Как ис­кус­ствен­ный ин­тел­лект мо­жет про­ти­во­сто­ять ки­бе­ру­гро­зам

Direktor informatsionnoj sluzhby - - СОДЕРЖАНИЕ - МА­РИЯ КОРОЛОВ

Ис­кус­ствен­ный ин­тел­лект и ма­шин­ное обу­че­ние мо­гут стать от­лич­ны­ми по­мощ­ни­ка­ми ис­пы­ты­ва­ю­щим нехват­ку пер­со­на­ла груп­пам без­опас­но­сти, ко­то­рым нуж­но быст­рее и эф­фек­тив­нее ре­а­ги­ро­вать на ки­бе­ру­гро­зы

Уже дав­но ста­ло яс­но, что ком­па­ни­ям нуж­но в обя­за­тель­ном по­ряд­ке ре­а­ги­ро­вать на все воз­рас­та­ю­щее ко­ли­че­ство пре­ду­пре­жде­ний си­стем без­опас­но­сти. А с уче­том ско­ро­сти, с ко­то­рой в 2017 го­ду рас­про­стра­ня­лись по ми­ру ата­ки ви­ру­сов-вы­мо­га­те­лей, и все бо­лее жест­ких за­ко­но­да­тель­ных тре­бо­ва­ний ре­ак­ция долж­на быть го­раз­до бо­лее быст­рой. В усло­ви­ях де­фи­ци­та со­от­вет­ству­ю­щих спе­ци­а­ли­стов ком­па­нии об­ра­ща­ют­ся к сред­ствам ма­шин­но­го обу­че­ния и ис­кус­ствен­но­го ин­тел­лек­та для ав­то­ма­ти­за­ции про­цес­сов без­опас­но­сти.

ЧТО ТА­КОЕ ИС­КУС­СТВЕН­НЫЙ ИН­ТЕЛ­ЛЕКТ И МА­ШИН­НОЕ ОБУ­ЧЕ­НИЕ?

В кон­тек­сте ин­фор­ма­ци­он­ной без­опас­но­сти ис­кус­ствен­ный ин­тел­лект – это ПО, спо­соб­ное ин­тер­пре­ти­ро­вать со­сто­я­ние сре­ды, рас­по­зна­вать про­ис­хо­дя­щие в ней со­бы­тия и са­мо­сто­я­тель­но при­ни­мать необ­хо­ди­мые ме­ры. ИИ осо­бен­но хо­ро­шо справ­ля­ет­ся с рас­по­зна­ва­ни­ем за­ко­но­мер­но­стей и ано­ма­лий, по­это­му мо­жет быть пре­крас­ным ин­стру­мен­том об­на­ру­же­ния угроз.

Си­сте­мы ма­шин­но­го обу­че­ния – это ПО, спо­соб­ное са­мо­сто­я­тель­но обу­чать­ся на вве­ден­ных че­ло­ве­ком дан­ных и ре­зуль­та­тах вы­пол­нен­ных дей­ствий. Сред­ства ма­шин­но­го обу­че­ния спо­соб­ны стро­ить про­гно­зы, опи­ра­ясь на све­де­ния о раз­ви­тии со­бы­тий в про­шлом.

ПРИ­МЕ­НЕ­НИЕ ИС­КУС­СТВЕН­НО­ГО ИН­ТЕЛ­ЛЕК­ТА И МА­ШИН­НО­ГО ОБУ­ЧЕ­НИЯ ДЛЯ ОБ­НА­РУ­ЖЕ­НИЯ УГРОЗ

В ком­па­ни­ях уже на­ча­ли поль­зо­вать­ся ис­кус­ствен­ным ин­тел­лек­том и ма­шин­ным обу­че­ни­ем для рас­по­зна­ва­ния угроз без­опас­но­сти и ре­а­ги­ро­ва­ния на них. По­яви­лись до­ста­точ­но мощ­ные ин­стру­мен­ты, но нуж­но опре­де­лить­ся, как вклю­чить их в об­щую стра­те­гию ки­бер­без­опас­но­сти пред­при­я­тия.

На­при­мер, в бан­ке Barclays Africa при­ме­ня­ют ис­кус­ствен­ный ин­тел­лект для об­на­ру­же­ния при­зна­ков ком­про­ме­та­ции си­стем в ло­каль­ной кор­по­ра­тив­ной се­ти и в об­ла­ке. При этом тре­бу­ет­ся об­ра­бот­ка ги­гант­ских объ­е­мов дан­ных, а в свя­зи с быст­рым из­ме­не­ни­ем ми­ро­во­го ланд­шаф­та угроз и рас­ту­щим вза­и­мо­дей­стви­ем ата­ку­ю­щих, для про­ти­во­сто­я­ния им необ­хо­ди­мы са­мые пе­ре­до­вые тех­но­ло­гии и ме­то­ды.

