AI v kyberbezpečnosti nie je módny výstrelok, ale technológia, ktorá sa vyvíja desiatky rokov. Prednáška Júliusa Seleckého z Esetu ukázala, ako sa z neurónových sietí z 90. rokov stali vrstvené nástroje, ktoré skracujú čas detekcie aj reakcie na incidenty. Napriek pokroku zostáva kľúčový človek – AI mu má odbremeniť prácu, nie ho nahradiť.
Tri dekády AI: od neurónových sietí po „DNA“ detekciu
Neurónové siete využíva Eset od 90. rokov, najprv pri makrovíruso ch a pri hľadaní anomálií v správaní softvéru. Útočníci sa síce snažia kód maskovať, no správanie úplne neoklamú. Na tom stavia „DNA“ detekcia: rozkladá kód až na úroveň „génov“ a hľadá podstatu toho, čo má program robiť.
Keď sa správanie nezhoduje s tým, čo je bezpečné, systém zasiahne. Cieľom je zachytiť hrozbu skôr, než sa rozvinie, a to aj pri neznámych variantoch, ktoré by jednoduché signatúry obišli.
Reputácia z cloudu a sandbox: rýchly obraz o neznámom súbore
Live Grid je cloudový reputačný systém, do ktorého prispieva viac než 100 miliónov pracovných staníc a serverov po celom svete. Vďaka zdieľaniu hashov a správania súborov vie systém takmer v reálnom čase upozorniť na nové hrozby – bez čakania na bežné aktualizácie signatúr. To umožňuje reagovať do minút na útok, ktorý sa práve objavil napríklad v Ázii.
Ak sa objaví úplne neznámy súbor, nastupuje Asset Lifeguard Advance, cloudový sandbox fyzicky umiestnený v Bratislave. Súbor sa na chvíľu pozdrží, „nechá sa nakaziť“ v kontrolovanom prostredí a prejde štyrmi detekčnými vrstvami; približne o tri minúty príde adminovi report. Keď je všetko čisté, systém súbor pustí, pri náleze anomálie sa zobrazí varovanie a odporúčanie.
Transformery, XDR a ľudia: AI ako zosilňovač bezpečáka
Pokročilé strojové učenie (Augur) spája neurónové siete s „DNA“ prístupom a rýchlo triedi vzorky na čisté, podozrivé a škodlivé. Transformery sú trénované nie na ľudský jazyk, ale na kód: vedia vyhľadať známe škodlivé fragmenty a urýchľujú detekciu. V XDR pomáha Incidentator – vizualizuje incidenty, dopĺňa reputáciu z cloudu a opisuje, na čo sa analytik pozerá; AI advisor je chatbot, ktorý vie vysvetliť použité techniky a navrhnúť mitigácie.
Aj tak však zostáva rozhodujúci človek, najmä v menších firmách, ktoré často nemajú dedikovaný dohľad. Preto Eset stavia na kombinácii technológií a tímu v monitorovacom centre (MDR): zbiera eventy, zjednodušuje pohľad do jedného dashboardu a koná. Podľa internej competition analýzy skrátil MTTR z približne 20 na 6 minút – nejde len o detekciu, ale aj o reakciu: izoláciu, vymazanie, reštart či vypnutie postihnutého zariadenia.
