Kokkuvõtvalt: Skeemitriiv ja aegunud lähtetasemed andmetorustikes põhjustavad rohkem valepositiivseid tulemusi ja avastamislünki – probleemi, mida pelgalt mudeli häälestamine ei lahenda.
Ettevõtted investeerivad miljardeid küberturbe tehisintellekti-põhiste avastamismudelite parandamisse, kuid ei tegele rikete tegeliku algpõhjusega: nende turvatehnoloogia pinu killustunud ja ebajärjekindlate andmestruktuuridega.
Küberturbe tehisintellekti turgu hinnatakse 2026. aastal 44 miljardile dollarile ja selle prognoositakse kasvavat 2034. aastaks 213 miljardi dollarini. Need investeeringud toetuvad ootusele, et masinõpe suudab kaotada lõhe ohtude mahu ja analüütikute suutlikkuse vahel. See ootus on põhjendatud – kuid mitte see koht, kust enamik organisatsioone alustab, kui tehisintellektil põhinevad avastamissüsteemid ebaõnnestuvad. Tavapäraselt optimeeritakse sel juhul algoritmi, treenitakse mudelit uuesti või survestatakse tarnijat. Tegelik algpõhjus asub aga ülesvoolu, andmetorustikes, ammu enne, kui sündmus mudelini üldse jõuab.
Keskmine ettevõte kasutab samaaegselt 83 erinevat turvatoodet 29 tarnijalt ning töötleb päevas ligikaudu 3000 turvahoiatust – millest 63 protsenti jääb menetlemata. Iga tööriist genereerib telemeetriat oma vormingus: erinevad väljanimed, erinevad ajatemplid, erinevad metaandmete skeemid. Inimanalüütikud arendavad selle ebaühtluse suhtes intuitsiooni. Masinõppemudelid seda ei tee. Käitumusliku tuvastamise mudel, mis peab korreleerima autentimissündmusi identiteediplatvormi, lõpp-punkti agendi ja pilvepõhise juurdepääsuvahendaja vahel, muutub ebausaldusväärseks, kui need kolm süsteemi nimetavad sama välja erinevalt. Viga ei ole mudelis endas – talle lihtsalt söödetakse struktuurselt ebajärjekindlaid andmeid.
Skeemitriiv ehk andmevormingute järkjärguline muutumine aja jooksul käivitab harva otseseid häireid. Logivormingud muutuvad tarnijate uuenduste käigus, uued telemeetriaallikad toovad kaasa uued väljad, identiteediplatvormid nimetavad atribuute ümber. Mõne kuu pärast ei vasta statistilised mustrid, mille põhjal avastamismudelid on treenitud, enam tootmisandmetele. Tulemuseks on kõrgem valepositiivsete tulemuste määr, analüütikute läbipõlemine ja avastamislüngad, mis ilmnevad alles pärast intsidenti. Gartner ennustab, et ettevõtted loobuvad 2026. aastaks 60 protsendist oma tehisintellektiprojektidest – peamiselt ebapiisava andmekvaliteedi tõttu.
Teine probleem on lähtetasemete ajakohatus. Käitumuslikud tehisintellektimudelid loovad lähtetasemed varasema tegevuse põhjal. Kiiresti muutuvates ettevõttekeskkondades vananevad need lähtetasemed kiiremini, kui enamik turvameeskondi taipab. Hübriidtöö muutis juurdepääsumustreid, pilve migreerimine muutis ressurssidega suhtlemist, ühinemised ja omandamised toovad kaasa uusi kasutajaid täiesti erineva käitumisprofiiliga. Kui mudel hindab praegust tegevust lähtetasemete alusel, mis pärinevad tööjõult ja infrastruktuurilt, mida enam ei eksisteeri, on tulemus ettearvatav: seaduslikud juurdepääsud käivitavad anomaaliahoiatusi, samas kui ründajad saavad end kohandada, kuna mudeli eeldused ei pea keskkonnaga sammu. IBMi uuring hindab halva andmekvaliteedi keskmiseks kuluks 12,9 miljardit dollarit aastas.
Allikas: www.csoonline.com · Avaldatud 9. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse art 50-le. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.3 poolt.