Искусственный интеллект против киберпреступников
Оставаться на одном уровне оснащенности с хакерами позволит автоматизация процессов
Привычные методы обеспечения информационной защиты уже не всегда помогают справляться с новыми типами угроз. На помощь специалистам в сфере кибербезопасности приходит искусственный интеллект (ИИ). Однако ИИ начали использовать и хакеры. Руководитель практики ИБ компании Accenture в России и Казахстане АНДРЕЙ ТИМОШЕНКО рассказывает, как противостоять киберпреступникам XXI века.
РАБОТА С BIG DATA
Оставаться на одном уровне оснащенности с хакерами позволит только массовая автоматизация ряда процессов: обнаружения атак в реальном времени, анализа больших данных по шаблонам инцидентов, а также своевременного реагирования.
Такой подход предполагает работу с большими объемами информации: как собираемой в режиме реального времени, так и исторической – полученной за годы работы множеством IТ- и ИБ-решений разных вендоров.
Накопленные уже сейчас данные столь обширны, а ИБ-задачи столь разнообразны, что получение пользы от них невозможно без применения передовых ИИ-решений.
ПРИМЕНЕНИЕ СЕГОДНЯ
Первый и самый очевидный уровень вхождения ИИ-инструментария в ИБ – простейшая роботизация типовых часто совершаемых действий, например, с помощью machine learning: обучение машины отработке распознавания часто используемых паттернов атак и реагирования на них (оповещения, локализация и сдерживание, ликвидация).
Дальше – больше.
Сегодня даже IТ-ресурсы небольших компаний подвергаются атаке сотни различных вредоносных программ и ботов практически каждую минуту
Это не пиковые показатели, а стандартная нагрузка.
Киберпреступники сегодня могут запускать различные виды умного вредоносного ПО в сеть компаний. Такие «разведчики» незаметно для ИБ-службы определяют особенности корпоративной IТ-среды, помогая хакерам просчитывать, какие способы воздействия на нее будут наиболее эффективными, и повышать шансы на успешную атаку.
В этом свете ИБ-офицерам необходим инструмент, работающий на принципах ИИ с функцией самообучения для распознавания таких вторжений. Нынешний тренд – максимально снимать эти задачи с сотрудников, заменяя их труд автоматикой на базе ИИ; потенциальный потолок сокращения нагрузки на человека – до 70-80 процентов.
ПЕРСПЕКТИВЫ ВНЕДРЕНИЯ
Глобально ИИ в кибербезопасности имеет различные применения:
- во-первых – это быстрый анализ больших объемов информации, то есть машинное обучение плюс Big Data;
- во-вторых – выявление аномалий и неизвестных киберугроз, сокращение времени реагирования даже в условиях работы с неизвестными сигнатурами компьютерных атак;
- в-третьих – уменьшение ложных срабатываний средств защиты информации и затрат ресурсов на их обработку.
Возможности ИИ-инструментов позволяют визуализировать итоги анализа миллионов ИБ-событий с предельной наглядностью в реальном или близком к реальному времени.
Высокий уровень детальности отображения аномалий позволяет довольно рано распознать планируемую или уже осуществляемую атаку. Например, угрозу массового распространения вирусных программ через интернет или нацеленную на конкретную организацию атаку типа APT*.
Новые угрозы без ИИ и машинного обучения выявить будет практически нереально, но и доверять такие задачи машине полностью – тоже нельзя
В идеале первое время все должно работать так: ИБ-система сообщает аналитику: «Посмотри, пожалуйста, здесь у нас подозрительная активность. Я считаю, что это на 55% похоже на атаку. Но я не уверен. Проверь, пожалуйста». И далее сотрудник человек выбирает, просматривает, подтверждает либо не подтверждает единичные кейсы. Так происходит обучение.
Классический пример продуктивности тандема «человек + машина»: люди при диагностике рака ошибаются в 3% случаев, ИИ – в 7 процентах. Комбинация «искусственный интеллект + человек» подводит лишь в 0,5% случаев.
ОСНОВНЫЕ РИСКИ
Бюджеты некоторых хакерских группировок сегодня сопоставимы с бюджетами крупных компаний. Причем, если в бизнесе адаптация современных решений замедлена формальностями и контрольными или бюрократическими процедурами, у хакеров организационных проблем такого рода не возникает. Кроме того, у людей по ту сторону баррикад выше мотивация, которая выражается в огромных гонорарах за работу.
Соответственно, нужно быть готовым и к офлайн-борьбе. Например, не исключены случаи, когда
днем ИБ-специалист разрабатывает ИИ для безопасности компании, а ночью эти же разработки относит хакерам, которые заплатят больше
Так, реализуются poisoning attacks, отравление какого-то набора данных, которые предлагаются ИИ для обучения. В результате он формирует ложные модели поведения и ложные сценарии реагирования.
Еще один опасный момент – это использование неизвестных моделей поведения в преступных целях. На этапе, когда проектируется инструмент ИБ на базе ИИ, разработчики могут не увидеть, что возникла модель поведения, которое не было целевым. Далее его могут использовать злоумышленники.
Один из рисков топового уровня – это дезинформация, когда с помощью технологии deep fake создаются качественные изображения и видео, которые помогают внедрить нужную информацию определенной группе людей, принимающих решения в компании, организации или государстве. Классический человеческий фактор и социальная инженерия с применением ИИ.
Впрочем, ИИ позволяет использовать фейки и как подход для защиты. Например, компания Illusive разрабатывает сегодня ИБ-инструмент, позволяющий внутри IТ-инфраструктуры запускать виртуальные фальшивые цели для злоумышленников, любая активность в отношении которых выявляет факт атаки и присутствия хакеров.
Так маскируется действительно ценные активы.
ЧТО ДЕЛАТЬ
Общий тренд развития современных инструментов ИБ сегодня –
компания в своей стратегии построения защиты должна исходить из того, что ее уже взломали
И тогда главной становится задача выявить в корпоративной сети следы тех, кто это сделал, а также ограничить их возможности по причинению ущерба. Чем сильнее затрудняются горизонтальные или вертикальные перемещения киберпреступников по IТ-системе, тем меньше денег или данных они могут похитить или уничтожить и меньше процессов и систем заблокировать.
В целом задачи ИБ сегодня по многим направлениям – это вопрос не только защиты, но и отслеживания инцидентов и выхода на реальный след преступников. Компании с помощью ИИ-инструментов могут выигрывать время для обнаружения атак и за счет этого достигать минимизации ущерба до приемлемых показателей.
__
* Advanced Persistent Threat – это тщательно спланированная кибератака, которая направлена на конкретную компанию или целую отрасль. За APT-атакой, как правило, стоят преступные группировки, имеющие значительные финансовые ресурсы и технические возможности.
Изображение: RSpectr, Freepik.com
ЕЩЕ ПО ТЕМЕ:
Кибервойна и мир
Как страны совершенствуют методы противодействия IT-угрозам