Внед­рив ма­шин­ное обу­че­ние, лю­дям мож­но по­ру­чить за­да­ния, с ко­то­ры­ми они справ­ля­ют­ся луч­ше ма­шин. Се­туя на ост­рый де­фи­цит спе­ци­а­ли­стов, в бан­ке от­ме­ча­ют, что ре­шать за­да­чи без­опас­но­сти вруч­ную се­год­ня уже про­сто невоз­мож­но.

В ком­па­нии Cadence Design Systems, предо­став­ля­ю­щей ин­же­нер­ные услу­ги, внед­ри­ли си­сте­мы непре­рыв­но­го мо­ни­то­рин­га угроз, по­мо­га­ю­щие за­щи­щать ее ин­тел­лек­ту­аль­ную соб­ствен­ность. Еже­днев­ный тра­фик дан­ных без­опас­но­сти, по­сту­па­ю­щих от 30 тыс. око­неч­ных устройств и 8,2 тыс. поль­зо­ва­те­лей, со­став­ля­ет по­ряд­ка 30-60 Гбайт, а ана­ли­ти­ков, ко­то­рые их изу­ча­ют, в ком­па­нии все­го 15. И это еще не все дан­ные о се­ти, ко­то­рые мож­но бы­ло бы об­ра­ба­ты­вать, от­ме­ча­ют в Cadence, и, по­сколь­ку необ­хо­дим ана­лиз еще боль­ше­го объ­е­ма, при­хо­дит­ся внед­рять сред­ства ис­кус­ствен­но­го ин­тел­лек­та, поз­во­ля­ю­щие бо­лее эф­фек­тив­но об­на­ру­жи­вать и устра­нять про­бле­мы.

Для мо­ни­то­рин­га по­ве­де­ния поль­зо­ва­те­лей и си­стем, а так­же для управ­ле­ния доступом в Cadence поль­зу­ют­ся со­от­вет­ству­ю­щи­ми про­дук­та­ми Aruba Networks, до­чер­ней ком­па­нии HPE. Как от­ме­ча­ют в Cadence, важ­ным свой­ством плат­фор­мы Aruba яв­ля­ет­ся то, что она ра­бо­та­ет по прин­ци­пу обу­че­ния без учи­те­ля. Ата­ки ме­ня­ют­ся и ста­но­вят­ся все слож­нее, до­бав­ля­ют в ком­па­нии: на­при­мер, в те­че­ние ка­ко­го-то вре­ме­ни мо­жет иметь ме­сто ма­ло­за­мет­ная

вре­до­нос­ная ак­тив­ность, ко­то­рая лишь позд­нее даст зло­умыш­лен­ни­ку воз­мож­ность украсть боль­шой объ­ем дан­ных, ин­стру­мен­ты же ма­шин­но­го обу­че­ния по­мо­га­ют об­на­ру­жить по­доб­ное.

Из-за пе­ре­гру­жен­но­сти боль­ши­ми объ­е­ма­ми дан­ных по без­опас­но­сти стра­да­ют да­же некруп­ные ком­па­нии. На­при­мер, у Daqri, про­из­во­ди­те­ля оч­ков и шле­мов до­пол­нен­ной ре­аль­но­сти для ар­хи­тек­то­ров и спе­ци­а­ли­стов про­из­вод­ствен­ных пред­при­я­тий, в шта­те толь­ко 300 со­труд­ни­ков, при­чем в цен­тре обес­пе­че­ния без­опас­но­сти ра­бо­та­ет все­го один че­ло­век. При этом про­цес­сы ана­ли­за и ре­а­ги­ро­ва­ния на со­бы­тия без­опас­но­сти чрез­вы­чай­но тру­до­ем­кие.

