השלכות אבטחת הסייבר של Agentic AI: הזדמנויות ואתגרים

מבוא ל-Agentic AI באבטחת סייבר

בעולם שבו ארגונים סופגים מאות מיליוני מתקפות סייבר יומיות, כפי שמציין Microsoft Digital Defense Report 2024, צוותי אבטחה זקוקים לכלים מתקדמים יותר מאי פעם. כאן נכנסת agentic AI – מערכות AI אוטונומיות שמסוגלות להגשים מטרות מורכבות ללא התערבות אנושית. מערכות אלו מסוגלות להסיק מסקנות, ללמוד, לתכנן ולקבל החלטות על בסיס תנאים בזמן אמת, גם בסביבות בלתי צפויות כמו מרכזי תפעול אבטחה (SOC).

CISOs נמצאים בשלבים מוקדמים של הבנת השימוש בטכנולוגיה זו, אך אם היא תממש את הפוטנציאל שלה, היא עשויה לספק יתרון חסר תקדים למגני הסייבר מול איומים מתוחכמים. עם זאת, פריסת כלים אוטונומיים מביאה עמה סיכונים משמעותיים שדורשים ניהול זהיר.

איך Agentic AI פועלת באבטחת סייבר

טכנולוגיית agentic AI שונה מ-AI מסורתי בכמה דרכים מרכזיות:

• מבוססת הקשר, מודעת לדפוסים ומכוונת למטרה: במקום לעקוב אחר חוקים קבועים מראש, מערכות אלו פועלות באופן אסטרטגי ויצירתי להשגת מטרותיהן. הן מתקשרות עם הסביבה באופן עצמאי, מקבלות החלטות על בסיס הקשר ודפוסים, משתמשות בכלים, מייעלות משימות ומשפרות את תהליכי קבלת ההחלטות על בסיס תוצאות היסטוריות.
• אוטונומית: לאחר קביעת הדרך הטובה ביותר להשגת המטרה על בסיס נתונים בזמן אמת, המערכת פועלת ללא התערבות אנושית.
• לולאת משוב למידה רציפה: סוכני AI לומדים באופן רציף ממצבים ותוצאות בעולם האמיתי ומתאימים את האסטרטגיות בהתאם.

בניגוד ל-generative AI שמגיבה לקלט משתמש, agentic AI יכולה לקבוע מטרות באופן עצמאי ולפעול עליהן.

מקרי שימוש מרכזיים באבטחת סייבר

במרכזי SOC עמוסים, שבהם אנליסטים מתמודדים עם שיטפון התראות, agentic AI מציעה פתרונות מבטיחים:

• ניהול איומים ותגובה לאירועים: זיהוי ובלימת איומים בזמן אמת, האצת זמני תגובה, שיפור דיוק והפחתת false positives ו-alert fatigue.
• ניתוח פגיעויות והערכת סיכונים: ניתוח נתונים גדולים לחיזוי איומים וזיהוי סיכונים מרכזיים.
• ניהול זהויות וגישה: שיטות אימות מדויקות יותר, מעקב אחר פעילות משתמשים ומכשירים לזיהוי התנהגות זדונית.
• אוטומציה של תהליכים שגרתיים: שחרור צוותי אבטחה להתמקדות בציד איומים (threat hunting) ותכנון אסטרטגי.

היתרונות של Agentic AI באבטחת סייבר

שילוב agentic AI פותח מגוון יתרונות משמעותיים:

• זיהוי והרתעה אוטונומית מאיומים: סינתזה של מידע בזמן אמת והיסטורי ממקורות שונים (firewalls, ענן, endpoints) לזיהוי מהיר יותר. דוגמאות: חסימת כתובות IP זדוניות והפרדת מכשירים נגועים.
• תגובה אוטומטית לאירועים: במקרה של פריצה, ביצוע הכללה מיידית – ביטול הרשאות, השבתת חשבונות וביצוע גיבויים.
• ניהול אבטחה פרואקטיבי: זיהוי מראש פגיעויות, תצורות שגויות וניסיונות לשנות הרשאות גישה.
• הפחתת עייפות התראות: הבחנה מדויקת יותר בין איומים אמיתיים לשגיאות.
• תכנון אסטרטגי המותאם לעסק: איסוף נתונים בזמן אמת ומגמות היסטוריות להחלטות משאבים התואמות למטרות עסקיות ודרישות רגולטוריות.

