Уже давно стало ясно, что компаниям нужно в обязательном порядке реагировать на все возрастающее количество предупреждений систем безопасности. А с учетом скорости, с которой в 2017 году распространялись по миру атаки вирусов-вымогателей, и все более жестких законодательных требований реакция должна быть гораздо более быстрой. В условиях дефицита соответствующих специалистов компании обращаются к средствам машинного обучения и искусственного интеллекта для автоматизации процессов безопасности.
Что такое искусственный интеллект и машинное обучение?
В контексте информационной безопасности искусственный интеллект – это ПО, способное интерпретировать состояние среды, распознавать происходящие в ней события и самостоятельно принимать необходимые меры. ИИ особенно хорошо справляется с распознаванием закономерностей и аномалий, поэтому может быть прекрасным инструментом обнаружения угроз.
Системы машинного обучения – это ПО, способное самостоятельно обучаться на введенных человеком данных и результатах выполненных действий. Средства машинного обучения способны строить прогнозы, опираясь на сведения о развитии событий в прошлом.
Применение искусственного интеллекта и машинного обучения для обнаружения угроз
В компаниях уже начали пользоваться искусственным интеллектом и машинным обучением для распознавания угроз безопасности и реагирования на них. Появились достаточно мощные инструменты, но нужно определиться, как включить их в общую стратегию кибербезопасности предприятия.
Например, в банке Barclays Africa применяют искусственный интеллект для обнаружения признаков компрометации систем в локальной корпоративной сети и в облаке. При этом требуется обработка гигантских объемов данных, а в связи с быстрым изменением мирового ландшафта угроз и растущим взаимодействием атакующих, для противостояния им необходимы самые передовые технологии и методы.
Внедрив машинное обучение, людям можно поручить задания, с которыми они справляются лучше машин. Сетуя на острый дефицит специалистов, в банке отмечают, что решать задачи безопасности вручную сегодня уже просто невозможно.
В компании Cadence Design Systems, предоставляющей инженерные услуги, внедрили системы непрерывного мониторинга угроз, помогающие защищать ее интеллектуальную собственность. Ежедневный трафик данных безопасности, поступающих от 30 тыс. оконечных устройств и 8,2 тыс. пользователей, составляет порядка 30-60 Гбайт, а аналитиков, которые их изучают, в компании всего 15. И это еще не все данные о сети, которые можно было бы обрабатывать, отмечают в Cadence, и, поскольку необходим анализ еще большего объема, приходится внедрять средства искусственного интеллекта, позволяющие более эффективно обнаруживать и устранять проблемы.
Для мониторинга поведения пользователей и систем, а также для управления доступом в Cadence пользуются соответствующими продуктами Aruba Networks, дочерней компании HPE. Как отмечают в Cadence, важным свойством платформы Aruba является то, что она работает по принципу обучения без учителя. Атаки меняются и становятся все сложнее, добавляют в компании: например, в течение какого-то времени может иметь место малозаметная вредоносная активность, которая лишь позднее даст злоумышленнику возможность украсть большой объем данных, инструменты же машинного обучения помогают обнаружить подобное.
Из-за перегруженности большими объемами данных по безопасности страдают даже некрупные компании. Например, у Daqri, производителя очков и шлемов дополненной реальности для архитекторов и специалистов производственных предприятий, в штате только 300 сотрудников, причем в центре обеспечения безопасности работает всего один человек. При этом процессы анализа и реагирования на события безопасности чрезвычайно трудоемкие.
С помощью средств искусственного интеллекта от компании Vectra Networks в Daqri ведут мониторинг трафика приблизительно 1,2 тыс. устройств, работающих в корпоративной среде. Автоматизированные средства способны заметить, когда кто-то выполняет сканирование портов, переходя от хоста к хосту, или, допустим, необычным способом пересылает большие объемы данных. В компании собирают всю соответствующую информацию, анализируют ее и вводят в модель глубокого обучения. Благодаря этому достигается возможность надежно прогнозировать вероятность того, что тот или иной вид трафика окажется вредоносным.