С по­мо­щью средств ис­кус­ствен­но­го ин­тел­лек­та от ком­па­нии Vectra Networks в Daqri ве­дут мо­ни­то­ринг тра­фи­ка при­бли­зи­тель­но 1,2 тыс. устройств, ра­бо­та­ю­щих в кор­по­ра­тив­ной сре­де. Ав­то­ма­ти­зи­ро­ван­ные сред­ства спо­соб­ны за­ме­тить, ко­гда кто-то вы­пол­ня­ет ска­ни­ро­ва­ние пор­тов, пе­ре­хо­дя от хо­ста к хо­сту, или, до­пу­стим, необыч­ным спо­со­бом пе­ре­сы­ла­ет боль­шие объ­е­мы дан­ных. В ком­па­нии со­би­ра­ют всю со­от­вет­ству­ю­щую ин­фор­ма­цию, ана­ли­зи­ру­ют ее и вво­дят в мо­дель глу­бо­ко­го обу­че­ния. Бла­го­да­ря это­му до­сти­га­ет­ся воз­мож­ность на­деж­но про­гно­зи­ро­вать ве­ро­ят­ность то­го, что тот или иной вид тра­фи­ка ока­жет­ся вре­до­нос­ным.

Та­кой ана­лиз необ­хо­ди­мо вы­пол­нять быст­ро, со­кра­тив до ми­ни­му­ма вре­мя меж­ду рас­по­зна­ва­ни­ем и ре­ак­ци­ей. Ис­кус­ствен­ный ин­тел­лект поз­во­ля­ет уско­рить раз­бор ин­ци­ден­тов и тем са­мым улуч­шить по­ни­ма­ние про­ис­хо­дя­ще­го в кор­по­ра­тив­ной се­ти, точ­нее про­гно­зи­ро­вать се­рьез­ные утеч­ки, быст­рее об­на­ру­жи­вать ин­ци­ден­ты и опе­ра­тив­но ре­а­ги­ро­вать на них, что­бы ми­ни­ми­зи­ро­вать воз­мож­ный ущерб.

ПРИ­МЕ­НЕ­НИЕ ИС­КУС­СТВЕН­НО­ГО ИН­ТЕЛ­ЛЕК­ТА ДЛЯ ОБЕС­ПЕ­ЧЕ­НИЯ БЕЗ­ОПАС­НО­СТИ РАС­ТЕТ

Ис­кус­ствен­ный ин­тел­лект и ма­шин­ное обу­че­ние су­ще­ствен­но уско­ря­ют ре­а­ги­ро­ва­ние на угро­зы, при­зна­ют ана­ли­ти­ки Nemertes Research. По их сло­вам, се­год­ня это уже се­рьез­ный ры­нок, сфор­ми­ро­ван­ный под вли­я­ни­ем ре­аль­ной по­треб­но­сти.

В Nemertes про­ве­ли гло­баль­ное ис­сле­до­ва­ние, по­свя­щен­ное без­опас­но­сти, и его ре­зуль­та­ты сви­де­тель­ству­ют: в сред­нем на об­на­ру­же­ние ата­ки и ре­а­ги­ро­ва­ние на нее в ор­га­ни­за­ци­ях ухо­дит 39 дней, од­на­ко в неко­то­рых ком­па­ни­ях су­ме­ли со­кра­тить это вре­мя до счи­тан­ных ча­сов. Ско­рость ре­а­ги­ро­ва­ния на­пря­мую за­ви­сит от уров­ня ав­то­ма­ти­за­ции, ко­то­рая обес­пе­чи­ва­ет­ся сред­ства­ми ИИ и ма­шин­но­го обу­че­ния.

Сред­нее вре­мя об­на­ру­же­ния ата­ки – час. В са­мых эф­фек­тив­ных ком­па­ни­ях, при­ме­ня­ю­щих ма­шин­ное обу­че­ние, на об­на­ру­же­ние ухо­дит ме­нее 10 ми­нут, а в от­ста­ю­щих – дни или неде­ли. Что ка­са­ет­ся сред­не­го вре­ме­ни ана­ли­за угроз, оно со­став­ля­ет три ча­са. В луч­ших ком­па­ни­ях на та­кой ана­лиз ухо­дят ми­ну­ты, в худ­ших – дни или неде­ли. По­ве­ден­че­ский ана­лиз угроз уже при­ме­ня­ет­ся в 21% ком­па­ний, участ­во­вав­ших в опро­се, и еще в 12% со­об­ща­ют, что внед­рят со­от­вет­ству­ю­щие сред­ства к кон­цу те­ку­ще­го го­да.

На пе­ре­до­вой на­хо­дят­ся ком­па­нии сфе­ры фи­нан­со­вых услуг. По­сколь­ку их дан­ные име­ют по­вы­шен­ную цен­ность, они обыч­но по ки­бер­без­опас­но­сти идут на шаг впе­ре­ди всех и вкла­ды­ва­ют зна­чи­тель­ные сред­ства в но­вые да­ле­ко не де­ше­вые тех­но­ло­гии.

