Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Artur Bicki: AI, algorytmy i przyszłość cyberbezpieczeństwa

04 sierpień 2023

Artur Bicki: AI, algorytmy i przyszłość cyberbezpieczeństwa
Artur Bicki

Artur Bicki

Z szefem firmy tworzącej platformę SIEM — Energy Logserver rozmawiamy o zmianie narracji wokół sztucznej inteligencji, znaczeniu matematyki w analizie danych i praktycznej roli algorytmów w codziennej pracy analityka bezpieczeństwa IT. Nasz gość demistyfikuje pojęcie AI i podkreśla konieczność efektywnego dialogu pomiędzy światem nauki i branżą IT. O czym rozmawiamy jeszcze? Zachęcamy do lektury.

Tematem naszej rozmowy jest zastosowanie sztucznej inteligencji w obszarze bezpieczeństwa IT. Zastanawiam się jednak, jak powinniśmy zacząć?

Artur Bicki: Sztuczna inteligencja to fascynujące zagadnienie, ale zacznijmy może od jej definicji. Pracując jako architekt systemu SIEM zmuszony jestem do rozmowy o konkretach. Na początek proponuję abyśmy zmienili nasz temat na „zastosowania algorytmów matematycznych w analizie danych”.

Czy to aż taka różnica ?

A.B.: Dla analityka danych to bardzo ważne. Dziś zagadnienie „sztucznej inteligencji” traci na wartości. Z jednej strony dopiero budujemy nasze doświadczenie w tym obszarze, a z drugiej mam wrażenie, że wzmianki o sztucznej inteligencji będziemy niebawem szukać w opisie składu produktów spożywczych. Dziś, jeżeli coś nie posiada wzmianki AI, oznacza to tylko przeoczenie działu marketingu. Każdy system informatyczny w swoim opisie bazuje na „Inteligencji”. Nie mamy jasności, co się kryje pod tym zagadnieniem. Czy AI to czarna skrzynka, do której wrzucimy nasze nierozwiązane kwestie czy też jest to zbiór żartów i domniemywań, którymi co i rusz częstuje nas Chat GPT.

W takim razie jak powinniśmy rozmawiać?

A.B.: Interesują nas algorytmy przetwarzania danych. Podchodząc na poważnie do tego zagadnienia, przede wszystkim musimy wykazać się spokojem i opanowaniem wobec medialnej burzy dotyczącej AI. Nie jesteśmy świadkami wiekopomnych odkryć, a jedynie świat IT w końcu do swojej pracy zaprosił grono profesorów matematyki. Świat nauki poszedł dużo dalej niż nam się wydaje. Mam wrażenie, że w kolorowym świecie IT zapomnieliśmy o fundamentach wiedzy, jakimi są statystyka, uczenie maszynowe czy nawet matematyczna analiza i algebra. W tych obszarach naukowcy pracują od setek lat.

Czy to znaczy, że brakuje nam wiedzy?

A.B.: Chyba brakuje nam świadomości, że ta wiedza istnieje. Charakterystyczne jest, że specjaliści danych obszarów nie komunikują się ze sobą. W praktyce, naukowcom pracującym nad algorytmami uczenia maszynowego brakuje praktyki oraz samych danych. Analogicznie, świat IT posługuje się hasłami związanymi z AI, jednak ich wiedza w tym obszarze nie wychodzi poza umiejętność liczenia średniej wartości za dany okres czasu. Widzimy wyraźnie, że podstawą sukcesu jest dialog pomiędzy zespołami reprezentującymi świat nauki oraz świat danych maszynowych.

Co wynika z takiego dialogu?

A.B.: W swojej pracy architekta Energy Logserver współpracuję z profesorami Wydziału Matematyki i Nauk Informacyjnych Politechniki Warszawskiej. Spotykamy się raz w tygodniu, aby omówić dane z którymi pracują nasi wdrożeniowcy. Zaskakujące jest to, że konsultacje z profesorem matematyki mogą trwać tak krótko. Przedstawiamy nasz problem zauważony w danych i już pada odpowiedź, jaki algorytm należy zastosować i z jakimi parametrami.

Czy dziś środowiska programistyczne nie posiadają gotowych funkcji analitycznych, z których możecie korzystać?

A.B.: Oczywiście że tak. Projekty typu Sparc, Pan-das, SciKit, czy programy matematyczne są wyposażone we wszystkie możliwe metody analizy. Tylko, że to trochę, jak z siecią internet. Aby coś znaleźć, musimy wiedzieć, czego szukamy.

Co zatem jest dziś najważniejszym wyzwaniem analitycznym, dla którego szukacie algorytmów?

