

Zamestnanci majú vedieť, čo je povolené a čo nie.

3. Používajte AI tam, kde znižuje riziko.

Napríklad phishing filtre, monitoring, sumarizácia incidentov, kontrola kódu a SOC automatizácia.

4. Zachovajte ľudský dohľad.

Najmä pri incidentoch, blokovaní účtov a rozhodnutiach s dopadom na biznis.

5. Merajte výsledky.

Sledujte, či AI skutočne znižuje počet incidentov alebo len produkuje viac upozornení.

6. Kombinujte AI s klasickými opatreniami.

MFA, zálohy, aktualizácie, minimálne oprávnenia a zero trust zostávajú základ.

AI nenahradí bezpečnostnú kultúru

Môžete mať výborné nástroje, ale ak ľudia nevedia nahlásiť podozrivý e-mail, platby sa schvaľujú chaoticky a účty nemajú viacfaktorové overenie, AI vás nezachráni.

Kybernetická bezpečnosť je kombinácia ľudí, procesov a technológie. AI patrí do technológie, ale musí byť napojená na procesy a pochopená ľuďmi. Najlepšie funguje tam, kde už existuje základná disciplína.

AI nie je autopilot bez vodiča

Najväčšia chyba je myslieť si, že AI všetko vyrieši sama. Bezpečnosť potrebuje kontext. Potrebuje vedieť, ktoré systémy sú kritické, kto má prístup, čo je normálne správanie a čo je výnimka.

Preto je dôležitý princíp human-in-the-loop. Znamená to, že človek zostáva súčasťou rozhodovania. AI navrhne, upozorní, zoradí alebo vysvetlí. Človek potvrdí, zamietne alebo doplní kontext.

Záver

Umelá inteligencia bude hrať v obrane čoraz väčšiu rolu. Pomôže filtrovať phishing, odhaľovať anomálie, analyzovať incidenty, hľadať zraniteľnosti a vzdelávať ľudí.

Nie je to však magický štít. Je to zosilňovač. Ak máte dobré bezpečnostné procesy, AI ich môže zrýchliť a zlepšiť. Ak máte chaos, AI môže chaos len zrýchliť.

Najlepší prístup je jednoduchý: používajte AI, ale nenechávajte ju rozhodovať samu. Dôverujte jej ako asistentovi, nie ako autopilotovi.

Súvisiace články

Použite AI rozumne - otestujte pripravenosť svojej kybernetickej obrany.

Rezervovať