По мас­шта­бам при­ме­не­ния ИИ и ма­шин­но­го обу­че­ния в це­лом по­ка­за­те­ли еще вы­ше. Со­глас­но ис­сле­до­ва­нию Vanson Bourne, се­год­ня в 80% ор­га­ни­за­ций при­ме­ня­ют для тех или иных це­лей ис­кус­ствен­ный ин­тел­лект, и это уже оку­па­ет­ся. Боль­ше все­го ди­ви­ден­дов он при­но­сит в об­ла­сти ис­сле­до­ва­ний и раз­ра­бот­ки но­вых про­дук­тов: 50% ре­спон­ден­тов со­об­щи­ли, что нов­ше­ство обес­пе­чи­ва­ет по­ло­жи­тель­ные ре­зуль­та­ты.

Вто­рое и тре­тье ме­ста – у це­поч­ки по­ста­вок (46%) и ос­нов­ной де­я­тель­но­сти (42%). Нена­мно­го от­ста­ют без­опас­ность и управ­ле­ние рис­ка­ми: 40% ре­спон­ден­тов со­об­щи­ли о по­ло­жи­тель­ном опы­те при­ме­не­ния ИИ в этих об­ла­стях.

Пе­ре­чис­лен­ные по­ка­за­те­ли про­дол­жат рас­ти: как вы­яви­ло недав­нее ис­сле­до­ва­ние Spiceworks, в 30% ор­га­ни­за­ций, име­ю­щих бо­лее 1 тыс. со­труд­ни­ков, при­ме­ня­ют ис­кус­ствен­ный ин­тел­лект в ИТ-служ­бах, в 25% со­би­ра­ют­ся на­чать это де­лать в сле­ду­ю­щем го­ду.

В мар­ке­тин­го­вом агент­стве Garrigan Lyman Group внед­ря­ют ис­кус­ствен­ный ин­тел­лект и ма­шин­ное обу­че­ние для ре­ше­ния це­ло­го ря­да за­дач ки­бер­без­опас­но­сти, в том чис­ле для об­на­ру­же­ния необыч­ной ак­тив­но­сти се­ти и поль­зо­ва­те­лей, а так­же для рас­по­зна­ва­ния но­вых кам­па­ний фи­шин­га. Без но­вых тех­но­ло­гий бы­ло бы невоз­мож­но нор­маль­но ра­бо­тать, по­сколь­ку зло­умыш­лен­ни­ки уже дав­но при­бе­га­ют к ав­то­ма­ти­за­ции сво­ей де­я­тель­но­сти, при­зна­ют­ся в Garrigan Lyman.

Ис­кус­ствен­ный ин­тел­лект и ма­шин­ное обу­че­ние обес­пе­чи­ва­ют этой ком­па­нии пре­иму­ще­ство. Са­ма она неболь­шая, все­го 125 со­труд­ни­ков, но бла­го­да­ря об­лач­ным сер­ви­сам име­ет воз­мож­ность быст­ро внед­рять

са­мые но­вые тех­но­ло­гии. В Garrigan Lyman уда­ет­ся вво­дить в экс­плу­а­та­цию по­лез­ные нов­ше­ства все­го за па­ру недель. В част­но­сти, здесь поль­зу­ют­ся сред­ства­ми без­опас­но­сти с ис­кус­ствен­ным ин­тел­лек­том ком­па­ний Alert Logic и Barracuda Networks, и, как при­зна­ют­ся в Garrigan Lyman, си­сте­мы «ум­не­ют бук­валь­но на гла­зах».

Ис­кус­ствен­ный ин­тел­лект по­мо­га­ет си­сте­мам адап­ти­ро­вать­ся к тре­бо­ва­ни­ям ком­па­нии без объ­ем­но­го пред­ва­ри­тель­но­го обу­че­ния. На­при­мер, как от­ме­ча­ют в Barracuda, мо­дель ИИ мо­жет са­мо­сто­я­тель­но по­нять, что, ко­гда ге­не­раль­ный ди­рек­тор ком­па­нии опре­де­лен­но­го ти­па поль­зу­ет­ся некор­по­ра­тив­ным ад­ре­сом элек­трон­ной по­чты, это ано­ма­лия. «В неко­то­рых ор­га­ни­за­ци­ях, ес­ли ру­ко­во­ди­тель об­ща­ет­ся че­рез лич­ную по­чту на мо­биль­ном устрой­стве, это нор­ма, а вот ес­ли глав­ный бух­гал­тер от­прав­ля­ет со­об­ще­ния с пер­со­наль­но­го ад­ре­са, это уже ано­ма­лия», – до­бав­ля­ет Асаф Сай­дон, ви­це­пре­зи­дент по сер­ви­сам обес­пе­че­ния без­опас­но­сти кон­тен­та Barracuda.