הסיכונים והאתגרים של Agentic AI

למרות הפוטנציאל, agentic AI מביאה סיכונים חדשים:

• הגדלת משטחי התקפה: כל סוכן AI הוא ישות עצמאית שיכולה לשמש כנקודת כניסה למתקפות.
• מורכבות: החלטות שגויות על בסיס נתונים חלקיים או לא מדויקים, התנהגות בלתי צפויה וחוסר ניסיון בארגונים עלולים להגביר חשיפה.
• שיבוש תפעולי: גישה מורחבת למסדי נתונים ואפליקציות עלולה להגביר את היקף אירועי אבטחה. נדרשים בקרות חזקות כמו principle of least privilege.
• אתגרים אתיים ורגולטוריים: פעולה אוטונומית דורשת פיקוח אנושי, שקיפות, מעקב וביקורת כדי להתאים לערכי הארגון ולדרישות חוקיות.

יתרה מכך, תוקפים יכולים להשתמש בטכנולוגיה כנשק התקפי, מה שמגביר את הצורך באסטרטגיית אבטחה ספציפית ל-agentic AI.

דוח Arkose Labs: פער ההיערכות המתרחב

דוח AI Maturity in Cybersecurity Report של Arkose Labs מדגיש כיצד נוף האיומים משתנה במהירות. תוקפים משתמשים בכלים אוטומטיים, הונאה אנושית וצורות מוקדמות של agentic AI באופן דומה, מה שמאפשר להם לעבור בין אסטרטגיות כששכבות הגנה הופכות אפקטיביות.

רוב הארגונים מדווחים על הפסדים כבדים למרות השקעות הגנה מוגברות. הדוח ממליץ להתמקד בהשפעה על ההכנסות ולא בהפסדים נומינליים, ולהפחית אפקטים מצטברים של בעיות פיננסיות, תפעוליות ומוניטין.

עלייה בהוצאות AI באבטחה

ארגונים מרחיבים תקציבי אבטחה ממוקדי AI בקצב מהיר מהצפוי, עם חלק משמעותי המוקדש ל-monitoring, זיהוי ותגובה מבוססי AI. צוותים מקבלים הכשרות מובנות, אך רק כמחצית רואה שיפורים משמעותיים ב-bot defense, זיהוי איומים והגנה מפישינג. השאר מתקשים באינטגרציה והתאמה תפעולית.

בחירת ספקים משתנה: מעבר מדגש על תכונות ליכולת הסתגלות לאיומים חדשים, מודיעין עדכני והתאמת הגנות ללא מחזורי שדרוג ארוכים. ארגונים רואים בספקים שותפים תפעוליים.

Agentic AI יוצר פער היערכות חדש

שימוש הגנתי ב-agentic AI גבוה – לתגובה מהירה, ניתוח דפוסים וביצוע זרימות עבודה. אך בשלות הגנתית מול agentic AI זדוני נמוכה בהרבה. ארגונים מפריסים פתרונות מוקדם ומשפרים אותם עם הזמן, אך חשש משימוש התקפי נפוץ.

סימנים שהבדילו בין בוטים לבני אדם אינם רלוונטיים לאוטומציה לגיטימית. צוותי אבטחה מתמודדים עם שאלות הרשאה, זהות, מקור וקנה מידה – הבסיס לבקרת Know Your Agent.

"רוב הארגונים חסרים כלים להבדיל בין אוטומציה לגיטימית לזדונית," אמר Kevin Gosschalk, CEO של Arkose Labs. "המחקר מדגיש את הדחיפות לבניית מסגרות זיהוי חזקות, שיגדירו את מנהיגי נוף האבטחת סייבר של מחר."

צוותים בונים זרימות עבודה ייעודיות לתעבורת סוכנים ומשפרים מעקב. האתגרים המובילים: אימות הרשאות, זיהוי חיקויים וניהול נפח פעילות גדל.

Databricks ואבטחת נתונים מבוססת AI

Databricks משפרת אבטחת נתונים עם חבילת כלים מבוססת AI, המספקת יכולות מתקדמות לזיהוי ותגובה לאיומים.

מסקנות והמלצות

Agentic AI מבטיחה לשנות את אבטחת הסייבר לפרואקטיבית ואפקטיבית יותר, אך ארגונים – במיוחד אלה ללא ניסיון רב ב-AI – חייבים להבטיח הכשרה, בקרות, מדיניות ונהלים מתאימים. CISOs צריכים לפעול במהירות להסתגל, לבנות אסטרטגיות ניהול סיכונים ולפתח יכולות Know Your Agent כדי למקסם יתרונות ולהגביל סיכונים בעידן ה-AI האוטונומי.