Искусственный интеллект применяется уже несколько десятков лет. Первоначально он работал на основе набора заранее заданных правил. В 70-х годах широкое распространение получили технологии на основе нейронных сетей, которые посредством использования самообучающихся моделей определяли, какие данные являются нормальными, а какие – не укладывающимися в стандартную модель поведения информационной системы. В начале 2000-x годов началось активное развитие ИИ для решения практических задач: алгоритмы научились обрабатывать изображения, видео и голос. «Развитие ИИ в сфере информационной безопасности началось в 2005-2008 годах и было направлено в первую очередь на защиту наиболее атакуемых ресурсов – веб-серверов, но вскоре нейронные сети стали использовать и в других решениях, например при разработке эвристических модулей антивирусов», – говорит Андрей Заикин, руководитель направления информационной безопасности «Крок».

Камиль Газизов, генеральный директор «РТ-Информ» (Центр компетенции ИТ и ИБ «Ростеха»):
«Одной из главных проблем в сфере ИИ на сегодня является создание автономной интеллектуальной системы, способной к принятию самостоятельных решений в зависимости от ситуации»

Сегодня искусственный интеллект вышел из ИТ-лабораторий в бизнес-среду, где не только стал модной тенденцией, но и нашел вполне практическое применение: для снижения издержек и оптимизации внутренних процессов. И в ближайшие десять лет технологии ИИ повлияют практически на все сферы бизнеса. По прогнозам международной исследовательской компании Markets and Markets, к 2020 году рынок ИИ вырастет до 5 млрд долл. Как объясняет Камиль Газизов, генеральный директор «РТ-Информ» (Центр компетенции ИТ и ИБ «Ростеха»), традиционно под ИИ подразумевают систему, предназначенную для автоматизации решения интеллектуальных задач. Одной из главных проблем в сфере ИИ на сегодня является создание автономной интеллектуальной системы, способной к принятию самостоятельных решений. Пока эта система использует уже заложенные в нее правила или алгоритмы. Внедрение ИИ открывает новые возможности перед специалистами по безопасности, но не отменяет их ведущей роли. Человеческий разум по-прежнему значим и необходим. Все процессы остаются под контролем специалистов по безопасности. Тем не менее попытки приблизиться к созданию автономного ИИ будут предприниматься и, возможно, со временем увенчаются успехом.

Что касается кибербезопасности, то искусственный интеллект поможет эффективнее решать задачи, которые ранее решались традиционными способами. В частности, по словам Газизова, благодаря использованию ИИ повысится уровень обнаружения угроз, сократится время реакции и усовершенствуются способы определения реальных попыток нарушения периметра безопасности. Кроме того, ИИ может устранить существующие бреши в сфере ИБ, которые появляются вследствие стремительного развития современных технологий, включая Интернет вещей.

По словам Рустэма Хайретдинова, генерального директора «Атак Киллер», как и в любой другой области, в кибербезопасности ИИ помогает оперативно анализировать большие объемы данных, освобождать операторов от рутинной и часто монотонной работы. Улучшение качества аналитики и исключение человеческого фактора позволяют эффективнее обнаруживать и отражать новые атаки.

Перспективы применения ИИ в кибербезопасности

Тимур Аитов, заместитель генерального директора группы компаний «Программный Продукт»:
«Искусственный интеллект можно сравнить с ковшом экскаватора, который удесятеряет силы землекопа и позволяет перелопатить огромные объемы информации там, где появляются большие данные»

Тимур Аитов, заместитель генерального директора группы компаний «Программный Продукт», считает, что в целом перспективы применения ИИ в кибербезопасности обширны и без технологий ИИ обойтись в среднесрочной перспективе будет невозможно. С ним согласен и Заикин: «Современный ИИ – это система, способная выискивать аномалии, которые невозможно описать определенными правилами. В этом его главное преимущество по сравнению с классическими системами информационной безопасности, работающими на основе свода правил, задаваемых человеком».