Еще од­но пре­иму­ще­ство об­лач­ной до­став­ки: раз­ра­бот­чи­кам про­ще со­вер­шен­ство­вать свои про­дук­ты ис­хо­дя из кли­ент­ских от­кли­ков.

«Ки­бер­без­опас­ность – это как со­сед­ская бди­тель­ность: ес­ли я за­ме­тил что-то по­до­зри­тель­ное в на­шем квар­та­ле, то пре­ду­пре­жу дру­гих», – го­во­рит Крис Гей­зер, ди­рек­тор по тех­но­ло­ги­ям Garrigan Lyman. Фи­шин­го­вые со­об­ще­ния или се­те­вые ата­ки мо­гут быть об­на­ру­же­ны рань­ше в дру­гих ча­со­вых по­я­сах, бла­го­да­ря че­му у ком­па­ний по­яв­ля­ет­ся вре­мя под­го­то­вить­ся. Есте­ствен­но, долж­но быть до­ве­рие к по­став­щи­ку сер­ви­са. В Garrigan Lyman при вы­бо­ре по­став­щи­ков про­во­ди­ли по­дроб­ный ана­лиз – на­при­мер, удо­сто­ве­ря­лись в том, что кан­ди­дат при­дер­жи­ва­ет­ся опре­де­лен­ных норм про­ве­де­ния ауди­та, и в том, что до­ступ к кли­ент­ским дан­ным мо­гут по­лу­чить толь­ко упол­но­мо­чен­ные ли­ца.

Недо­ве­рие к нов­ше­ствам за­труд­ня­ет пе­ре­ход от тра­ди­ци­он­ных про­цес­сов к ав­то­ма­ти­за­ции на ос­но­ве ис­кус­ствен­но­го ин­тел­лек­та – ведь кро­ме зна­ния осо­бен­но­стей ра­бо­ты ва­ше­го по­став­щи­ка не по­ме­ша­ют све­де­ния о том, как имен­но ИИ при­ни­ма­ет ре­ше­ния. Прин­ци­пы ра­бо­ты экс­перт­ных си­стем долж­ны быть по­нят­ны­ми, что­бы им мож­но бы­ло до­ве­рять. По­ни­мая, как дей­ству­ет си­сте­ма, кли­ент да­ет свои от­зы­вы и по­же­ла­ния, это по­мо­га­ет со­вер­шен­ство­вать мо­де­ли ма­шин­но­го обу­че­ния.

В ком­па­нии LexisNexis Legal and Professional 12 тыс. ее со­труд­ни­ков недав­но на­ча­ли для за­щи­ты элек­трон­ной по­чты поль­зо­вать­ся си­сте­мой GreatHorn. Те­перь, ес­ли, к при­ме­ру, на­чи­на­ют по­сту­пать со­об­ще­ния из до­ме­на, по на­пи­са­нию по­хо­же­го на хо­ро­шо из­вест­ный, си­сте­ма ав­то­ма­ти­че­ски от­ме­тит его в ка­че­стве «са­мо­зван­ца» и со­об­щит, по­че­му это сде­ла­но: «От­мет­ка по­став­ле­на, по­сколь­ку до­мен по­хож на тот, с ко­то­рым вы обыч­но об­ме­ни­ва­е­тесь со­об­ще­ни­я­ми, од­на­ко его тех­ни­че­ская ин­фор­ма­ция вы­гля­дит по­до­зри­тель­но».

