Современный образ негодяя-бандита — уже давно не киношный персонаж с лоснящимся зачесом, в темных очках и с приклеенными усиками. Это может быть лысоватый мужичок в потертых трико и домашних тапочках. Чтобы злодействовать, ему даже не надо покидать нагретого местечка на диване. Потирая пузико, он может натворить дел похуже известных преступников прошлых времен. Его оружие всегда при нем: имея выход в Интернет, киберпреступник использует сотни разных способов, чтобы вторгаться в ваше информационное пространство, блокировать его, подменять и красть ваши данные, получать доступ к финансовым операциям, устанавливать вредоносные программы, провоцировать DDoS-атаки, выдавать себя за ваших агентов и партнеров или даже за вас самих в необходимых ситуациях. Но на каждого подлеца традиционно найдется герой-спасатель. И сегодня с этой ролью удачно справляется искусственный интеллект (ИИ) — один из способов обеспечения кибербезопасности.

Заборы крепче, собаки злее

Рост числа кибератак из года в год очевиден. Преступники посягают как на крупные компании и государственные структуры, так и на частных пользователей. Наивно полагать, что эта проблема кого-то может не касаться. Сегодня даже столетнюю бабушку, ни разу не прикасавшуюся к клавиатуре компьютера, может поджидать киберугроза. Нельзя говорить за весь мир, понимая, что где-то на другом конце Земли люди до сих пор носят кость носорога, продетую через нос. Однако, что касается современной России — большинство ее жителей имеет так называемый цифровой след: личные данные, оказавшиеся в сети. Завладев ими, мошенники и проделывают массу незаконных манипуляций — как правило обманным путем получают информацию и деньги. Киберпреступники могут атаковать кого угодно. И понятно, если речь идет о больших корпорациях, фондах, государственных ведомствах и т. п. — последствия могут быть поистине катастрофическими.

Если дом можно огородить забором, поставить на дверь замок и посадить во двор собаку, защищать свое информационное пространство приходится примерно так же, но с поправкой на интернет-реальность. Техники и принципы кибербезопасности развиваются с ростом числа угроз и их распространением. Грубо говоря, заборы становятся прочнее, замки надежнее, а собаки лучше выдрессированы. И именно ИИ позволяет нам усовершенствовать эту защиту. Анализируя сетевой трафик, обнаруживая аномалии и идентифицируя угрозы с его помощью и с помощью внедрения машинного обучения (МО, ML), мы можем создавать адаптивные системы, которые могут выявлять как потенциальные риски, так и уже осуществляемые атаки.

Вот, некоторые примеры подобных возможностей.

В чем нам может помочь искусственный интеллект, так это в защите от DDoS-атак (атак распределенного отказа в обслуживании). ИИ, анализируя данные, совершенствует способы обнаружения подобных угроз, что дает ему возможность смягчить DDoS-атаку. Алгоритмы машинного обучения могут помочь идентифицировать аномальный трафик и отделить его от легитимного. Могу сказать, что эту технологию мы уже применяем у себя. Как, собственно, и другое направление — борьбу с ботами и автоматизированными атаками. В данном случае ИИ проводит мониторинг активности на веб-сайтах и в приложениях, анализирует поведение их участников и таким образом выявляет подозрительные действия и блокирует их.

Искусственный интеллект также может анализировать большие данные (Big Data) и облачные решения. С увеличением объемов данных в кибербезопасности важны их адекватная обработка и анализ. Облачные решения и большие данные совместно с ИИ помогают обнаруживать угрозы и анализировать данные в реальном времени. ИИ также может помочь в создании реактивных сценариев и ускорить реагирование на атаки. В таком случае мы говорим об автоматизации и оркестрации. Использование подобных решений для реагирования на угрозы становится сегодня все более распространенным.

Все эти тренды показывают, как ИИ становится важным инструментом в сфере кибербезопасности, помогая организациям более эффективно защищаться от постоянно меняющихся угроз.

Предугадать, чтобы защитить

Безусловно, побеспокоиться заранее о защите своих данных — значительно эффективнее, нежели решать проблему уже после ее появления. Искусственный интеллект делает системы безопасности более гибкими, адаптивными, способными к анализу, а значит к более быстрой реакции на появление угроз. Приводя аналогию — мы меняем старый деревянный заборчик на укрепленную стену, да еще и ставим по периметру камеры наблюдения. Уже существующие способы защиты мы можем усилить с помощью искусственного интеллекта. Какими же способами?