Такой анализ необходимо выполнять быстро, сократив до минимума время между распознаванием и реакцией. Искусственный интеллект позволяет ускорить разбор инцидентов и тем самым улучшить понимание происходящего в корпоративной сети, точнее прогнозировать серьезные утечки, быстрее обнаруживать инциденты и оперативно реагировать на них, чтобы минимизировать возможный ущерб.
Применение искусственного интеллекта для обеспечения безопасности растет
Искусственный интеллект и машинное обучение существенно ускоряют реагирование на угрозы, признают аналитики Nemertes Research. По их словам, сегодня это уже серьезный рынок, сформированный под влиянием реальной потребности.
В Nemertes провели глобальное исследование, посвященное безопасности, и его результаты свидетельствуют: в среднем на обнаружение атаки и реагирование на нее в организациях уходит 39 дней, однако в некоторых компаниях сумели сократить это время до считанных часов. Скорость реагирования напрямую зависит от уровня автоматизации, которая обеспечивается средствами ИИ и машинного обучения.
Среднее время обнаружения атаки – час. В самых эффективных компаниях, применяющих машинное обучение, на обнаружение уходит менее 10 минут, а в отстающих – дни или недели. Что касается среднего времени анализа угроз, оно составляет три часа. В лучших компаниях на такой анализ уходят минуты, в худших – дни или недели. Поведенческий анализ угроз уже применяется в 21% компаний, участвовавших в опросе, и еще в 12% сообщают, что внедрят соответствующие средства к концу текущего года.
На передовой находятся компании сферы финансовых услуг. Поскольку их данные имеют повышенную ценность, они обычно по кибербезопасности идут на шаг впереди всех и вкладывают значительные средства в новые далеко не дешевые технологии.
ИИ не является по-настоящему разумным – он не может понять идею, лежащую в основе той или иной атаки. Поэтому человек по-прежнему является ключевым элементом любого решения в области киберзащиты |
По масштабам применения ИИ и машинного обучения в целом показатели еще выше. Согласно исследованию Vanson Bourne, сегодня в 80% организаций применяют для тех или иных целей искусственный интеллект, и это уже окупается. Больше всего дивидендов он приносит в области исследований и разработки новых продуктов: 50% респондентов сообщили, что новшество обеспечивает положительные результаты. Второе и третье места – у цепочки поставок (46%) и основной деятельности (42%). Ненамного отстают безопасность и управление рисками: 40% респондентов сообщили о положительном опыте применения ИИ в этих областях.
Перечисленные показатели продолжат расти: как выявило недавнее исследование Spiceworks, в 30% организаций, имеющих более 1 тыс. сотрудников, применяют искусственный интеллект в ИТ-службах, в 25% собираются начать это делать в следующем году.
В маркетинговом агентстве Garrigan Lyman Group внедряют искусственный интеллект и машинное обучение для решения целого ряда задач кибербезопасности, в том числе для обнаружения необычной активности сети и пользователей, а также для распознавания новых кампаний фишинга. Без новых технологий было бы невозможно нормально работать, поскольку злоумышленники уже давно прибегают к автоматизации своей деятельности, признаются в Garrigan Lyman.
Искусственный интеллект и машинное обучение обеспечивают этой компании преимущество. Сама она небольшая, всего 125 сотрудников, но благодаря облачным сервисам имеет возможность быстро внедрять самые новые технологии. В Garrigan Lyman удается вводить в эксплуатацию полезные новшества всего за пару недель. В частности, здесь пользуются средствами безопасности с искусственным интеллектом компаний Alert Logic и Barracuda Networks, и, как признаются в Garrigan Lyman, системы «умнеют буквально на глазах».
Искусственный интеллект помогает системам адаптироваться к требованиям компании без объемного предварительного обучения. Например, как отмечают в Barracuda, модель ИИ может самостоятельно понять, что, когда генеральный директор компании определенного типа пользуется некорпоративным адресом электронной почты, это аномалия. «В некоторых организациях, если руководитель общается через личную почту на мобильном устройстве, это норма, а вот если главный бухгалтер отправляет сообщения с персонального адреса, это уже аномалия», – добавляет Асаф Сайдон, вице-президент по сервисам обеспечения безопасности контента Barracuda.