A.B.: Największa potrzebą, którą widzimy na rynku, jest udzielenie wsparcia analitykowi bezpieczeństwa IT. Jego praca bez wsparcia analizy danych nie może być efektywnie wykonana. Żyjemy dziś w świecie pełnym technologii informatycznych. Niewiele osób wie, że każde kliknięcie myszki w aplikacji bankowej, użycie kasy w sklepie czy zebranie punktów lojalnościowych oznacza wygenerowanie dziesiątek linijek tekstu tworzących historię tego zdarzenia. W skali kraju firmy zmuszone są do analizy petabajtów linijek logów, których nikt nie da rady przeglądać.

W swoim produkcie pracę w obszarze analizy zdarzeń kierujemy głównie na automatyczną detekcję anomalii. To zagadnienie okazuje się bardzo szerokie. Możemy to omówić?

A.B.: Przede wszystkim musimy ustalić, co jest przedmiotem analizy. We wdrożeniach systemów bezpieczeństwa SIEM kolekcjonujemy zdarzenia, jednak wśród nich są liczby i słowa. Ten podział na wstępie oznacza zupełnie inne podejście i zastoso-wanie innych algorytmów. Musimy rozróżnić przypadki takie jak: detekcja anomalii dla pojedynczej wartości liczbowej, dla wielu liczb naraz, oraz anomalie w tekście.

Czy nie możemy tych danych analizować łącznie?

A.B.: Nie, to są zupełnie odrębne gałęzie nauki. Już detekcja anomalii dla wartości liczbowych stawia przed nami wyzwania. Dla pojedynczej wartości analizujemy rozkład danych w czasie. Szukamy cech powtarzalności i na tej podstawie budujemy model zachowania. Inaczej musimy pracować z wieloma sygnałami na raz, bo interesuje nas nie tylko zmiana wartości, ale również analiza relacji próbki z pozostałymi sygnałami. Wprowadzamy współczynnik korelacji Pearsona i dopiero na tak modelowanych danych możemy analizować odstępstwa od normy.

Te podejścia mają zastosowanie dla danych liczbowych. Co w takim wypadku z tekstem?

A.B.: Matematyka nie analizuje słów i liter. Możemy je jednak policzyć i stworzyć zapis prawdopodobieństwa wystąpienia danej frazy w zbiorze. Dzięki temu łatwo zwracamy uwagę operatorowi co w zdarzeniach jest unikalne i nie zdarzyło się nigdy dotąd. Doświadczony operator IT dobrze zna typowe komunikaty ma-szyn. Analogicznie, można pokusić się o stworzenie słownika, który będzie związany z konkretną technologią. Ataki, które widzimy jako nowe wpisy, zostaną automatycznie rozpoznane.

Czy to jedyna metoda pracy ze zdarzeniami tekstowymi?

A.B.: Nie. Dla tekstu możemy zastosować trik i zamienić tekst na liczbę. W momencie, gdy posiadamy zbiór liczby utworzony na bazie logów, możemy w tych liczbach szukać podobieństwa oraz różnic. Sięgając po mechanizmy klasteryzacji danych, możemy wykorzystać algorytm, który najzwyczajniej w świecie połączy nam liczby blisko siebie w grupy. To prosty zabieg, jednak odbywa się on bez nadzoru. Nowością jest fakt, że dzięki temu nasze logi możemy zacząć rysować. Okazuje się, że grupa kropek obok siebie to logi o bardzo zbliżonej treści. Analizując taki obraz, możemy zauważyć punkty, które nie pasują do żadnej z grup. To na te zdarzenia będziemy kierowali uwagę operatora.

Te podejścia są bardzo ciekawe i nowatorskie. Co zatem nas czeka jeszcze?

A.B.: Nam jako producentowi systemu SIEM zarysowuje się wizja utworzenia rynku dotyczącego modeli danych. Analogicznie, jak na przykładzie Chat GPT, widzimy, że algorytmika 1:1 polega na danych.

Odpowiedzi nauczonej maszyny będą proporcjonalne do ilości przetworzonej wiedzy. Jako producent mamy możliwość współpracować z klientami, tworząc dla nich modele zachowania sieci, modele rozkładu logów firewall, baz danych i innych powtarzalnych elementów infrastruktury. Dziś społeczność IT Security wymienia się wiedzą dotyczącą wektorów ataków. Dla nas oczywisty kierunek to wymiany wiedzy w postaci wytrenowanych modeli danych.

Czy zastosowanie modelowania danych i opisanych algorytmów nie uśpi czujności operatorów?

A.B.: Tu nie ma w ogóle takiego problemu. Przypomnę, że ręczna analiza milionów wpisów jest technicznie niemożliwa. Bez narzędzi wspomagających dział bezpieczeństwa po prostu działa na domysłach, a jego praca jest bardzo nieefektywna. Wpro-wadzenie matematycznych algorytmów zdecydowanie poprawi bezpieczeństwo organizacji.

Cieszę się, że rynek zabezpieczeń cechuje tak dogłębna świadomość problemu i dążenie do stałego rozwoju. Dla nas użytkowników to ważne. Dziękuję za rozmowę.

A.B.: Również dziękuję.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności