Do rozvoje umělé inteligence jsou investovány miliardy dolarů a můžeme v ní vidět další průmyslovou revoluci. Jádrem průmyslové revoluce v 18. století bylo nahrazení svalů stroji. Stroji, které jsou silnější, přesnější, neunaví se. Nyní jsme na úsvitu příští průmyslové revoluce, kde by stroje mohly nahradit lidský mozek. Stroje, které jsou rychlejší, komplexní, nenudí se a nepotřebují přestávku. Koncept může znít futuristicky, ale v každodenním životě se už s umělou inteligencí běžně potkáváme.

Online prodejci ji využívají k nákupním předpovědím, algoritmy třídí a hodnotí fotografie a obrázky podle obsahu, finanční sektor využívá AI pro analýzu pojistného rizika nebo hodnocení žádostí o úvěr, sledujeme rozvoj inteligence v samořiditelných vozech a roboty vidíme i v oblasti práva nebo lékařské diagnostiky. Osobní pomocníci, jako jsou Siri, Cortana a Alexa, jsou stále sice ještě v počátku, ale postupně se stávají skutečnými společníky schopnými lidského rozhovoru. Umělá inteligence ovšem není žádná magie, je to zatím jen velmi užitečný pomocník. Od skutečně magického nástroje nás ale ještě dělí desítky let.

Co to v kontextu dnešních technologií znamená mít dobré AI řešení? Především potřebujeme data. Obrovské množství dat, navíc dostatečně rozmanitých, aby ukázala celou oblast i všestrannost problému. A zadruhé potřebujeme znalosti a odbornost. Za padesát let možná budeme mít k dispozici nějaký ten magický nástroj, ale dnes potřebujeme odborné znalosti jemného ladění AI algoritmů a konkrétní oblasti, kterou se snažíme řešit. Pro dobré rozpoznávání řeči potřebujeme odborníky, kteří chápou vzory lidské řeči, pro klasifikaci obrázků potřebujeme lidi, kteří rozumí digitální fotografii. A pro kyberbezpečnost využívající umělou inteligenci potřebujeme lidi, kteří rozumí kyberhrozbám.

Můžeme ale umělou inteligenci efektivně využít k boji proti kybernetickým útokům? Pro start-upy a malé firmy je klíčovou překážkou nedostatek dat a nedostatek odborných znalostí, protože vytvořit dobré „výukové“ kyberbezpečnostní datové soubory je velmi těžké. A jak naložit s výsledky? Ručně ověřovat, nebo slepě důvěřovat? Navíc strašákem je možná vysoká míra falešné detekce. Když umělá inteligence zařadí mezi obrázky zmrzliny dva kužely, je to spíše úsměvné a nic hrozného se neděje, ale v oblasti kyberbezpečnosti není na chyby prostor.

Máme před sebou ještě dlouhou cestu, než bude umělá inteligence samostatně zastavovat všechny hrozby, ale už nyní děláme zásadní pokroky ve třech důležitých oblastech, které nám umožňují velmi efektivně zapojit AI i do detekce a zastavení kyberhrozeb:

• Ukládání dat – v současnosti lze ukládat obrovské množství dat za zlomek dřívější ceny.
• Výkon počítačů – moderní technologie nám umožňují zpracovávat i velké objemy dat.
• Matematika – pokroky v matematice a algoritmech řídících AI pomáhají čelit kyberútokům.

Machine learning, Deep learning a Big Data analýza zaznamenaly v uplynulých letech významné pokroky, které umožnily mechanizovat úkoly, které dříve řešili ti nejchytřejší analytici. Umělá inteligence může dát smysl gigantickému množství dat, umožní nám vidět věci, které jsme dříve neviděli. Proto také naše společnost postupně začala umělou inteligenci v oblasti kyberbezpečnosti využívat. V současné době používáme AI technologie ve třech oblastech, které označujeme jako „lov kampaní“ (Hunting Campaign), „lovkyně“ (Huntress) a CADET (detekce v závislosti na kontextu).

Lov kampaní (Campaign Hunting)

„Lov kampaní“ je technologie navržená pro vylepšení informací o hrozbách. Normálně analytici hledají škodlivé prvky a sledují původ těchto elementů a identifikují podobné případy, jako jsou domény registrované stejnou osobou ve stejný čas. Použití AI technologií umožňuje napodobit práci analytiků a analyzovat miliony známých ukazatelů a hledat další podobné. Výsledkem je, že jsme schopni vytvořit další informační zdroj o hrozbách a využít jej v rámci prevence útoků, a to i v případě dříve neznámých útoků. Přibližně 10 procent kyberútoků, které zablokujeme, je díky datům a informacím získaným výhradně prostřednictvím „lovu kampaní“.

