Mellőzzük az MI definíciójának ismertetését (és megvitatását), tételezzük fel, hogy ugyanazt értjük alatta, tételezzük fel továbbá nagyvonalúan azt is, hogy a gépi tanulás (GT) is e tárgykörbe tartozik - cikkterjedelmet és időt spórolva meg ezzel! A lényeg, hogy az MI/GT révén a gép képes olyasfajta helyes döntésre, beavatkozásra is, amire nem programoztuk be, éspedig vagy azért képes erre, mert valamiképpen kikövetkezteti, hogy úgy lesz jó, vagy azért, mert folyton próbálkozik és javít. (Az első esetben a végeredmény akár rögvest az első alkalommal kielégítő lehet, míg a második esetben az eredmény folyamatos javulása az elvárt. Egyes szakértők szerint az MI-től még nagyon messze vannak a mai rendszereink, míg a GT-re épülő megoldásokkal már napjainkban is találkozhatunk.)
Fókuszáljunk most a kiberbiztonságra és arra, vajon az MI/GT miként támogathatja az informatikai rendszerek védelmezőit. Gyorsan jegyezzük meg, hogy itt aztán bőven elkel minden segítség, mert gond van elég.
Ezúttal az [incidens előtt]-[incidens]-[incidens után] szakaszolású dimenzióban ismertetek két ötletet.
Valós idejű sérülékenységi vizsgálat. Voltaképpen azt is írhattam volna, hogy valós idejű kockázatelemzés az incidens előtt. Mindegy is, hiszen itt a valós szón van a rendkívüli hangsúly. Az IT-rendszerek sérülékenységének mostani vizsgálati gyakorlata, ahogyan arról ehelyütt korábban megemlékeztem már, fontos dolog, eredménye viszont gyorsan elvesztheti érvényességét. Ha azonban valamiképpen meg lehetne oldani, hogy valós időben, szünet nélkül folyjon a sebezhetőség gépi vizsgálata, elemzése és a javítás, akkor rendkívüli mértékben csökkenhetne a hatásos incidensek, a sikeres betörések kockázata. Úgy tudom ezt elképzelni, hogy az adott rendszert védelmező biztonsági rétegben az MI/GT-alapú dolog (eszköz) folyamatosan teszteli a rendszert, továbbá kapcsolatban áll az incidenseket globálisan (kontinentálisan, regionálisan) monitorozó és elemző központokkal, amelyek azonnali információkkal (sérülékenység felfedezéséről, újfajta támadási módról, kártevőről és annak elháríthatóságáról stb.) látják el a velük közvetlen kapcsolatban lévő védelmi eszközöket.
Valós idejű incidenskezelés. Nagy a gond a mostani védelmi képességeinkkel: jelenleg akár százával telnek el napok, mire felfedezzük, hogy megtámadtak, behatoltak a rendszerünkbe. Minél hamarabb vesszük fel a küzdelmet a kártevővel, behatolóval, annál inkább csökkenthető az a kár, ami az incidensből következik. Amennyiben rendelkezésünkre áll egy MI/GT-s dolog (eszköz), amely bebiflázza, miként szokott működni a rendszerünk, amikor minden a legnagyobb rendben van, éspedig a lehető legnagyobb felbontásban, tehát a rendszerek legeldugottabb zugait is megfigyelve, akkor azonnal feltűnhet, ha valami nem úgy történik, ahogy szokott (felhasználói szokás/viselkedés megváltozása, korábban nem tapasztalt adatlekérés, az eddig tapasztalt mintától eltérő adatforgalom-növekedés egy hálózati szegmensben stb.). Ebben a szakaszban a rendszerhatárainkon túlról, egy ugyancsak MI/GT-re épített védelmi központból érkező közvetlen, valós idejű és hatékony beavatkozás a mi oldalunkon nagy segítség lehet.
Szerintem csak akkor lehet eredményes küzdelmet folytatni a rosszfiúk, azok gépei ellen, ha védelmi struktúráink kiterjednek az általunk óvott rendszerek határain túlra, létrejönnek a regionális (kontinentális, globális) védelmi integrációk. Ne legyenek illúzióink: az MI/GT adta lehetőségeket a sötét oldalon szorgoskodók sem hagyják kiaknázatlanul, és ott is optimalizálják a támadó erőforrások architektúráját.