22.07.2024
W dzisiejszym coraz bardziej cyfrowym świecie znaczenie solidnych środków bezpieczeństwa i ochrony danych nie może być przecenione. Sztuczna inteligencja (AI) i uczenie maszynowe (ML) wyłoniły się jako kluczowe technologie napędzające postęp w tych obszarach, oferując zaawansowane rozwiązania do przeciwdziałania rozwijającym się zagrożeniom cybernetycznym i ochrony danych.
Zwiększona wykrywalność zagrożeń
Tradycyjne systemy bezpieczeństwa opierają się w dużej mierze na zdefiniowanych regułach i znanych sygnaturach zagrożeń, co sprawia, że są mniej skuteczne wobec nowych i zaawansowanych ataków. AI i ML zwiększają wykrywalność zagrożeń poprzez ciągłą analizę ogromnych ilości danych w celu identyfikacji wzorców i anomalii, które mogą wskazywać na złośliwe działania. Na przykład algorytmy ML mogą w czasie rzeczywistym analizować ruch sieciowy, zachowania użytkowników i dzienniki systemowe, flagując podejrzane działania odbiegające od normy.
Proaktywne przeciwdziałanie zagrożeniom
Poza wykrywaniem, SI i ML ułatwiają proaktywne przeciwdziałanie zagrożeniom. Modele uczenia maszynowego mogą przewidywać potencjalne naruszenia bezpieczeństwa, rozpoznając wczesne IoC (identificators of compromise) . Ta zdolność predykcyjna umożliwia organizacjom wdrażanie środków zapobiegawczych przed wystąpieniem naruszenia, znacznie zmniejszając ryzyko utraty danych i kompromitacji systemu. Na przykład systemy zasilane przez AI mogą automatycznie dostosowywać reguły firewalli, izolować zainfekowane urządzenia i rozsyłać alerty. Na podstawie ML można też automatyzować reakcję na incydenty bezpieczeństwa, realizując zdefiniowane wcześniej procedury, jak izolacja skompromitowanych systemów, działania forensic czy komunikacja.
AI/ML dla systemów backup/recovery
Tradycyjne metody tworzenia kopii zapasowych często okazują się niewystarczające wobec rosnącej złożoności i wymagań dotyczących przechowywania danych. Sztuczna inteligencja staje się kluczowym elementem nowoczesnych systemów backupowych, oferując zaawansowane możliwości automatyzacji, optymalizacji i zabezpieczenia danych.
Jednym z wiodących rozwiązań w tej dziedzinie jest platforma Commvault. Wykorzystuje on od lat uczenie maszynowe przede wszystkim dla automatycznego wykrywania anomalii. Platforma uczy się co jest typowe dla zachowania zarówno samego systemu backupowego, jak i plików zgromadzanych na naszych filesystemach. Analizowane są anomalie w zachowaniu plików, podejrzane zmiany ich rozszerzeń, wielkości plików backupów, zmienności w ilości bloków deduplikacji i inne. Wszelkie informacje, co do których są wątpliwości trafiają na dashboard w konsoli Command Center – Threat Indicators.
Stąd albo automatycznie albo ręcznie możemy wykonać akcję dalszej wbudowanej analizy sytuacji, aby wyeliminować ewentualne fałszywe alarmy, odtworzyć pliki w stanie zarażonym do analizy typu forensic w bezpiecznym środowisku, czy odtworzyć ostatnią czystą wersję danych.
Reinfekcja i jak jej zapobiegać
Jednym z najważniejszych elementów procesu cyberecovery, czyli odtwarzania po udanym cyberataku, jest zapewnienie, że kopie backupowe z których odtwarzamy dane są na pewno czyste, i że nie wprowadzimy malware ponownie do środowiska. Niestety, zdarza się to dość często przy zastosowaniu prostszych niż Commvault produktów backupowych. W platformie Commvault wprowadzono jakiś czas temu dodatkowe rozwiązanie, uzupełniające proces wykrywania anomalii przy pomocy ML opisany powyżej. To Threat Scan, pozwalający dla obszaru plików i maszyn wirtualnych na skanowanie pliku backupu pod kątem obecności szkodliwego oprogramowania. Threstscan oprócz wykonania dodatkowych analiz anomalii związanych z zmiennością plików (w oparciu o wsparte ML algorytmy file entropy oraz SIM hash) wykorzystuje zewnętrzne rozwiązania anti-malware Avira, które nie tylko skanuje backupy w oparciu o sygnatury, ale także wykorzystuje informacje o zagrożeniach napływające w czasie rzeczywistym z globalnej bazy klientów do uczenia maszynowego . Sieć milionów sensorów daje ML umieszczonej w Avira w Niemczech możliwość szybkiego wykrywania nowych, często polimorficznych zagrożeń tworzonych lub modyfikowanych także przy użyciu AI. ThreatScan daje więc dużą pewność tego, że przeskanowany plik backupowy odtworzony do środowiska produkcyjnego nie spowoduje reinfekcji.
AI na platformie Commvault
To tylko mała część funkcjonalności AI/ML w rozwiązaniu Commvault. Od prawie roku wykorzystywany jest asystent AI – Arlie bazujący na generatywnej sztucznej inteligencji. Pozwala on , bazując na informacjach z bazy suportowej Commvault-a, dokumentacji i treningu bazującego na wiedzy pracowników Commvaulta na wsparcie codziennych aktywności administratorów. Proponuje rozwiązania ewentualnych problemów, sugeruje optymalną konfigurację, prowadzi „za rączkę” przy wykonywaniu codziennych zadań (Wizardy nazywane ‘walktrough’ ) , a także generuje kod z Commvault API pozwalając na automatyzacje zadań z pomocą zewnętrznych platform jak np. Terraform.
Cały czas rozwijane są inne obszary oparte ma ML – mamy więc też wspartą sztuczną inteligencją klasyfikację występowania danych wrażliwych w dokumentach, co może ograniczyć zasięg double-extortion ataków ransomware. Wykorzystujemy ML do automatycznego skalowania zasobów w chmurze, zwłaszcza na potrzeby masowego odtwarzania po cyberataku – kiedy trzeba jak najszybciej odzyskać dane. A także do przewidywania przyszłych potrzeb w zakresie niezbędnego miejsca na pamięciach masowych.
Sztuczna inteligencja i uczenie maszynowe rewolucjonizują współczesne bezpieczeństwo i systemy backupowe, zapewniając dynamiczne, inteligentne i adaptacyjne rozwiązania do zwalczania rosnącej złożoności zagrożeń cybernetycznych. W miarę jak te technologie będą się rozwijać, bez wątpienia będą odgrywać jeszcze większą rolę w kształtowaniu przyszłości cyber bezpieczeństwa i szerzej pojmowanego obszaru cyberodporności.