Любое событие, в том числе событие информационной безопасности, всегда оставляет информационные следы, продолжает Аитов. Если стоит задача разобраться в том, что случилось, оценить вероятность повторения, дать прогноз, то информационный след должен быть максимально полным. Приходится собирать и анализировать огромное количество информации, поступающей из самых разнообразных первичных источников. При этом перерабатываются горы пустой информационной «руды», и всё для того, чтобы выявить крупицы знаний – основных взаимосвязей, позволяющих понять, что собственно случилось и почему. Здесь на помощь приходит ИИ, способный оперативно переработать и выявить эти закономерности и факты для дальнейшей оценки и принятия решений человеком. Искусственный интеллект играет роль помощника в тандеме человек-машина. Возможно, роль человека постепенно станет уменьшаться, а машины будут становиться все более самостоятельными. Но сегодня без участия оператора тандем пока работать не может. Что касается эффективности, то к каким-то радикальным изменениям в борьбе с преступниками технологии ИИ пока не приводят, но в среднесрочной и долгосрочной перспективе прогресс пойдет именно по этому пути – следить за ИТ-системами будут ИТ-системы. В выигрыше окажутся те структуры, те организации, те страны, которые первыми начали использовать эти подходы.

Влияние ИИ на информационную безопасность

Новые системы класса SIEM (security information and event management) обойтись без технологий машинного обучения и ИИ уже не могут, говорит Аитов. Системы передают предупреждения и объявляют тревогу, вычисляют типовые (средние) состояния работы систем, ищут отклонения от этих средних (или аномалии) – все это даже теоретически выполнить человеку невозможно. Искусственный интеллект используют не только SIEM, но и системы обнаружения (IDS), системы предотвращения вторжений (IPS), системы управления идентификацией и доступом (IAM), вся аналитика BI и системы продвинутой антивирусной защиты.

По словам Заикина, наибольшему влиянию со стороны ИИ подвергаются системы сетевой безопасности, проактивного обнаружения скомпрометированных узлов сети и системы сбора и анализа событий ИБ. Кроме того, имеются решения, использующие алгоритмы машинного обучения для решения таких задач, как обнаружение аномалий в работе с файловыми ресурсами, базами данных, бизнес-системами, а также предназначенные для выявления мошеннических действий со стороны сотрудников компании.

Наибольшую выгоду от применения ИИ получат те сегменты, где человек справляется хуже машины как по точности определения инцидентов, так и по скорости реакции. «Это противодействие мошенничеству (anti-fraud), анализ трафика на выявление атак, анализ аномального поведения на основе корреляции событий в информационной системе и другие области, где точность и скорость реакции являются критическими для защиты», – перечисляет Хайретдинов.

Барьеры и проблемы, осложняющие использование ИИ в информационной безопасности

В области информационной безопасности обучение на старых данных особого смысла не имеет, в то время как в традиционных для ИИ областях (распознавание лиц и голоса, машинный перевод с одного языка на другой, управление запасами, автопилоты) такой алгоритм – базовая практика. «Старые, уже известные атаки отражаются без всякого ИИ, на уровне сигнатур, и, обучаясь на них, мы можем уподобиться старым генералам, которые готовятся к прошедшей войне. Опасными являются только новые атаки, а над их созданием трудятся лучшие умы киберпреступного мира, и предугадать их идеи машине пока сложно. Поэтому ИИ в кибербезопасности использует другие алгоритмы, менее отлаженные», – считает Хайретдинов.

Аитов особых барьеров для внедрения ИИ не видит, а проблемы могут быть связаны с распределением зон ответственности: в какой мере можно делегировать системам ИИ принятие важнейших решений, кто именно будет нести ответственность за принимаемые системой решения. Проблема может быть легко устранена, если система всегда будет работать в связке с оператором, который примет важнейшие решения. Тогда и вся ответственность за решения и использование этого инструмента ляжет на него. Те же, кто будут делегировать ответственность роботам, столкнутся с проблемами. Придется аккуратно отслеживать и правовые аспекты действия систем ИИ, и подсчитывать возможные убытки – кто их будет компенсировать, если срабатывание было ложным? Пока в этой части полностью доверять машинам мы не можем.