Еще одно преимущество облачной доставки: разработчикам проще совершенствовать свои продукты исходя из клиентских откликов.
«Кибербезопасность – это как соседская бдительность: если я заметил что-то подозрительное в нашем квартале, то предупрежу других», – говорит Крис Гейзер, директор по технологиям Garrigan Lyman. Фишинговые сообщения или сетевые атаки могут быть обнаружены раньше в других часовых поясах, благодаря чему у компаний появляется время подготовиться. Естественно, должно быть доверие к поставщику сервиса. В Garrigan Lyman при выборе поставщиков проводили подробный анализ – например, удостоверялись в том, что кандидат придерживается определенных норм проведения аудита, и в том, что доступ к клиентским данным могут получить только уполномоченные лица.
Недоверие к новшествам затрудняет переход от традиционных процессов к автоматизации на основе искусственного интеллекта – ведь кроме знания особенностей работы вашего поставщика не помешают сведения о том, как именно ИИ принимает решения. Принципы работы экспертных систем должны быть понятными, чтобы им можно было доверять. Понимая, как действует система, клиент дает свои отзывы и пожелания, это помогает совершенствовать модели машинного обучения.
В компании LexisNexis Legal and Professional 12 тыс. ее сотрудников недавно начали для защиты электронной почты пользоваться системой GreatHorn. Теперь, если, к примеру, начинают поступать сообщения из домена, по написанию похожего на хорошо известный, система автоматически отметит его в качестве «самозванца» и сообщит, почему это сделано: «Отметка поставлена, поскольку домен похож на тот, с которым вы обычно обмениваетесь сообщениями, однако его техническая информация выглядит подозрительно».
По мере роста уровня доверия к системе и точности ее решений в LexisNexis хотят перейти от простой маркировки подозрительных сообщений к автоматическому перемещению таких сообщений в карантин. На сегодня результаты весьма впечатляющие: маркируются именно вредоносные сообщения. А когда будет налажено карантинирование, пользователи вообще перестанут их видеть. После этого инструмент планируется внедрить и в других подразделениях компании, а также изучить иные возможности использования ИИ для обеспечения безопасности.
Как искусственный интеллект позволяет опередить злоумышленников
ИИ совершенствуется по мере роста объема получаемых данных. При накоплении достаточно больших срезов данных системы способны обнаруживать очень ранние признаки появления новых угроз. Пример – SQL-инъекции. В компании Alert Logic ежеквартально собирают данные примерно по 500 тыс. инцидентов, происходящих у 4 тыс. ее клиентов. Около половины таких инцидентов связаны с атаками на основе SQL-инъекций. Ни в одной компании мира нет возможности рассматривать каждый такой инцидент в отдельности, чтобы выяснить, удалась ли попытка инъекции, уверены в Alert Logic.
Благодаря машинному обучению системы компании не только быстрее обрабатывают данные, но и коррелируют события, происходившие в разные периоды времени в разных регионах. Некоторые атаки могут повторяться через несколько недель или месяцев, при этом исходить из других сегментов Интернета. Если бы не машинное обучение, такие инциденты в Alert Logic упускали бы, уверены в компании.
Большие объемы информации об угрозах также собирают в GreatHorn, компании, являющейся оператором облачного сервиса безопасности электронной почты для Microsoft Office 365, Google G Suite и Slack. «Сейчас у нас накопилось почти 10 Тбайт уже проанализированных данных по угрозам, – сообщил Кевин О’Брайен, генеральный директор GreatHorn. – Мы постепенно вводим эту информацию в модель на основе тензорного поля, что позволит обнаруживать взаимосвязи между различными видами сообщений, типами почтовых сервисов, сообщениями с разной тональностью высказываний и т. п.».