По ме­ре ро­ста уров­ня до­ве­рия к си­сте­ме и точ­но­сти ее ре­ше­ний в LexisNexis хо­тят пе­рей­ти от про­стой мар­ки­ров­ки по­до­зри­тель­ных со­об­ще­ний к ав­то­ма­ти­че­ско­му пе­ре­ме­ще­нию та­ких со­об­ще­ний в ка­ран­тин. На се­год­ня ре­зуль­та­ты весь­ма впе­чат­ля­ю­щие: мар­ки­ру­ют­ся имен­но вре­до­нос­ные со­об­ще­ния. А ко­гда бу­дет на­ла­же­но ка­ран­ти­ни­ро­ва­ние, поль­зо­ва­те­ли во­об­ще пе­ре­ста­нут их ви­деть. По­сле это­го ин­стру­мент пла­ни­ру­ет­ся внед­рить и в дру­гих под­раз­де­ле­ни­ях ком­па­нии, а так­же изу­чить иные воз­мож­но­сти ис­поль­зо­ва­ния ИИ для обес­пе­че­ния без­опас­но­сти.

КАК ИС­КУС­СТВЕН­НЫЙ ИН­ТЕЛ­ЛЕКТ ПОЗ­ВО­ЛЯ­ЕТ ОПЕ­РЕ­ДИТЬ ЗЛО­УМЫШ­ЛЕН­НИ­КОВ

ИИ со­вер­шен­ству­ет­ся по ме­ре ро­ста объ­е­ма по­лу­ча­е­мых дан­ных. При на­коп­ле­нии до­ста­точ­но боль­ших сре­зов дан­ных си­сте­мы спо­соб­ны об­на­ру­жи­вать очень ран­ние при­зна­ки по­яв­ле­ния но­вых угроз. При­мер – SQL-инъ­ек­ции. В ком­па­нии Alert Logic еже­квар­таль­но со­би­ра­ют дан­ные при­мер­но по 500 тыс. ин­ци­ден­тов, про­ис­хо­дя­щих у 4 тыс. ее кли­ен­тов. Око­ло по­ло­ви­ны та­ких ин­ци­ден­тов свя­за­ны с ата­ка­ми на ос­но­ве SQL­инъ­ек­ций. Ни в од­ной ком­па­нии ми­ра нет воз­мож­но­сти рас­смат­ри­вать каж­дый та­кой ин­ци­дент в от­дель­но­сти, что­бы вы­яс­нить, уда­лась ли по­пыт­ка инъ­ек­ции, уве­ре­ны в Alert Logic.

Бла­го­да­ря ма­шин­но­му обу­че­нию си­сте­мы ком­па­нии не толь­ко быст­рее об­ра­ба­ты­ва­ют дан­ные, но и кор­ре­ли­ру­ют со­бы­тия, про­ис­хо­див­шие в раз­ные пе­ри­о­ды вре­ме­ни в раз­ных ре­ги­о­нах. Неко­то­рые ата­ки мо­гут по­вто­рять­ся че­рез несколь­ко недель или ме­ся­цев, при этом ис­хо­дить из дру­гих сег­мен­тов Ин­тер­не­та. Ес­ли бы не ма­шин­ное обу­че­ние, та­кие ин­ци­ден­ты в Alert Logic упус­ка­ли бы, уве­ре­ны в ком­па­нии.

Боль­шие объ­е­мы ин­фор­ма­ции об угро­зах так­же со­би­ра­ют в GreatHorn, ком­па­нии, яв­ля­ю­щей­ся опе­ра­то­ром об­лач­но­го сер­ви­са без­опас­но­сти элек­трон­ной по­чты для Microsoft Office 365, Google G Suite и Slack. «Сей­час у нас на­ко­пи­лось по­чти 10 Тбайт уже про­ана­ли­зи­ро­ван­ных дан­ных по угро­зам, –

ИИ не яв­ля­ет­ся по­на­сто­я­ще­му ра­зум­ным – он не мо­жет по­нять идею, ле­жа­щую в ос­но­ве той или иной ата­ки. По­это­му че­ло­век по-преж­не­му яв­ля­ет­ся клю­че­вым эле­мен­том лю­бо­го ре­ше­ния в об­ла­сти ки­бер­за­щи­ты

со­об­щил Ке­вин О’Брай­ен, ге­не­раль­ный ди­рек­тор GreatHorn. – Мы по­сте­пен­но вво­дим эту ин­фор­ма­цию в мо­дель на ос­но­ве тен­зор­но­го по­ля, что поз­во­лит об­на­ру­жи­вать вза­и­мо­свя­зи меж­ду раз­лич­ны­ми ви­да­ми со­об­ще­ний, ти­па­ми поч­то­вых сер­ви­сов, со­об­ще­ни­я­ми с раз­ной то­наль­но­стью вы­ска­зы­ва­ний и т. п.».