  • Обнаружение аномалий. Системы ИИ имеют возможность создавать модели поведения для сетей и приложений, идентифицировать необычные действия и предупреждать о возможных атаках или нарушениях безопасности.
  • Прогнозирование угроз. ИИ анализирует данные и выявляет паттерны, что позволяет просчитать на будущее потенциальные угрозы и атаки. Это помогает организациям принимать меры заранее.
  • Автоматическая реакция на угрозы. ИИ может автоматически реагировать на выявленные угрозы, например, блокировать доступ или изолировать уязвимые системы, что уменьшает время реакции и риск для организации.
  • Фильтрация вредоносных трафиков. ИИ способен выявлять и блокировать вредоносный трафик, включая DDoS-атаки, внедрение ботов и зловредных скриптов, еще до того, как они достигнут сети организации.
  • Мониторинг и анализ сетевых уязвимостей. ИИ постоянно сканирует сети на предмет уязвимостей и рекомендует меры для их устранения, что помогает в предотвращении атак.
  • Снижение ложных срабатываний. ИИ может уменьшить количество ложных срабатываний и фальшивых тревожных сигналов, что улучшает эффективность системы безопасности и экономит ресурсы для реагирования на реальные угрозы.
  • Адаптивная безопасность. ИИ создает возможность для систем защиты быстро адаптироваться к новым угрозам и изменениям в сетевой среде, что особенно важно в условиях постоянно меняющихся киберугроз.

И лает, и кусает, и на двор не пускает

Решая вопросы по обеспечению безопасности от киберугроз, мы можем не только внедрять искусственный интеллект для прямого решения существующих задач, но и использовать его для обучения определенных систем тем или иным действиям при появлении сходных задач. Это все равно, что собака, которая теперь надрессирована не просто лаять на прохожих, а различать, кто нам друг, а кто враг. Одному вилять хвостом, а другого кусать. Метод машинного обучения в данном случае будет в роли дрессировщика. Использование MО в кибербезопасности позволяет организациям более эффективно обнаруживать и предотвращать киберугрозы, улучшать безопасность и снижать риски.

Чему же он может научить?

Обнаружение аномалий и атак

  • Сетевое обнаружение аномалий. МО используется для анализа сетевого трафика и выявления необычных или подозрительных паттернов. Это позволяет обнаруживать атаки, такие как DDoS, бот-сети и внутренние угрозы.
  • Анализ журналов и событий. МО помогает в обработке и анализе событий безопасности и журналов, выявляя аномалии и подозрительные активности в информационных системах.
  • Анализ поведения пользователя. Используя МО, можно анализировать поведение пользователей и выявлять отклонения от нормы, что может указывать на компрометацию аккаунтов.

Фильтрация спама и фишинговых атак

МО может быть использовано для автоматического выявления и блокирования спам-сообщений и попыток фишинга.

Обнаружение вредоносных программ и взломов

МО способно анализировать файлы и сценарии для выявления вредоносных кодов и несанкционированных вторжений.

Автоматизированное реагирование

МО позволяет создавать системы, которые могут автоматически реагировать на угрозы и атаки, например, блокировать доступ или изолировать уязвимые системы.

Прогнозирование угроз

МО используется для анализа данных и прогнозирования потенциальных угроз, что помогает организациям заранее подготовиться к вероятным нападениям и уменьшить тем самым их риски.

Анализ больших данных в реальном времени

МО помогает обрабатывать и анализировать огромные объемы данных в реальном времени, что необходимо для эффективной кибербезопасности.

Анализ сетевых уязвимостей

МО может автоматически сканировать сети на предмет уязвимостей и рекомендовать меры для их устранения.

Мониторинг социальной инженерии

МО готово анализировать текстовые и визуальные данные для выявления потенциальных попыток социальной инженерии и фишинговых атак.

Обратная сторона медали

Сказать по правде, среди собак есть множество пород, в охрану им вверены самые разные угодья и уникального рецепта — одна собака защитит дом и сад в пятьсот квадратов — просто нет. Все индивидуально. Где-то пес справится один, где-то их придется заводить пять-десять. Много вопросов и к дрессировщикам. Да, и воры все изворотливее и хитрее. В системе защиты от кибератак всё примерно так же. Точность обнаружения аномального поведения в Интернете с использованием нейронных сетей может варьироваться в зависимости от множества факторов, включая тип данных, характер аномалий и качество обучающих данных. Многое зависит от конкретных систем и решений. Например, в сетевом обнаружении аномалий, где нейронные сети анализируют трафик, точность может быть высокой, особенно при использовании глубокого обучения. Однако стоит отметить, что результат может быть не столь значителен в случаях, когда аномальное поведение сложно выделить из-за большой изменчивости в данных или из-за новых и неизвестных типов угроз. В таких ситуациях важно подходящее обучение нейросетей и систематическое обновление их моделей для адаптации к новым угрозам.