Андрей Заикин, руководитель направления информационной безопасности «Крок»:
«Искусственный интеллект – не панацея от всех проблем сетевой безопасности, а дополнительное средство, которое позволяет обнаруживать атаки и реагировать на них. При этом классические системы ИБ по-прежнему необходимы и востребованы»

Барьером, осложняющим использование ИИ, могут стать затруднения в интерпретации результатов работы алгоритмов, считает Заикин. Те системы ИИ, которые придерживались нисходящей парадигмы, ориентировались на четкие правила и могли «объяснить», почему та или иная активность является аномальной. Результат работы систем на основе нейронных сетей, придерживающихся восходящей парадигмы, не всегда так просто интерпретировать. Зачастую аналитику требуется немало времени, чтобы понять, действительно ли активность связана с вредоносными действиями злоумышленника или, допустим, в компании появился новый сотрудник, которого активно привлекают к проектам. Однако сейчас уже есть решения, которые объединяют эти два подхода, благодаря чему интерпретируемость результатов значительно повышается, а значит, сокращается время на расследование инцидента и снижается нагрузка на эксплуатационный персонал.

Еще одна сложность заключается в том, что современные системы ИИ могут обучиться совсем не тому, чему их изначально планировали научить разработчики, продолжает Заикин. Качество работы таких систем в большинстве случаев зависит от того, на каких данных они обучаются. Если в этих данных изначально присутствует аномальная активность, то ИИ будет в дальнейшем квалифицировать ее как нормальную и, следовательно, не обнаружит. Безусловно, систему можно дообучить в процессе эксплуатации, но такие сложности нельзя оставлять без внимания.

Нападение и защита: ИИ меняет соотношение сил

Хайретдинов считает: с использованием ИИ время реакции на новые угрозы может сократиться до такого минимума, что отражать новые атаки можно будет в реальном времени.

Заикин не прогнозирует кардинальных изменений в соотношении сил: «Хакеры придумывают новые способы взлома информационных систем, защитники разрабатывают новые средства и технологии защиты. Решения на основе ИИ сегодня способны распознавать уже существующие и многие новые виды атак. Но ведь и злоумышленники не стоят на месте и тоже могут использовать ИИ для достижения своих целей».

Аитов считает, что защита , как правило, всегда опережает, особенно при использовании ИИ, – на какую-то небольшую долю, скажем на 10%. Этого небольшого перевеса мы просто не видим. Защита должна соответствовать ценности того актива, который защищает. Можно сделать защиту абсолютно надежной. Но такая защита нецелесообразна – бизнес не сможет функционировать. Всегда приходится балансировать между разумным, удобным и достаточным. Это так называемый риск-ориентированный подход, который обязывает какой-то гол в свои ворота пропускать. Счет идет на уровне 1:1, и явного перевеса в чью-то сторону нет. Но соотношение сил и меры противодействия всегда будет определять защита – у нее возможностей больше.

Экономия благодаря ИИ

Киберпреступность – большой бизнес, который готов инвестировать значительные средства в разработку своих инструментов. Так возможно ли благодаря использованию ИИ избавиться от пропорционального роста инвестиций, необходимых для модернизации средств защиты?

Рустэм Хайретдинов, генеральный директор «Атак Киллер»:
«Старые, уже известные атаки отражаются без всякого ИИ, на уровне сигнатур, и, обучаясь на них, мы можем уподобиться старым генералам, которые готовятся к прошедшей войне»

Безусловно, ИИ облегчает усилия защиты, растут ее качественные показатели. «ИИ решает и кадровые вопросы. Эксперты – высокооплачиваемая категория сотрудников, их может не хватать. Если же под началом специалиста по информационной безопасности работают системы ИИ, то его возможности удесятеряются, он становится более производительным, и таких сотрудников нужно уже меньше», – говорит Аитов. Что касается инвестиций в инструменты со стороны самих преступников, то успех киберпреступлений во многом зависит от мастерства злоумышленников. У киберпреступников есть свой инструментарий – пакеты, утилиты, социальная инженерия. Сделав вредоносную программу, они ее рассылают, а эффект связан с легким тиражированием ПО.

