Сегодня ИИ активно используется для работы с системами безопасности по всему миру. Для молодых специалистов использование ИИ открывает множество возможностей — от написания простого кода до поиска и обобщения справочной информации. На текущем этапе развития нейросетей трудно говорить о полной автономии от человека: анализ сложных атак и принятие стратегических решений по-прежнему остаются за специалистами.
Тем не менее, большие языковые модели (LLM) уже давно используются для отражения кибератак. На протяжении 30 лет команды, занимающиеся обнаружением и предотвращением атак, используют машинное обучение в системах обнаружения аномалий (ADS) и системе обнаружения вторжений (IDS) — это можно назвать предтечей использования ИИ в кибербезопасности. Сегодня автоматизированные решения внедрены во многие процессы.
Обсудим, смогут ли ИИ-решения в будущем автоматически предотвращать взломы.
Сферы ИИ-автоматизации в кибербезопасности
Активнее всего ИИ интегрируют в процессы составления документации и реагирования на инциденты: LLM быстрее обычного человека могут проанализировать события информационной безопасности в SOC и подготовить отчет. В то время как безопасники будут задаваться вопросами о возможном или случившемся инциденте, обученная нейросеть автоматически соберет и предоставит всю необходимую информацию.
Помимо этого, LLM помогают собирать рутинные отчеты о работе систем безопасности. Чтобы вручную собрать полную картину, специалисту приходится анализировать данные из нескольких разрозненных источников — таких как CSPM, DSPM, ASPM, IAM и др. Этот процесс может занять часы. В то же время грамотно внедренный ИИ способен быстро агрегировать данные, обработать их и сформировать итоговый отчет по заданному шаблону.
Помимо бумажной работы, ИИ на автоматическом уровне может взять на себя поиск популярных уязвимостей. Нейросеть с загруженной базой данных известных слабостей системы автоматически анализирует код и предлагает исправления. Уже сегодня, по данным Google DeepMind, ИИ на автоматическом уровне может устранять до 15% неисправностей кода. Аналитики оценивают, что постепенно нейросети смогут взять на себя обнаружение и устранение около 80% уязвимостей.
Еще одна важная сфера применения ИИ — анализ дипфейков. Нейросети распознают аудио- и видеоподделки по признакам, которые ускользают от человеческого восприятия: выявляют искажения звуковых волн, повторяющиеся фрагменты, неестественную мимику. Даже самые продвинутые подделки пока не могут обмануть развитые системы безопасности, чем активно пользуются, например, банки.
Препятствия на пути к полной автоматизации
Несмотря на очевидные плюсы, полностью полагаться на ИИ в сфере кибербезопасности все еще рискованно. Качество сгенерированного кода не всегда соответствует требуемому уровню надежности. Исследование GitHub показало, что специалисты, работающие с помощью Copilot, допускают на 41% больше ошибок, из-за чего может возникнуть нечитаемый код, требующий исправлений.
Еще один недостаток — сложность внедрения и требовательность ИИ к ПО. Нейросети зависят от качества и объема данных, используемых для обучения. Это означает, что необходимо привлекать дополнительные человеческие и технические ресурсы на этапе интегрирования ИИ-решений, что означает дополнительные затраты.
Не стоит забывать и об обратной стороне медали — нейросетями активно пользуются не только для защиты данных, но и для хакинга и взлома. Для молодых хакеров ИИ становится помощником, справочником и исполнителем. При помощи нейросетей они могут прописывать сценарии будущих атак или писать код для вредоносных программ.
Одним из самых важных препятствий является недоверие к сохранности данных в ИИ. LLM запоминает все, что в нее загружают пользователи, и может раскрывать эти данные в контекстных запросах. Опасные ситуации могут возникнуть при атаке на внутреннюю сеть, когда до корпоративного ИИ доберутся злоумышленники и смогут получить внутренние данные. Эту проблему можно решить с помощью четкой регламентации использования нейросети внутри компании и разработки методов защиты локальных нейросетевых моделей.
Подведем итоги
ИИ можно доверить автоматический анализ больших потоков данных, сигнализировать о подозрительной активности, которую обычные системы безопасности могут пропустить. ИИ быстрее человека адаптируется к новым киберрискам и изменяющимся условиям, что позволяет автоматически подстраиваться под новые атаки. Кроме того, он может взять на себя рутинную работу, например, первичное реагирование на инциденты безопасности. Тем не менее, в настоящее время полностью доверять ИИ и передавать ему все процессы пока является ненадежным решением.
