I fornitori di sicurezza parlano di "intelligenza artificiale" (AI) e "apprendimento automatico" (ML) con tanta disinvoltura che per molti professionisti i termini hanno perso significato. Peggio ancora, alcuni promettono troppo al punto da screditare il settore nel suo complesso. (Mi viene in mente un fornitore che ama affermare che il rilevamento e la risposta sono completamente autonomi).
Nonostante l'esagerazione, rimane una semplice verità: l'intelligenza artificiale è uno strumento incredibilmente potente che aiuta i team di sicurezza a individuare e bloccare tempestivamente gli attacchi moderni. Ciò include la capacità di bloccare gli attacchi ransomware e ransomOps che sono oggi al centro dell'attenzione.
In questa serie di blog, andremo oltre le parole d'ordine per spiegare le basi, le metodologie e, soprattutto, i risultati offerti dal rilevamento e dalla risposta alle minacce guidati dall'intelligenza artificiale.
Oltre le parole d'ordine
"L'intelligenza artificiale è una stronzata, ma il ML è fantastico". Questo sentimento non è raro. Ma cosa significano questi termini e perché e come sono diversi?
Il termine "intelligenza artificiale" è stato coniato negli anni '50 per descrivere qualsiasi sistema in grado di approssimare il pensiero umano. L 'IA generale si riferisce a un agente intelligente in grado di apprendere qualsiasi compito intellettuale che possa essere svolto da un essere umano. Si pensi ad HAL 9000 di "2001: Odissea nello spazio". Molti si avvicinano subito a questa definizione, ma oggi rimane quasi esclusivamente nei laboratori di ricerca.
Praticamente tutte le applicazioni commerciali sono IA applicate, che risolvono un problema specifico, ad esempio la traduzione di una lingua, la guida di un'auto, il riconoscimento di un volto o il rilevamento di una minaccia alla sicurezza. Tutta l'IA per la sicurezza è IA applicata.
I sistemi di intelligenza artificiale possono essere costruiti con diverse tecniche. Alcuni dei primi, chiamati sistemi esperti, erano fondamentalmente dei giganteschi CASE. Oggi, l'approccio più comune alla costruzione dell'IA è l'apprendimento automatico: algoritmi che esaminano una serie di dati e imparano a fare previsioni sui nuovi dati in arrivo.
Sono disponibili moltissimi algoritmi e tecniche di ML. Nessuna tecnica è intrinsecamente migliore di un'altra: tutto dipende dal problema da risolvere e dai dati disponibili. Di fatto, nei nostri prodotti utilizziamo oltre 50 diverse tecniche di ML, ciascuna scelta per ottimizzare i risultati di sicurezza per i nostri utenti.
Le tecniche di apprendimento supervisionato operano su dati etichettati. Addestrandolo con un gruppo di immagini etichettate "gatti" e "cani", è in grado di determinare se un'immagine che non ha ancora visto è di un gatto o di un cane.
Le tecniche di apprendimento non supervisionato sono utili e necessarie quando non sono disponibili dati etichettati. Le tecniche non supervisionate trovano una struttura nei dati, raggruppando cose simili anche se non possono etichettarle. Se lo si addestra con un gruppo di immagini di animali, raggrupperà i leoni, le zebre e gli orsi, anche se non sarà in grado di dire cosa sia uno di questi raggruppamenti.
Allora... perché Vectra usa l'"AI"?
Tutta l'IA non è ML e tutta la ML non è IA. Quindi, dov'è la linea di demarcazione? A un certo livello, la distinzione è irrilevante, ma ciò che conta davvero sono i risultati della sicurezza. Tuttavia, dal momento che ci siamo orientati verso l'utilizzo dell'IA, vi spiegheremo.
È molto semplice: il nostro sistema integra l'esperienza dei nostri ricercatori e analisti della sicurezza. Il sistema "pensa" come loro. Questo è il fulcro della nostra metodologia guidata dalla sicurezza. Ogni modello di rilevamento inizia con la definizione del problema da parte di un ricercatore di sicurezza, ovvero il metodo di attacco che dobbiamo essere in grado di individuare. I modelli vengono quindi progettati specificamente da zero: dai dati, all'algoritmo, ai risultati per individuare con precisione il metodo di attacco. Quando costruiamo algoritmi di prioritizzazione, questi sono progettati per replicare le chiamate di priorità che il nostro team di analisti effettua quando esamina gli incidenti.
Non tutti i sistemi adottano questo approccio. In effetti, non conosciamo nessun altro fornitore che agisca in questo modo. È costoso e difficile, ma siamo convinti che sia il modo migliore per ottenere i risultati che i nostri clienti meritano. E lo chiamiamo con orgoglio "AI".
Nel prossimo blog, approfondiremo la metodologia di rilevamento per contrapporre l'approccio unico di Vectra, basato sulla sicurezza, a quello basato sulla matematica e sulle anomalie di base utilizzato da altri fornitori.
Nel frattempo, potete vedere come lo facciamo con la Vectra AI Platform.