Сервисы GreatHorn способны обнаруживать новые кампании фишинговых рассылок и переносить сообщения в карантин либо дополнять их предупреждениями за несколько дней до того, как исследователи придут к выводу о появлении новой угрозы. «А после ее идентификации мы можем автоматически удалять такие сообщения из всех почтовых ящиков, куда они были доставлены», – говорит О’Брайен.
Перспективы использования искусственного интеллекта в мире безопасности
Обнаружение подозрительной активности пользователей и сетевого трафика – самое очевидное применение машинного обучения. Нынешние системы все успешнее справляются с выявлением необычных событий в больших потоках данных, решением стандартных задач анализа и рассылкой уведомлений.
Следующий шаг – использование ИИ для борьбы с более сложными проблемами. Например, уровень киберриска для компании в каждый конкретный момент зависит от множества факторов, в том числе от наличия систем без заплат, незащищенных портов, поступления сообщений направленного фишинга, уровня надежности паролей, объема незашифрованных конфиденциальных данных, а также от того, является ли организация объектом атаки со стороны спецслужб другого государства.
Доступность точной картины рисков позволила бы рациональнее использовать ресурсы и разработать более детальный набор показателей эффективности обеспечения безопасности. Сегодня соответствующие данные либо не собираются, либо не преобразуются в осмысленные сведения, уверены в компании Balbix, занимающейся прогнозированием риска утечек данных с использованием искусственного интеллекта.
Специалисты компании реализовали 24 вида алгоритмов, которые выстраивают «тепловую карту» рисков, учитывающую все особенности клиентской среды и позволяющую выяснить, почему та или иная «горячая» область обозначена в качестве таковой. При этом сервис выдает советы по исправлению ситуации – если последовать им, «горячая» красная область станет сперва желтой, затем зеленой. Системе также можно задавать вопросы вроде «Что именно мне стоит предпринять в первую очередь?», «Каков мой риск фишинга?» или «Каков мой риск оказаться жертвой WannaCry?».
В дальнейшем искусственный интеллект будет помогать компаниям определяться, в какие новые технологии безопасности следует вкладываться |
В дальнейшем искусственный интеллект будет помогать компаниям определяться, в какие новые технологии безопасности следует вкладываться. «В большинстве компаний сегодня не знают, сколько и как тратить на кибербезопасность, – уверен Джеймс Стэнгер, главный евангелист технологий CompTIA. – Искусственный интеллект нужен, чтобы выявить показатели, на основе которых ИТ-директор сможет обратиться к руководителю компании или в совет директоров и объяснить, сколько и каких ресурсов нужно для того или иного проекта, подкрепив требования конкретными данными».
Есть большое пространство для развития. Сегодня ИИ используется в безопасности очень ограниченно. Можно говорить об отставании от других отраслей, и даже поразительно, что самоуправляемые автомобили появляются раньше, чем сети, защищающие сами себя. Нынешние платформы ИИ еще по сути не «понимают» окружающий мир. «Эти технологии хорошо справляются с классификацией данных, которые похожи на срезы и которые использовались для обучения, – поясняет Стив Гробмэн, директор по технологиям McAfee. – Но искусственный интеллект не является по-настоящему разумным – он не может понять идею, лежащую в основе той или иной атаки». Поэтому человек по-прежнему является ключевым элементом любого решения в области киберзащиты.
В других областях, где сейчас применяется ИИ, например в распознавании образов, речи и прогнозировании погоды, ситуация иная. «Ураган не может изменить законы физики и заставить воду испаряться как-то по-другому, чтобы усложнить вам задачу его обнаружения, – говорит специалист McAfee. – А в мире кибербезопасности все происходит именно так».
И все же прогресс в борьбе с киберугрозами есть. Существует такое направление исследований, как генеративные состязательные сети, – когда одновременно работают две модели машинного обучения с противоположными целями. Например, одна пытается что-то обнаружить, а другая – скрыть то же самое от обнаружения. Этим принципом можно пользоваться при создании команд условного противника, чтобы выяснять, какими могут быть новые угрозы.
− Maria Korolov. How AI can help you stay ahead of cybersecurity threats. CSO. OCT 19, 2017