ИИ на стороне кибербезопасности: как AI/ML-алгоритмы совершенствуют киберзащиту

Технологии искусственного интеллекта меняют все сферы работы с большими данными, в том числе, отрасль кибербезопасности, где AI/ML алгоритмы ощутимо сокращают время реагирования на кибератаки. Как применяются технологии ИИ в ежедневной практике компаний и какие тренды они задают в информационной безопасности, рассказал порталу Cyber Media Максим Бузинов, руководитель R&D-направления Центра технологий кибербезопасности ГК «Солар».

Мы создаем продукты для работы с огромным объемом данных и трафика для анализа. Каждое ИТ-решение в процессе эксплуатации ежедневно обрабатывает сотни тысяч и даже миллионы событий об инцидентах в инфраструктуре, в коммуникациях, в действиях пользователях и других процессах. ИИ-технологии совершенствуют подход к защите от утечки данных и контролю доступа к данным. Одна из задач, решаемая с использованием алгоритмов — выявление чувствительной информации, которую сотрудники компаний могут передавать в общении. DLP-система Solar Dozor распознает речь на 50 языках и анализирует голосовую коммуникацию на корпоративных средствах связи, используя classic ML и Speech Recognition ASR.

Система эффективно показывает себя в выявлении чувствительной информации — паспортов, печатей, банковских карт, медицинских штампов, конструкторской документации, даже QR-кодов. За счет использования Computer Vision, Neural networks, Digital fingerprints удается добиться точности распознавания паспортов до 99%. В крупном банке из числа наших партнеров нам удалось увеличить скорость обработки рабочего трафика за счет использования графических процессоров GPU в 20-30 раз по сравнению с центральными процессорами (CPU) и выиграть как во времени, так и в стоимости решения. Что важно компаниям, использующим такие решения, ориентироваться можно на типовые видеокарты, специфическое оборудование для интеграции решения не требуется.

От диагностики выгорания до обнаружения киберугроз

Для анализа аномального поведения сотрудников и мониторинга их эффективности в «Соларе» разработана и запатентована собственная технология анализа поведения — модуль Anomaly Detection и модель Unsupervised ML, внедренные в продукт Solar Dozor UBA. Она выявляет аномалии поведения пользователей в коммуникациях и на рабочем оборудовании. Эта же технология будет полезна при расследовании инцидентов — она позволяет отследить хронологию возникновения аномалий в действиях конкретных пользователей.

Да, ИИ-модели участвуют и в обнаружении киберугроз и атак ботами на сайты. Защита интернет-ресурсов с помощью ИИ — целое направление в кибербезопасности. Так, в продукте webProxy работает умная категоризация веб-сайтов, которая выделяет более 70 категорий контента: от базовых «недвижимость», «природа» до потенциально опасного содержимого в категориях «мошенничество», «тотализаторы», «ставки». А для анализа использует более ста языков, и его возможности все время обновляются по мере расширения базы категорий сайтов и интернет-ресурсов.

Также для защиты сайтов малого и среднего бизнеса от киберугроз и ботов используется ИИ-модуль Antibot в рамках платформы облачной киберзащиты Solar Space, который разворачивается оперативно в течение получаса. В on-premise версии Solar Space этот же модуль разворачивается за секунды.

Нейропомощники кибербезопасника

В мире технологий наблюдается бум ИИ-моделей — всевозможных нейропомощников на основе небольших моделей. У нас сейчас в опытной эксплуатации находятся ИИ-помощники по базе знаний, которые мгновенно отвечают на вопросы пользователей по продуктовой документации, помогают команде технической поддержки и могут работать в режиме диалога.

Другая востребованная разработка в сфере кибербезопасности — ИИ-прототип, помогающий настраивать сотруднику ИБ безопасности политику безопасности СЗИ.

Модель сама выставляет настройки детекторов, поддерживает несколько языков. Корректная настройка политики защиты информации влияет на качество работы всей ИБ-системы. В разработке такой модели учитывается закрытый контур: иногда невозможно использовать общедоступные модели и важно учитывать специфику и технические ограничения заказчиков.

Перспективные разработки в ИИ в технологиях кибербезопасности

Технологии искусственного интеллекта в сетевой безопасности и защите узлов показывают эффективность в детектировании сложных атак на инфраструктуру.