Хайретдинов же полагает, что вряд ли только посредством обучения систем защиты удастся сократить рост инвестиций в защиту. Скорее, появятся самозащищающиеся информационные системы с невозможностью выполнения команд, кроме заранее определенных. Такие системы распространены в критических отраслях (атомной, космической) и в армии, но бизнес ради удобства выбрал «системы для домохозяек» и теперь, навешивая на них дополнительные средства, пытается сделать их безопасными. Так что успех зависит больше от объединения сил разработчиков ИТ-систем и безопасников, чем от обучения «навесных» систем защиты.

Противостояние машин

Развитие и использование ИИ – это палка о двух концах, предупреждает Газизов. Безусловно, эту технологию активно осваивают и злоумышленники. Первоначальные атаки направлены на то, чтобы объект «засветил» методы защиты. И после обработки полученной информации идет целенаправленный удар по системам.

Применение ИИ атакующими – это свершившийся факт, не сомневается Хайретдинов. Атакующие обучают свои системы ИИ на атаках на системы защиты, обладают полной информацией об особенностях работы конкретных брендов и подстраивают способы атаки, во время ложных атак «засвечивая», чем именно защищается атакуемая цель. Массовые DDoS-атаки с помощью автоматического заражения или подбора паролей большого количества объектов автоматизации, автоматизированный подбор капчи, имитация поведения человека на веб-сайте – это уже реалии сегодняшнего дня. Противоборство машин уже происходит, и противостоять атакующим роботам могут только роботы-защитники.

Кибервойны уже идут, и преступники все активнее используют ИИ, уверен Аитов. А вот кто кого победит – это вопрос качества разработки. Здесь многое будет зависеть как от быстродействия машин, так и от изощренности и качества алгоритмов.

Киберпреступность – это целая отрасль, в ней задействовано множество людей по всему миру. Им доступны все те современные технологии, которые есть на ИТ-рынке. Например, активно развивается сервисный подход. Существуют сервисы, которые позволяют «прогнать» вредонос и выяснить, обнаруживается ли он антивирусными движками или «песочницами». На рынке есть алгоритмы машинного обучения, которые используют одновременно две машины. Одна из них перепроверяет действия другой, и таким образом осуществляется обучение обоих алгоритмов. Однако подобный сценарий взаимодействия используется для очень ограниченного круга задач. Между тем способов проникновения в ИТ-инфраструктуру – тысячи, и у каждого есть свои особенности и модели обнаружения аномальной активности. Поэтому на данном этапе развития технологий столкновение двух ИИ – злоумышленника и защитника – маловероятно, считает Заикин.

***

Внедрение технологий всегда создает «гонку вооружений» за миллионной прибылью, говорит Газизов. Несомненно, те, кто занимается защитой информации, столкнутся с новыми вызовами. Будь проактивным либо умри – закон новой реальности. Однако в погоне за новшествами не стоит забывать о базисе. Согласно последним исследованиям PwC, 40% российских компаний не имеют стратегии информационной безопасности. Необходимо вести работу и в этом направлении, не забывая о внедрении новых технологий, повышении квалификации сотрудников, взаимодействии и обмене опытом между ИБ-подразделениями предприятий и холдингов.

Будущее информационной безопасности – за интеллектуальными системами, способными обеспечить глубокую аналитику, прогнозирование всего спектра рисков и угроз. Внедрение таких систем создаст необходимость перестройки бизнес-процессов предприятий с учетом использования современных ИТ.