Lovkyně (Huntress)

Tento nástroj vyhledává škodlivé spustitelné soubory, což je jeden z nejnáročnějších problémů v kyberbezpečnosti. Ze své podstaty spustitelný soubor může dělat cokoli, pokud je spuštěn, protože neporušuje žádná omezení. Je tedy těžké zjistit, zda se nesnaží o nějaké škodlivé aktivity.

Naštěstí pro nás útočníci jen velmi ojediněle píší nějaký škodlivý kód zcela od nuly, takže lze vysledovat jisté podobnosti s dříve známými škodlivými spustitelnými soubory. Ale lidské oko by takové detaily mohlo přehlédnout. Strojový algoritmus je však schopen mnohem širší analýzy. Soubor spustí a otestuje v sandboxu a pomocí dynamické analýzy shromáždí stovky dat, parametrů a údajů. A nástroj, využívající umělou inteligenci, který byl předtím vyškolen miliony známých špatných i dobrých spustitelných souborů, provede kategorizaci spustitelného souboru.

Výsledky jsou ohromující: „Lovkyně“ je schopna detekovat škodlivé spustitelné soubory nad rámec antivirové a statistické analýzy. 13 procent detekovaných škodlivých spustitelných souborů je odhaleno pouze na základě tohoto nástroje. Pokud bychom neměli „Lovkyni“ k dispozici, nevěděli bychom, že máme tyto škodlivé soubory blokovat.

CADET

Technologie CADET (Context-Aware Detection and Elimination of Threats) využívá umělou inteligenci pro vyhodnocení falešných upozornění. CADET místo analyzování jednoho konkrétního odkazu nebo souboru využívá obrovského množství dat a hodnotí je v rámci celého kontextu. V praxi hodnotí CADET celý kontext a zkoumá, zda spustitelný soubor přišel prostřednictvím e-mailu nebo byl stažen z webu, kdo byl odesílatel, kdy byla doména zaregistrována, kým a kde byla zaregistrována, jaké další domény jsou spojené s doménou odesílatele, zda není nějaká souvislost s jinými škodlivými soubory z uplynulých dnů apod. Protože CADET vyhodnocuje tisíce těchto a dalších proměnných, je schopen poskytnout vysoce přesné hodnocení důvěryhodnosti spustitelného souboru a tím určit, zda by měl být vpuštěn do sítě organizace, nebo nikoliv.
CADET umožňuje dosáhnout přesného verdiktu odpovídajícího kontextu. A jak přesného? Dosavadní testy ukazují ohromující desetinásobné snížení počtu falešně pozitivních detekcí a dvojnásobné zvýšení úspěšnosti detekce. A to nejsou jen hezké matematické výsledky. V reálné kyberbezpečnosti je přesnost tohoto nástroje zásadní.

Umělá inteligence ve jménu dobra i zla

Uvedené nástroje jsou příkladem, jak Check Point kombinuje AI s dalšími technologiemi pro zlepšení metrik, na kterých skutečně záleží. Prozatím nejsou AI technologie dostatečně vyspělé, aby je šlo použít zcela samostatně, a stále potřebují velké množství lidských vstupů, aby se jednalo o účinné řešení. Ale když se AI používá jako další vrstva v kombinaci s ostatními bezpečnostními nástroji, dostane pohled na oblast kyberhrozeb nový rozměr a posune to ochranu na novou úroveň.
Umělá inteligence výrazně urychluje identifikaci nových hrozeb a reakci na ně. Bezpečnostní nástroje ovšem nesmí rušit, bezpečnost musí být praktická. Proto je nutné AI technologie používat smysluplně a tam, kde opravdu mohou zlepšit postupy a výsledky. Ale samozřejmě ani kyberzločin nikdy nespí. Umělá inteligence láká i hackery a kyberzločince, kteří se snaží najít způsoby, jak nové technologie využít a zneužít k útokům, špionážím a krádežím dat a financí. S využitím AI jednodušeji otestují sítě, naleznou zranitelná místa, vylepší vývoj malwaru a přijdou s ještě nenápadnějšími hrozbami, které se budou snažit vyhnout detekci. Proto je v oblasti kyberbezpečnosti potřeba využívat sofistikované preventivní technologie, které hrozby odhalí a zastaví ještě před branami vaší společnosti, abyste byli vždy o krok před útočníky. A umělá inteligence hraje a bude hrát v této oblasti důležitou roli.

Petr Kadrmas Autor článku je zodpovědný za technické pre-sales aktivity a podporu partnerů ve společnosti Check Point. Petr pracuje ve společnosti Check Point od roku 2007, předtím působil v Alcatel-Lucent, kde byl více než devět let na pozici Technology and Business Development Manager a Technology Account Strategist.