Мы проводим исследования по детектированию аномалий в сети, выявлению фишинга и таргетированных атак, цепочек разнородных атак с использованием технологий GAN, Deep Anomaly Detection, Graph neural networks, Autoencoders. С их же помощью классифицируются вредоносные процессы и файлы. Этот ИИ-прототип в тестовой эксплуатации уже выявляет аномалии, что в реальной практике сократит время реагирования на киберугрозы.

Прототип детектирования фишинга способен значительно усилить систему кибербезопасности, ведь огромный объем кибератак ведется именно через фишинг. ИИ-модель выявляет в контенте e-mail-сообщений элементы социальной инженерии, подозрительную семантику, проводит скоринг фишинга.

Очень востребованной становится и тема детектирования фейков, здесь мы наблюдаем противостояние искусственных интеллектов, в которой одни ИИ-модели распознают фейки, созданные другими ИИ. Еще один функционал ИИ-моделей детекторов интересен отделам кибербезопасности. Это угрозы компрометации пользователей, с которыми борются технологии распознавания лиц, голоса и имитации деятельности. С этой проблемой сталкиваются компании, в которых есть режим удаленной работы. Например, некоторые сотрудники запускают скрипты, имитирующие их работу на компьютере. Современные ИИ-решения распознают, кто работает на корпоративном устройстве: человек или скрипт. Такой контроль может закрыть и кадровые риски, и потенциальные риски кибербезопасности — проникновение вредоносного скрипта на рабочие станции, которое можно своевременно обнаружить.

Кастомизация и повышенная конфиденциальность: чего ждут от ИИ-моделей заказчики

Появления ИИ-ассистентов в области информационной безопасности — уверенный тренд, который подтверждается и анонсами разработок от ведущих игроков ИТ-индустрии, и интересов бизнеса. Оперативный анализ огромного объема данных, точное и оперативное обнаружение угроз — важное условие для успешного работы бизнеса в цифровом пространстве.  Но и требования к такому доверенному ИИ высоки. Безопасность — требование номер один. Никто не хочет, чтобы ее корпоративную модель сломали, подложили ей специальные данные, нашли обходные пути, проникли в датасеты.

• Надежность и отказоустойчивость — обязательная характеристика ИИ-ассистента. Модель не может позволить себе перестать работать или заблокировать работу рабочего процесса.
• Объяснимость и интерпретируемость — критично важные для заказчиков характеристики. При работе с моделью специалист по безопасности должен понимать ее логику, ее выводы и рекомендации.
• Подотчетность и прозрачность — критичное требование к ИИ-решению, иначе его не удастся встроить в инфраструктуру заказчика с задуманной эффективностью. Решение должно быть гибким, адаптивным, управляемым. Кастомизация под контекст заказчика — уже своего рода стандарт: использование специфичной базы знаний ИИ-моделью (RAG) и тюнинг больших языковых моделей (LLM) − использование собственных данных и адаптация под отрасль работы, куда внедряется ИИ-помощник. Все эти требования значительно увеличивают функционал базовых ИИ-моделей.

Как авторы собственных разработок, мы признаем, что о трендах ИИ говорить сложно — так быстро меняется и обновляется эта сфера. В ближайшем будущем мы ожидаем проникновения ИИ во все большее число продуктов и сфер бизнеса и жизни. ИИ-агенты станут еще более самостоятельными и смогут не только предлагать решения, но и реализовывать их. Сохранится и усилится тренд на кастомизацию собственных ИИ-моделей компаний. Продолжат развиваться и оптимизироваться малые модели со средними объемами параметров (к примеру, наравне с GPT и его 1,7 трлн параметров в ИИ-сфере работают средние модели с 5-70 млн параметров).

Сейчас более 90% сотрудников используют технологии искусственного интеллекта, но не соблюдают политики безопасности. Вся эффективность технологий ИИ эксплуатируется и злоумышленниками − одни и те же инструменты используются как в описанных технологиях, так и в «теневом» ИИ. Следить за теневыми разработками и учитывать их в своей работе придется всем, кто работает в сфере информационной безопасности и внедряет искусственный интеллект в борьбу с кибератаками.