Blog

Zajímavosti a postřehy ze světa i z MoyaZone.

AI v bezpečnostním monitoringu: Jak ušetřit analytikům 40 % času

– Vytvořil/a

Olga Pincová

v kategorii

V moderní kyberbezpečnosti se stále častěji setkáváme s přesvědčením, že technologie jsou spásou. Tomáš Hlavsa, bezpečnostní ředitel společnosti Atos, to však hned v úvodu zasadí do reality: kyberbezpečnost není náklad, ale investice – a loajální tým má často vyšší hodnotu než nejdražší firewall. Přesto stojíme před konkrétní výzvou: jak efektivně provozovat bezpečnostní monitoring 24×7, aniž by se tým analytiků zhroutil pod náporem dat? Odpovědí je smysluplná integrace AI do SOC procesů.

„AI v bezpečnostním monitoringu není jen buzzword – podle zkušeností Tomáše Hlavsy z Atosu jde o přístup, který analytikům reálně šetří až 40 % času…“

Proč tradiční SOC nestačí: lidský faktor a informační přetížení

Provozovat kvalitní Security Operations Center (SOC) v nepřetržitém provozu je personálně i finančně extrémně náročné. Základní pokrytí vyžaduje minimálně šest až osm lidí. Operátoři přitom narážejí na tři klíčová omezení:

  • Neschopnost pojmout historii: Žádný člověk nedokáže udržet v hlavě tisíce stran dokumentace a kompletní historii incidentů za několik let.
  • Subjektivita a únava: Kvalita rozhodování se mění s únavou, motivací i aktuálním stavem operátora.
  • Prioritizace: Ze SIEM nástrojů přicházejí stovky až tisíce událostí denně. Jejich zasazení do správného kontextu organizace je manuálně velmi pomalé.

AI SOC konzultant: agentický přístup bez halucinací

Společnost Atos vyvinul koncept AI SOC konzultanta, specializovaného agentického nástroje, který původně vznikl pro správu superpočítačových klastrů. Nejde o generativní chatbot, ale o systém navržený pro podporu rozhodování v bezpečnostním monitoringu.

Klíčové vlastnosti tohoto řešení:

  1. Izolace od internetu: Aby se zamezilo vymýšlení nereálných postupů (halucinacím), má AI zakázáno sahat na internet. Čerpá výhradně z interní znalostní báze (knowledge base), manuálů výrobců a historických záznamů o řešení incidentů.
  2. Decision support, ne automatizace: AI nenahrazuje člověka automaticky, ale funguje jako jeho pravá ruka. Projde tisíce stran dokumentace v sekundách a navrhne operátorovi konkrétní kroky: „Na základě incidentu z roku 2022 a strany 37 manuálu výrobce navrhuji tento postup…“.
  3. On-premise nasazení: Z důvodu bezpečnosti běží AI engine přímo u zákazníka. Do cloudu odchází pouze anonymizovaná vektorizace pro překlad lidské řeči do strojových instrukcí.

AI v bezpečnostním monitoringu: od reaktivity k proaktivitě

Největší přidanou hodnotou AI v bezpečnostním monitoringu je posun od reaktivního k proaktivnímu přístupu. AI dokáže v prvních slabých signálech rozpoznat vzorce, které v minulosti předcházely závažnému útoku – a varovat tým dříve, než dojde ke skutečnému poškození.

V praxi tento přístup přináší úsporu přibližně 40 % času analytika. Operátor se soustředí na schválení nápravného opatření; AI jej následně může i sama vykonat – například automaticky upravit konfiguraci firewallu.

Etické otázky a fenomén „Takedown“

AI otevírá i kontroverzní témata. Atos disponuje technologiemi schopnými provést tzv. takedown – rychlou identifikaci uniklých dat nebo ukradených přihlašovacích údajů na dark webu a jejich následnou likvidaci. Tím se dostáváme na hranici: Je etické odstranit dokument na vzdáleném serveru, pokud prokazatelně patří mně?

Legislativa, včetně evropského AI Actu, bude v těchto otázkách vždy o krok pozadu za technologickou realitou.

Budoucnost: Méně operátorů, vyšší odpovědnost

Role lidí v bezpečnosti se mění. Do budoucna bude potřeba méně operátorů pro rutinní sledování (L1 vrstva), ale tito lidé budou muset nést vyšší míru odpovědnosti. Budou to experti, kteří činí finální rozhodnutí na základě podkladů od AI. Pro mladou generaci studentů je práce s těmito nástroji obrovskou motivací a přirozenou součástí jejich profesního rozvoje.

Závěrečné slovo

Zatímco z hlediska legislativy a osvěty (díky práci NUKIB) patří Česká republika ke špičce, v reálném nasazování AI v bezpečnosti jsme jako země spíše zaspali. Přitom právě integrace AI agentů do bezpečnostního monitoringu je cestou, jak zvýšit odolnost organizací, zrychlit reakce na hrozby a efektivně hospodařit s nedostatkovými experty.

MoyaKybeon je nástroj pro řízení kybernetické bezpečnosti, který pomáhá organizacím splnit nároky plynoucí ze Zákona o kybernetické bezpečnosti nebo ISO certifikace. Nabízí funkce pro správu aktiv, hrozeb i zranitelností, analýzu rizik a mnoho dalších funkcionalit. Vyzkoušejte si 30denní demo zdarma.