Сер­ви­сы GreatHorn спо­соб­ны об­на­ру­жи­вать но­вые кам­па­нии фи­шин­го­вых рас­сы­лок и пе­ре­но­сить со­об­ще­ния в ка­ран­тин ли­бо до­пол­нять их пре­ду­пре­жде­ни­я­ми за несколь­ко дней до то­го, как ис­сле­до­ва­те­ли при­дут к вы­во­ду о по­яв­ле­нии но­вой угро­зы. «А по­сле ее иден­ти­фи­ка­ции мы мо­жем ав­то­ма­ти­че­ски уда­лять та­кие со­об­ще­ния из всех поч­то­вых ящи­ков, ку­да они бы­ли до­став­ле­ны», – го­во­рит О’Брай­ен.

ПЕР­СПЕК­ТИ­ВЫ ИС­ПОЛЬ­ЗО­ВА­НИЯ ИС­КУС­СТВЕН­НО­ГО ИН­ТЕЛ­ЛЕК­ТА В МИ­РЕ БЕЗ­ОПАС­НО­СТИ

Об­на­ру­же­ние по­до­зри­тель­ной ак­тив­но­сти поль­зо­ва­те­лей и се­те­во­го тра­фи­ка – са­мое оче­вид­ное при­ме­не­ние ма­шин­но­го обу­че­ния. Ны­неш­ние си­сте­мы все успеш­нее справ­ля­ют­ся с вы­яв­ле­ни­ем необыч­ных со­бы­тий в боль­ших по­то­ках дан­ных, ре­ше­ни­ем стан­дарт­ных за­дач ана­ли­за и рас­сыл­кой уве­дом­ле­ний.

Сле­ду­ю­щий шаг – ис­поль­зо­ва­ние ИИ для борь­бы с бо­лее слож­ны­ми про­бле­ма­ми. На­при­мер, уро­вень ки­бер­ри­с­ка для ком­па­нии в каж­дый кон­крет­ный мо­мент за­ви­сит от мно­же­ства фак­то­ров, в том чис­ле от на­ли­чия си­стем без за­плат, неза­щи­щен­ных пор­тов, по­ступ­ле­ния со­об­ще­ний на­прав­лен­но­го фи­шин­га, уров­ня на­деж­но­сти па­ро­лей, объ­е­ма неза­шиф­ро­ван­ных кон­фи­ден­ци­аль­ных дан­ных, а так­же от то­го, яв­ля­ет­ся ли ор­га­ни­за­ция объ­ек­том ата­ки со сто­ро­ны спец­служб дру­го­го го­су­дар­ства.

До­ступ­ность точ­ной кар­ти­ны рис­ков поз­во­ли­ла бы ра­ци­о­наль­нее ис­поль­зо­вать ре­сур­сы и раз­ра­бо­тать бо­лее де­таль­ный на­бор по­ка­за­те­лей эф­фек­тив­но­сти обес­пе­че­ния без­опас­но­сти. Се­год­ня со­от­вет­ству­ю­щие дан­ные ли­бо не со­би­ра­ют­ся, ли­бо не пре­об­ра­зу­ют­ся в осмыс­лен­ные све­де­ния, уве­ре­ны в ком­па­нии Balbix, за­ни­ма­ю­щей­ся про­гно­зи­ро­ва­ни­ем рис­ка уте­чек дан­ных с ис­поль­зо­ва­ни­ем ис­кус­ствен­но­го ин­тел­лек­та.

Спе­ци­а­ли­сты ком­па­нии ре­а­ли­зо­ва­ли 24 ви­да ал­го­рит­мов, ко­то­рые вы­стра­и­ва­ют «теп­ло­вую кар­ту» рис­ков, учи­ты­ва­ю­щую все осо­бен­но­сти кли­ент­ской сре­ды и поз­во­ля­ю­щую вы­яс­нить, по­че­му та или иная «го­ря­чая» об­ласть обо­зна­че­на в ка­че­стве та­ко­вой. При этом сер­вис вы­да­ет со­ве­ты по ис­прав­ле­нию си­ту­а­ции – ес­ли по­сле­до­вать им, «го­ря­чая» крас­ная об­ласть ста­нет спер­ва жел­той, за­тем зе­ле­ной. Си­сте­ме так­же мож­но за­да­вать во­про­сы вро­де «Что имен­но мне сто­ит пред­при­нять в первую оче­редь?», «Ка­ков мой риск фи­шин­га?» или «Ка­ков мой риск ока­зать­ся жерт­вой WannaCry?».