Есть еще очень важный аспект! Стремясь к точности обнаружения аномалий, мы принимаем определенные риски. Важно понимать, что достичь 100%-ного результата в кибербезопасности практически невозможно из-за постоянной эволюции киберугроз и потенциальной неопределенности в данных. Поэтому часто важно внедрять дополнительные меры и системы реагирования на инциденты. Это позволит минимизировать последствия атак даже при несовершенстве обнаружения аномалий.

Принимаем вызов

Попробуем разложить все по полочкам. Обеспечение кибербезопасности с использованием искусственного интеллекта, увы, сталкивается с несколькими значительными вызовами и препятствиями:

  • Эволюция угроз. Киберугрозы постоянно развиваются, злоумышленники становятся все более хитрыми. ИИ-системы должны постоянно адаптироваться к новым видам атак и угроз, чтобы оставаться эффективными.
  • Достоверность данных. Для МО и ИИ требуются большие объемы данных для обучения моделей. Однако, если данные неточны или подвержены манипуляциям, это может привести к недостоверным результатам и неверным выводам.
  • Ложные срабатывания. Использование ИИ в кибербезопасности может вызывать ложные срабатывания, когда легитимная активность или трафик неправильно идентифицируются — как аномальные или вредоносные. Это может создавать излишнюю тревожность и затраты на дополнительные проверки.
  • Приватность данных. Обработка больших объемов данных в кибербезопасности может затрагивать вопросы приватности и конфиденциальности. Соблюдение нормативных актов и законов о защите данных — это по сути вызов, особенно при использовании личных данных.

Ну, и напоследок — несколько слов о роли личности. Или личностей. К сожалению, сегодня на рынке кибербезопасности мы можем констатировать дефицит экспертов. Для разработки и настройки ИИ-систем требуется наличие квалифицированных специалистов. Однако отсутствие профессиональных кадров в этой области может затруднять внедрение всех вышеперечисленных решений. Кроме того! Недоброжелатели не сидят на месте и используют любую возможность. Например, поддельное обучение и атаки на модели. Злоумышленники могут попытаться атаковать системы ИИ, обманывая модели, подвергая их атакам или преподнося ложные данные, которые при обучении модель может принять за верные.

Не будем забывать и об издержках. От компании, стремящейся к обеспечению адекватной защиты от киберпреступников, требуется масса усилий и вложений. Разработка и эксплуатация ИИ-систем в кибербезопасности может потребовать значительных ресурсов и наращивания вычислительной мощности, что может быть финансово и технически сложным для некоторых организаций. Внедрение ИИ-систем в существующую инфраструктуру и бизнес-процессы может быть сложным и требовать пересмотра и модернизации текущих систем и процедур. К тому же, мы можем столкнуться с проблемами в интерпретируемости и объяснимости. Многие модели ИИ, особенно глубокие нейронные сети, могут быть сложными и труднопонимаемыми. Это создает новые вызовы в объяснении, как именно модель принимает решения, что важно для доверия и нормативного соответствия. Вот почему обучение и модернизация моделей машинного обучения требует постоянных вложений средств финансовых и ресурсов интеллектуальных.

Ответом на эти вызовы может стать лишь комплексный подход, включая постоянный мониторинг и обновление систем, обучение персонала и соблюдение нормативных актов. Кибербезопасность с использованием ИИ требует постоянного внимания и инвестиций, чтобы эффективно справляться с изменяющимися киберугрозами. Укреплять заборы, вешать новые замки и дрессировать собак мы будем столько, сколько хотим жить в относительной безопасности. И, кстати, о том, какой забор нужно построить именно сейчас, нам тоже скажет искусственный интеллект — проведя анализ потенциальных угроз и просчитав картину будущего.

Артём Избаенков, директор по развитию направления кибербезопасности EdgeЦентр, член правления Ассоциации руководителей служб информационной безопасности, член ISDEF