Не верьте хайпу: ИИ — это не серебряная пуля для CISO

ИБ-эксперты рассчитывают на то, что искусственный интеллект революционизирует кибербезопасность. Нужно заметить, что для этого у них имеются веские основания. CTO поставщика решений для кибербезопасности RedSeal Майк Ллойд рассуждает на портале ComputerWeekly о том, готов ли ИИ пройти проверку реальностью.

Кажется, что в сегодняшнем мире осталось не так много областей деятельности, которые бы не затронул ИИ. Пару лет назад McKinsey предсказала, что к 2030 г. вклад этой технологии в мировую экономику составит 13 трлн. долл., и в настоящее время можно на пальцах одной руки пересчитать ИБ-фирмы, которые обходят стороной ИИ и машинное обучение, тогда как подавляющее большинство упирает на ИИ-возможности своих решений. К сожалению, применение ИИ в реальности не соответствует маркетинговой гиперболе. Мы хотим верить в его исключительность, потому что он столь же привлекателен, как летающие машины или реактивные ранцы, но суровая правда — она совсем другая.

Поэтому директора по ИБ (CISO), которые подыскивают новых партнеров по безопасности, должны оценивать ситуацию трезво и прагматично. В некоторых случаях ИИ действительно может принести пользу, разгрузив работу ИБ-команд, но их количество ограничено, потому что его алгоритмам по-прежнему трудно распознавать неизвестные атаки.

Односторонняя битва

Мы живем в мире, где киберзлоумышленники владеют всеми картами, и даже если это и не так, их шансы на победу всегда выше, чем у их оппонентов. Центр по борьбе с хищениями личных данных (ITRC) установил, что по сравнению с 2018 г. количество утечек данных в 2019 г. выросло на 17% , при этом было обнаружено более 164 млн. записей практически по всем вертикалям. Экономика киберпреступности огромна. По некоторым подсчетам, она оценивается в 1,5 трлн. долл. в год, что почти равно ВВП России.

Covid-19 только усложнил задачу для CISO, повысив уровень риска. Это связано со стремительным ростом количества неуправляемых конечных точек (удаленные домашние офисы), что отвлекло штат ИТ-поддержки от решения основных задач, перегруженностью виртуальных частных сетей (VPN) и непропатченной инфраструктурой удаленного доступа. Квалифицированных специалистов по безопасности по-прежнему очень трудно найти — их нехватка оценивается на уровне более 4 млн. человек. Казалось бы, все это создает благоприятные условия, чтобы ИИ смог исправить ситуацию с кибербезопасностью. Но несмотря на то, что для него были разработаны интеллектуальные алгоритмы, позволившие обойти лучших в мире игроков в Го, включать голосовых помощников в домах и с помощью распознавания лиц разблокировать смартфоны, ИИ так и не приблизил нас к прорыву в кибербезопасности.

Что может ИИ?

Следует заметить, что в некоторых задачах машинное и глубокое обучение хороши. Если предоставить системе много данных и научить ее выявлять тонкие закономерности, то она сможет делать это довольно успешно. Машинное обучение может принести пользу при выявлении известных угроз безопасности и неправильных конфигураций, с чем человек справляется менее успешно. Его можно задействовать в таких областях, как средства защиты от мошенничества, поскольку пытаясь обмануть банки и предприятия, мошенники обычно используют одни и те же идеи. Замечая эти мелкие детали, ИИ может помочь высококвалифицированным ИБ-специалистам выполнять работу более эффективно и результативно.

В этом отношении ИИ похож на поисковую систему Google, которая фильтрует большие объемы данных, что людям не под силу. По-настоящему его потенциал раскроется только тогда, когда появятся автономно обучающиеся машины, способные делать новые выводы на основе имеющихся шаблонов. На самом деле широко разрекламированная способность ИИ определять «нормальный» уровень, а затем выявлять отклонения, которые могут указывать на подозрительные модели, срабатывает далеко не всегда.

Сети невероятно сложны, и чем они больше, тем сложнее их сопоставлять. К этому нужно добавить тот факт, что коммерческие сети постоянно меняются, прирастая новыми моделями поведения и взаимодействия, что еще больше усложняет их структуру. Что касается систем ИИ, то для них даже простая регулярная эволюция «здоровой» сети выглядит «подозрительно», что приводит к огромному числу ложных срабатываний.

У киберпреступников также имеется в запасе несколько уловок. Они могут обмануть «умные» системы, не выходя за рамки максимально нормального поведения. С другой стороны, вынудить ИИ принимать неправильные решения могут хорошо задокументированные состязательные методы (adversarial machine learning — техника машинного обучения, которая предназначена для обмана моделей, предоставляющая им вводящие в заблуждение данные), которые создают цифровой эквивалент оптических иллюзий.

Что дальше?

Так что же делать дальше? Можно ли усовершенствовать ИИ-системы, чтобы повысить их эффективность в плане кибербезопасности? Самая большая проблема в этой области — прозрачность, т. е. способность системы объяснить свои выводы. Как это ни парадоксально, системы ИИ, которые могут объяснить, как они пришли к тому или иному решению, менее эффективны, чем загадочные «черные ящики». Пользователи не доверяют результатам этих непрозрачных систем, которые ставят их перед фактом: «произошло что-то необычное», не объясняя, почему на это стоит обратить внимание и почему это важно для бизнеса.

Урок для CISO: пользователи остерегаются ИИ

Безусловно, в ИИ-системы стоит инвестировать — это поможет выявить закономерности, которые могут повысить продуктивность службы безопасности. Но не стоит рассчитывать на то, что эта технология позволит обнаруживать новые и неизвестные угрозы или что она заменит аналитиков по безопасности. Она также не сможет автоматизировать работу по поиску информации в огромных наборах данных. В этом случае инициатива остается за экспертами, хотя в некоторых случаях ИИ может оказать им помощь.

В течение последних 50 лет мы были на расстоянии вытянутой руки от прорыва в области ИИ. Несмотря на отраслевой ажиотаж, этот прорыв по-прежнему неуловим.