В даль­ней­шем ис­кус­ствен­ный ин­тел­лект бу­дет по­мо­гать ком­па­ни­ям опре­де­лять­ся, в ка­кие но­вые тех­но­ло­гии без­опас­но­сти сле­ду­ет вкла­ды­вать­ся. «В боль­шин­стве ком­па­ний се­год­ня не зна­ют, сколь­ко и как тра­тить на ки­бер­без­опас­ность, – уве­рен Джеймс Ст­эн­гер, глав­ный еван­ге­лист тех­но­ло­гий CompTIA. – Ис­кус­ствен­ный ин­тел­лект ну­жен, что­бы вы­явить по­ка­за­те­ли, на ос­но­ве ко­то­рых ИТ-ди­рек­тор смо­жет об­ра­тить­ся к ру­ко­во­ди­те­лю ком­па­нии или в со­вет ди­рек­то­ров и объ­яс­нить, сколь­ко и ка­ких ре­сур­сов нуж­но для то­го или ино­го про­ек­та, под­кре­пив тре­бо­ва­ния кон­крет­ны­ми дан­ны­ми».

Есть боль­шое про­стран­ство для раз­ви­тия. Се­год­ня ИИ ис­поль­зу­ет­ся в без­опас­но­сти очень огра­ни­чен­но. Мож­но го­во­рить об от­ста­ва­нии от дру­гих от­рас­лей, и да­же по­ра­зи­тель­но, что са­мо­управ­ля­е­мые ав­то­мо­би­ли по­яв­ля­ют­ся рань­ше, чем се­ти, за­щи­ща­ю­щие са­ми се­бя. Ны­неш­ние плат­фор­мы ИИ еще по су­ти не «по­ни­ма­ют» окру­жа­ю­щий мир. «Эти тех­но­ло­гии хо­ро­шо справ­ля­ют­ся с клас­си­фи­ка­ци­ей дан­ных, ко­то­рые по­хо­жи на сре­зы и ко­то­рые ис­поль­зо­ва­лись для обу­че­ния, – по­яс­ня­ет Стив Гр­обм­эн, ди­рек­тор по тех­но­ло­ги­ям McAfee. – Но ис­кус­ствен­ный ин­тел­лект не яв­ля­ет­ся по-на­сто­я­ще­му ра­зум­ным – он не мо­жет по­нять идею, ле­жа­щую в ос­но­ве той или иной ата­ки». По­это­му че­ло­век по-преж­не­му яв­ля­ет­ся клю­че­вым эле­мен­том лю­бо­го ре­ше­ния в об­ла­сти ки­бер­за­щи­ты.

В дру­гих об­ла­стях, где сей­час при­ме­ня­ет­ся ИИ, на­при­мер в рас­по­зна­ва­нии об­ра­зов, ре­чи и про­гно­зи­ро­ва­нии по­го­ды, си­ту­а­ция иная. «Ура­ган не мо­жет из­ме­нить за­ко­ны фи­зи­ки и за­ста­вить во­ду ис­па­рять­ся как-то по-дру­го­му, что­бы услож­нить вам за­да­чу его об­на­ру­же­ния, – го­во­рит спе­ци­а­лист McAfee. – А в ми­ре ки­бер­без­опас­но­сти все про­ис­хо­дит имен­но так».

И все же про­гресс в борь­бе с ки­бе­ру­гро­за­ми есть. Су­ще­ству­ет та­кое на­прав­ле­ние ис­сле­до­ва­ний, как ге­не­ра­тив­ные со­стя­за­тель­ные се­ти, – ко­гда од­но­вре­мен­но ра­бо­та­ют две мо­де­ли ма­шин­но­го обу­че­ния с про­ти­во­по­лож­ны­ми це­ля­ми.

На­при­мер, од­на пы­та­ет­ся что-то об­на­ру­жить, а дру­гая – скрыть то же са­мое от об­на­ру­же­ния. Этим прин­ци­пом мож­но поль­зо­вать­ся при со­зда­нии ко­манд услов­но­го про­тив­ни­ка, что­бы вы­яс­нять, ка­ки­ми мо­гут быть но­вые угро­зы.

В даль­ней­шем ис­кус­ствен­ный ин­тел­лект бу­дет по­мо­гать ком­па­ни­ям опре­де­лять­ся, в ка­кие но­вые тех­но­ло­гии без­опас­но­сти сле­ду­ет вкла­ды­вать­ся

Newspapers in Russian

Newspapers from Russia

© PressReader. All rights reserved.