”Därför är storskaliga autonoma cyberattacker ännu inte verklighet”

Autonom AI, eller agentbaserad AI, betraktas allmänt som nästa utvecklingssteg inom cybersäkerhet. Det möjliggör verktyg som kan anpassa sig, lära sig och utföra sitt arbete oberoende, utan manuell styrning eller ingripande. Men även om tekniken är lovande finns det avgörande utmaningar som måste övervinnas innan autonom AI kan utföra storskaliga, helt automatiserade cyberattacker. Eller på den motsatta sidan: fungera som bas för ett autonomt säkerhetsövervakningscenter (SOC).

Praktiskt taget alla företag, oavsett om de har 10 eller 10 000 anställda, behöver idag arbeta aktivt med cybersäkerhet med stöd av tekniska åtgärder. Med det sagt kan it-infrastrukturen variera enormt mellan olika organisationer, från storleken på attackytan till de specifika verktyg, konfigurationer och säkerhetsrutiner som används. För att en hotaktör ska kunna utnyttja autonom AI för framgångsrika attacker krävs det att AI:n har ingående kunskap om alla tänkbara miljöer – en väldigt svår uppgift.

Ännu är AI-modellerna inte tillräckligt sofistikerade för att utföra riktade cyberattacker i stor skala utan mänsklig tillsyn. Det är tänkbart att agentbaserad AI med tiden kan göra det möjligt för angripare att starta ransomware-as-a-service-attacker, utan att någon tillhandahåller denna tjänst. Men de AI-drivna attacker vi ser idag är långt ifrån så avancerade. De handlar mer om hagelskurar än prickskytte, med breda kampanjer som aktiveras i hopp om att hitta sårbarheter hos någon. Sådana attacker lär inte försvinna inom en snar framtid och hotaktörerna kommer sannolikt bara att använda agentbaserad AI för att automatisera sin vanliga verksamhet, till exempel för bedrägerikampanjer eller att skanna nätverk efter sårbarheter.

Det är heller inte långsökt att föreställa sig agentbaserad AI som förstärker attacker där klonade röster eller kamerabilder används för att lura mottagaren att tro att de pratar med en verklig organisation eller person.

Den goda nyheten är att autonom AI ser ut att följa den välkända tumregeln för tekniska framsteg inom cybersäkerhet; det som är bra för angriparen är också bra för försvaret.

Autonom AI kommer att användas för att förbättra hotjakten, vilket ökar säkerhetsanalytikernas förmåga genom att de kan fokusera på de mest allvarliga och akuta hoten. Vi kommer troligen att se autonom AI som tas i bruk av säkerhetsleverantörer i ganska avgränsade scenarier, till exempel för att avslöja bankbedrägerier. Den största potentialen hos autonom AI för säkerhetsansvariga ligger i att utnyttja tekniken för att snabbt och effektivt upptäcka tecken på att man blivit utsatt för intrång.

Det är dock långt kvar innan det blir möjligt att automatisera ett komplett säkerhetsövervakningscenter (SOC) med agentbaserad AI. Detta hänger främst samman med att det krävs stora mängder högkvalitativa data för att träna en AI-modell till att köra en hel SOC på egen hand. Det kommer fortfarande att behövas människor i arbetsflödet för att prioritera säkerhetsincidenter och tillföra kreativitet i försvaret mot cyberattacker. Dåliga träningsdata kan orsaka ett orimligt stort antal falska positiva resultat, vilket minskar effektiviteten hos en helt autonom SOC.

Även om hajpen kring autonom AI är fullt begriplig så befinner vi oss fortfarande i ett tidigt skede av dess utveckling. I närtid kommer AI-drivna cyberattacker troligen att förbli ganska osofistikerade, men allt eftersom tekniken mognar kommer läget att skärpas. Företag och myndigheter gör därför klokt i att investera i både AI-drivna försvarsverktyg och mänsklig kompetens. Alla måste skaffa sig beredskap inför en framtid där hindren för storskaliga, automatiserade cyberattacker blir allt lägre.

Dan Schiappa är chef för produkter och tjänster på it-säkerhetsföretaget Arctic Wolf