Artykuł pochodzi z wydania: Czerwiec 2025
AI coraz mocniej zaznacza swoją obecność w narzędziach bezpieczeństwa IT. Nie należy w dalszym ciągu rozpatrywać jej w kategorii eksperymentu, ale jako realne wsparcie w codziennej pracy zespołów SOC, analityków czy pentesterów.
Detekcja anomalii, korelacja alertów, predykcja wektorów ataków – wszystko to można dziś zautomatyzować za pomocą sztucznej inteligencji. Przynajmniej tak jest w momencie, gdy narzędzia są dobrze dobrane, poprawnie wdrożone i wykorzystujemy je we właściwy sposób. W artykule prezentujemy rozwiązania AI, które są już używane w środowiskach produkcyjnych, zarówno przez wielkie korporacje, małe firmy, jak i sektor publiczny. Omawiamy również ich sposób działania, zastosowania oraz wskazujemy potencjalne ryzyka związane z ich wdrożeniem w organizacji.
> AI W NARZĘDZIACH BEZPIECZEŃSTWA
Sztuczna inteligencja w cyberbezpieczeństwie nie działa magicznie – należy tę kwestię podkreślić już na wstępie. To konkretne mechanizmy, które trzeba dobrze rozumieć, by miały sens w praktyce. Modele uczące się nie podejmują decyzji same z siebie, ale bazują na danych wejściowych, które trzeba im dostarczyć, i regułach, które musimy zdefiniować. Różnica polega na tym, że zamiast pisać każdą z nich ręcznie, uczymy system rozpoznawać wzorce.
W narzędziach AI najczęściej wykorzystywane są dwa podejścia: uczenie nadzorowane i nienadzorowane. Pierwsze działa tam, gdzie mamy dobrze oznaczone dane, np. znane próbki malware’u czy zarchiwizowane incydenty. Systemy uczą się na nich i próbują wykrywać podobne zdarzenia w przyszłości. Drugie, nienadzorowane, nie potrzebuje etykiet. Wykrywa to, co odbiega od normy. Tyle że normę trzeba wcześniej wyliczyć, a do tego potrzebne są tygodnie analizy zachowań użytkowników, maszyn, aplikacji i ich zależności. Dopiero wtedy można stwierdzić, że np. logowanie o trzeciej nad ranem z Dubaju przez VPN-a nie pasuje do typowego profilu specjalisty z Poznania.
Coraz częściej wykorzystywane są też modele strumieniowe, które analizują dane w locie, bez ich zapisywania. Sprawdzają się przy ruchu sieciowym, telemetrii z endpointów czy komunikatach DNS. Pozwalają wyłapać anomalie dokładnie w momencie ich wystąpienia, zanim trafią do logów.
Ważnym elementem są również modele predykcyjne, szczególnie przy UEBA i XDR. Budują one profile zachowań, a potem szukają odchyleń, zanim te zamienią się w incydent. Dla zespołów SOC to nie tylko wczesne ostrzeżenie, ale też szansa na ograniczenie powierzchni ataku, jeszcze zanim dojdzie do naruszenia bezpieczeństwa infrastruktury IT.
KLUCZOWE OBSZARY
Zastosowanie AI znajduje miejsce w całym cyklu życia incydentu – od wykrycia anomalii, przez analizę zachowania, aż po automatyczną reakcję. Omawiamy poszczególne obszary, w których sztuczna inteligencja realnie wspiera zespoły bezpieczeństwa w codziennej pracy.
To jedna z pierwszych i wciąż podstawowych funkcji AI w bezpieczeństwie. Systemy wykrywają nieprawidłowości na żywo – zarówno w ruchu sieciowym, jak i w aktywności użytkowników. Nie działają na sygnaturach, ale na wzorcach, co zwiększa szansę wykrycia ataków typu zero-day.
Zamiast ręcznego przeglądania logów AI umożliwia analitykom skupienie się na hipotezach i scenariuszach ataków. Modele analizują zależności, korelują dane z różnych źródeł i same proponują wnioski, nierzadko w języku naturalnym. Dzięki temu nie trzeba znać języka zapytań ani przeszukiwać tysięcy rekordów. Wystarczy, że zadamy pytanie wprost, np. „czy którykolwiek z użytkowników próbował uzyskać dostęp do plików, do których wcześniej nie miał uprawnień?”.
AI pomaga również w przewidywaniu, jakie ścieżki może obrać atakujący – na podstawie znanych luk, konfiguracji systemów i bieżącej powierzchni ataku. Systemy analizują zależności między komponentami infrastruktury, oceniają możliwe wektory dostępu i wskazują najbardziej narażone punkty. To nie tylko kwestia szybszej reakcji, ale również planowania zabezpieczeń z wyprzedzeniem i ograniczanie potencjalnych zagrożeń.
User and Entity Behavior Analytics to dziś podstawa nowoczesnych systemów SIEM. AI buduje profile bazowe zachowania użytkowników i urządzeń, a następnie wykrywa odstępstwa, np. w zachowaniu użytkownika z HR-u, który nagle pobiera setki plików z serwera finansowego.
AI wkracza również w obszar Security Orchestration, Automation and Response. Sztuczna inteligencja może inicjować działania naprawcze: izolować urządzenia, wygaszać sesje, blokować adresy IP. To skraca czas reakcji z godzin do minut, a czasem sekund.
