Cisco: уязвимость IoT требует использования ИИ против киберзлоумышленников

Согласно данным Cisco, среди профессионалов, использующих Интернет вещей (IoT) в управлении производственными процессами, игнорирующих риски от IoT не более 8%, но и эта группа специалистов, как считают в Cisco, изменит свое отношений сразу после первых удачных кибератак на их системы.

Подавляющее же большинство остальных производственников (92%) намерены уделять обеспечению ИБ своих систем все более серьезное внимание. C одной стороны, они понимают, что без подключения к IP-сетям системы управления производством оставить сегодня невозможно — это лишает пользователей возможности эффективного взаимодействия с аналитическими системами, а значит быстро адаптироваться к меняющимся условиям производственных процессов. С другой, они осознают, что такое подключение сильно увеличивает площадь для кибератак.

Тем не менее, около 44% ИБ-событий на предприятиях вообще выпадают из круга внимания корпоративных ИБ-специалистов, а из 56% (всего лишь) исследованных ИБ-событий действительно неложными срабатываниями оказались 34%, однако примерно по половине из них никаких мер принято не было.

Причина проста: у корпоративных ИБ-служб не хватает ресурсов и квалификации на адекватный анализ ИБ-событий и реагирование. Не выручает даже передача обеспечения ИБ на аутсорсинг, поскольку провайдеры ИБ-услуг сами испытывают дефицит квалифицированных специалистов.

Вслед за прошлогодними DDoS атаками, построенными на массовом включении злоумышленниками в свои ботсети камер видеонаблюдения, год нынешний оказался примечательным вовлечением в ботсети холодильников и телевизоров. Ситуация с использованием в злых намерениях устройств, относящихся к IoT, по словам заслуженного системного инженера компании Cisco Михаила Кадера, только усугубляется уже потому, что разработчики IoT-устройств озабочены в первую очередь высокими потребительскими свойствами этих устройств, в число которых безопасность пока не входит.

Как следствие, IoT становится одним из главных драйверов использования искусственного интеллекта в обеспечении кибербезопасности. Актуальность ИИ продиктована еще и тем и тем, что его все активнее используют и кибрезлоумышленники.

Выручить может повышение степени автоматизации обеспечения ИБ по всей цепочке: обнаружение, блокирование, расследование. Среди подходов к автоматизации процессов обеспечения ИБ есть уже давно зарекомендовавшие себя, например, машинное обучение для составления «белых» списков, для обнаружения в трафике вредоносных сигнатур и других индикаторов компрометации, статистическая обработка больших объемов данных для выявления отклонений от стандартных профилей поведения или признаков известных атак.

Cisco располагает одной самых мощных в мире коммерческих систем аналитики киберугроз — Talos. Собираемые и обрабатываемые ею данные используются для машинного обучения ИБ-систем, которые компания предлагает своим заказчикам (и, разумеется, использует сама). Использование МО в сетевой инфраструктуре помогает определить, какие приложения в ней функционируют, и адаптировать конкретно под них автоматическое выявление и блокирование вредоносных активностей в сети.

В сетях постоянно увеличивается доля зашифрованного трафика (в этом году она колеблется между 60 и 70%). Однако классические межсетевые экраны нового поколения (работающие на уровне трафика приложений) не в состоянии разбирать такой трафик и выявлять в нем угрозы. Кстати, злоумышленники активно используют шифрование трафика между вредоносными программами, внедренными в атакованную инфраструктуру, и центрами управления ими.

Cisco научилась обнаруживать вредоносные активности в зашифрованном трафике. Ее сетевое оборудование теперь работает как датчики, передающие в системы ИБ-аналитики информацию о том, какие алгоритмы использованы для шифрования трафика, какими цифровыми сертификатами подписаны сеансы связи узлов перед передачей данных, насколько эти сертификаты соответствуют реально примененным алгоритмам шифрования, куда шифрованный трафик направлен... Эти данные, будучи дополнены данными Talos, позволяют, как заявляет Cisco, без расшифровки с вероятностью выше 99% выявлять вредоносный характер того или иного зашифрованного трафика.

Построенная на основе машинного обучения аналитика ИБ-данных позволяет выявлять вредоносные серверы, расположенные на публичных облачных ресурсах для последующего их блокирования. Например, средство защиты веб-трафика Cisco Cognitive Threat Analytic обменивается данными с другими средствами обеспечения ИБ, повышая тем самым общий уровень ИБ-защиты.

Сотни собираемых параметров того или иного ИБ-события после обработки аналитическими ресурсами позволяют оценить, таит ли событие реальную угрозу, являются ли оно признаком атаки на конкретную компанию, на тот или иной рыночный сегмент, на специфические операционные системы, на специфическое оборудование управления производством...