Искусственный интеллект – будущее кибербезопасности

Искусственный интеллект и машинное обучение (Методы Machine Learning) активно проникают во все сферы, связанные с высокими технологиями, не исключением стала и информационная безопасность. Развитие цифровых технологий и цифровизация в целом влечет за собой не только рост количества киберпреступлений, но и усовершенствование схем, а также появление сложных инструментов.

Атаки становятся более динамичными, разносторонними и комбинированными. Не на каждый новый инструмент преступника успевают разработать защиту. Именно здесь в игру и вступают алгоритмы искусственного интеллекта, которые могут помочь выявить нестандартные атаки, невидимые для существующих средств защиты.

Искусственный интеллект в информационной безопасности – это инструмент, который сканирует ландшафт, распознает происходящие в нем действия и события, и на основе анализа самостоятельно может принять или предложить решение. Особенно хорошо он находит аномалии и закономерности.

Также активно в обиход борцов с киберпреступностью входит такой подвид искусственного интеллекта, как машинное обучение. Оно помогает составлять прогнозы и самостоятельно обучается на основе введенных человеком данных.

Как используют ИИ в ИБ

Сегодня существует несколько сценариев, по которым технологии искусственного интеллекта применяются в информационной безопасности. По мнению экспертов, самый популярный из них – это обработка и анализ отчетов систем информационной безопасности. И это не спроста – люди могут изучать такие отчеты неделями, а то и месяцами и вручную выбирать необходимые данные. Искусственный интеллект сделает это за несколько часов. Он за считанные секунды распознает повторения и формирует уязвимости в дефекты.

Виктор Никуличев

Менеджер продукта R-Vision SENSE

Использование ИИ достаточно распространено при решении задач по обнаружению вторжений, и их реализация может сильно отличаться от решения к решению. Так, все методы детектирования можно свести к двум классам - поиск по заранее известному алгоритму (сигнатуры) и работа с неизвестным (эвристика).

Сигнатурный метод предполагает сканирование объекта на предмет наличия в нем вредоносных сигнатур или индикаторов вредоносности, которые могут идентифицировать зловредный файл сайт, ip, атаку. В сигнатурных методах много внимания уделяется процессу выделения признаков и формированию базы знаний, так как это ключевые факторы, влияющие на качество работы сигнатурных алгоритмов.

Эвристические методы очень комплексные и анализируют уже не семпл данных, а последовательность событий, например, для детектирования DDoS, Botnet, C2C. Эвристический анализ не может с уверенностью подтверждать обнаружение атаки, поскольку критерии принятия решения основываются на оценке, классификации действий, или связей действий на безопасные и подозрительные.

Какие задачи решает искусственный интеллект в информационной безопасности:

• выявление аномалий и дублей;

• выявление нестандартных атак и угроз;

• сегментирование типов и классов угроз;

• непрерывный мониторинг и анализ угроз;

• мониторинг и анализ трафика, поведения пользователей и систем;

• анализ на предмет соответствия политики безопасности;

• создание отчетов безопасности на основе разных данных;

• поиск утечек данных;

• тестирование сотрудников на знание и соблюдение правил кибергигиены.

О последнем пункте поговорим подробнее. Большую перспективу технологии ИИ в кибербезе игроки рынка видят в направлении Edtech. Появляются новые средства атак и защиты, изощренные и высокотехнологичные схемы киберпреступлений, и не менее технологичные системы безопасности, но неизменным остается одно – человеческий фактор. Как бы надежно не была защищена система в компании, человек всегда может совершить ошибку, особенно, если он не знает/соблюдет правила информационной безопасности. Именно здесь может помочь искусственный интеллект, который не только обучит кибергигиене, протестирует на ее знание, но и проследит за соблюдением сотрудниками ее правил.

Машинное обучение в кибербезопасности

Отдельно стоит остановиться на таком ответвлении искусственного интеллекта, как машинное обучение. Именно в информационной безопасности машинное обучение активно набирает обороты, как способ анализировать, сегментировать и приводить информацию к одному типу, а также выявлять закономерности.

Эксперты отмечают, что на сегодняшний день нет общепринятого стандарта представления данных об угрозах, при этом многообразие используемых форматов замедляет обработку информации.

Часть данных поставляется в машиночитаемой форме, другая – в виде «человекочитаемых» отчетов. В результате, прежде чем начать анализировать данные, их требуется привести к единой модели представления, нормализовать. Для того чтобы «человекочитаемый» текст можно было применять, его нужно проанализировать, определить релевантность, выделить из текста информацию о вредоносных сущностях. Для снижения затрат на человеческие и временные ресурсы, необходимые для ручной обработки текста, можно использовать технологии машинного обучения.

Валерия Чулкова

Менеджер продукта R-Vision TIP компании R-Vision

Методы Machine Learning (ML) сегодня применяются в специализированных решениях кибербезопасности. Например, в платформах для управления данными киберразведки – Threat Intelligence.  Компоненты, входящих в состав TI-платформ (Threat Intelligence Platform), с заложенными в них алгоритмами ML, решают задачи сбора, обработки, распознавания отчетов о киберугрозах и позволяют в автоматическом режиме проанализировать материалы об угрозах и наборы распознанных артефактов. Таким образом вместо того, чтобы искать на просторах профильных сайтов новые сведения о киберугрозах, определять их релевантность, читать отчет, выделять из него вручную информацию о вредоносной активности и «складывать» ее в TI-платформу, пользователь может получать уже обработанную информацию.

Использование технологий машинного обучения не является «волшебной таблеткой». В большей степени эти технологии являются дополняющими. Они помогают сэкономить время и силы аналитика киберугроз, подготовить большие объемы сложных для восприятия данных. Интерпретировать полученные данные и принять соответствующие решения должен все равно человек.

Итог

Искусственный интеллект и информационная безопасность в будущем будут неразрывно связаны. На данный момент роль ИИ и машинного обучения, скорее поддерживающая и помогает человеку снизить нагрузку, создаваемую большим пластом данных для анализа.

Эксперты видят огромную перспективу в таких ИИ-технологиях и уверены, что в ближайшем будущем будет создан ряд инструментов, которые смогут не только анализировать, группировать данные и предлагать решения, но и принимать их. Но для того, чтобы определить, насколько решение, принятое машиной адекватно, все равно нужен будет человек.

Можно сказать, что сегодня инструменты информационной безопасности на основе технологий искусственного интеллекта только формируются. Сложно представить, насколько широким их применение будет через 10 лет, но абсолютно точно оно станет основой для нового уровня кибербезопасности.