> PRZEGLĄD NARZĘDZI
Na rynku dostępnych jest wiele rozwiązań, które deklarują wykorzystanie sztucznej inteligencji, a w rzeczywistości mają z AI niewiele wspólnego. Poniżej omawiamy te, które faktycznie znalazły zastosowanie w środowiskach produkcyjnych i są wykorzystywane przez zespoły bezpieczeństwa na całym świecie.
DARKTRACE
Narzędzie klasy NDR (Network Detection and Response), które odchodzi od klasycznego podejścia do detekcji zagrożeń opartego na sygnaturach. Zamiast tego wdraża koncepcję Enterprise Immune System, czyli samouczącego się modelu, który tworzy dynamiczne profile zachowań dla każdego elementu infrastruktury IT: użytkowników, urządzeń, aplikacji, serwerów, środowisk OT. System wykorzystuje uczenie nienadzorowane oraz probabilistyczne algorytmy, aby na bieżąco identyfikować wszelkie odstępstwa od wyuczonych wzorców. Co istotne, nie wymaga wcześniejszego trenowania na zewnętrznych danych. Uczy się bezpośrednio z tego, co widzi w danej organizacji.
Mechanizm detekcji działa pasywnie. Obserwuje ruch sieciowy, analizuje komunikację między hostami i wychwytuje anomalie, np. nietypowe logowania, lateral movement, nieoczekiwane połączenia z zewnętrznymi serwerami czy użycie nietypowych protokołów. Kluczowym elementem platformy jest moduł Cyber AI Analyst, który automatyzuje analizę incydentów, generuje raporty i wskazuje ich potencjalne źródła. W bardziej zaawansowanych wdrożeniach wykorzystywana jest również funkcja Autonomous Response (Antigena). Dzięki niej system może samodzielnie podjąć działania ograniczające ryzyko, np. rozłączyć podejrzane połączenie, ograniczyć dostęp do zasobów lub tymczasowo spowolnić działanie danego komponentu, dając czas na reakcję człowieka.
Darktrace sprawdza się zarówno w sieciach lokalnych, jak i środowiskach chmurowych czy przemysłowych. Może być wdrażany w postaci fizycznego urządzenia, maszyny wirtualnej lub instancji kontenerowej, działając w trybie pasywnym lub in-line. Jego największymi atutami są niezależność od sygnatur, szybkość reakcji i bardzo wysoka automatyzacja. Z drugiej strony rozwiązanie to wymaga czasu na adaptację w nowym środowisku. Ponadto potrafi być kosztowne, a skuteczność jego działania maleje tam, gdzie znaczna część ruchu jest szyfrowana end-to-end.
CROWDSTRIKE FALCON
Platforma EDR/XDR jest oparta na chmurze i zaawansowanej analityce, która zapewnia pełny wgląd w działania użytkowników i systemów – od pojedynczych urządzeń końcowych, przez serwery, po całą infrastrukturę IT. Kluczowym komponentem jest system korelacji zagrożeń znany jako Threat Graph. Jest to dynamiczna baza wiedzy, która codziennie analizuje miliardy zdarzeń z milionów endpointów rozsianych na całym świecie. Dzięki temu CrowdStrike nie tylko wykrywa aktywność złośliwego oprogramowania, ale również identyfikuje powiązania między incydentami, infrastrukturą C2, kampaniami APT i technikami znanymi z frameworku MITRE ATT&CK.
Detekcja odbywa się lokalnie za pomocą lekkiego agenta monitorującego zachowanie procesów na żywo. W przypadku wykrycia podejrzanej aktywności dane są natychmiast wysyłane do chmury, gdzie dochodzi do porównania ich z globalnymi wzorcami zagrożeń. Na tej podstawie system dynamicznie oblicza ThreatScore, czyli wskaźnik ryzyka, który uwzględnia kontekst techniczny, historię danego hosta, reputację plików i aktualną sytuację na świecie. W przypadku poważnego zagrożenia można zdalnie uruchomić sesję reakcji (RTR), w ramach której analityk jest w stanie przeprowadzić dochodzenie, odizolować urządzenie, zabić procesy lub wdrożyć działania naprawcze.
Ważną cechą Falcona jest jego wsparcie dla działań bezplikowych i skryptowych, takich jak PowerShell, WMI czy living-off-the-land attacks. CrowdStrike nie szuka samych plików złośliwego oprogramowania, ale rozumie intencję działań w systemie, znacząco zwiększa jego skuteczność w przypadku nowoczesnych zagrożeń. Co więcej, organizacje korzystające z usługi OverWatch mogą liczyć na aktywne wsparcie zespołu analityków CrowdStrike’a, którzy prowadzą threat hunting w imieniu klienta.
Platforma ma jednak swoje ograniczenia. Brak funkcji rollbacku po ataku ransomware oznacza, że choć system bardzo szybko wykrywa i blokuje zagrożenie, to nie jest w stanie przywrócić wcześniejszego stanu plików. Konkurencja (m.in. SentinelOne) oferuje takie rozwiązanie. Warto też pamiętać, że Falcon w pełni rozwija swoje możliwości tylko przy stałym dostępie do internetu. Z kolei model licencjonowania bywa kosztowny przy dużej skali wdrożenia. Nie sposób zapomnieć również o poważnym incydencie bezpieczeństwa z 2024 r., którego Falcon był winowajcą.
[…]
Michał Rogowicz
Autor jest informatykiem i specjalistą w zakresie SEO. Zajmuje się marketingiem internetowym w agencji marketingu medycznego.
