Интеллект на страже информации
Эксперты российской группы IT-компаний о трендах искусственного интеллекта в кибербезопасности
Любая новая и перспективная технология всегда сталкивается с тем, что в какой-то момент ее начинают использовать как во благо, так и наоборот. Искусственный интеллект не стал исключением и нашел свое применение и у хакеров. Защищать инфраструктуру от вредоносного программного обеспечения и других атак штатному IT-специалисту будет сложно, поэтому компании все больше задействуют искусственный интеллект для борьбы со злоумышленниками. Эксперты российской группы IT-компаний «Ланит» рассказывают о трендах искусственного интеллекта в кибербезопасности.
Согласно данным аналитической компании IDC, расходы на искусственный интеллект (ИИ) в 2023 году в Европе достигнут $34,2 млрд, что составляет 20,6% мирового объема инвестиций в эти технологии. Аналитики отмечают, что больше всего средств вкладывается в банковскую сферу (15,7%), сферу услуг (11,2%) и ритейл (10,9%).
В то же время инвестиции в развитие искусственного интеллекта в кибербезопасности также демонстрируют положительную динамику. Так, по данным MarketsandMarkets, сейчас объем мирового рынка ИИ в этой сфере достигает $22,4 млрд, а к 2028 году прогнозируется его увеличение до $60,6 млрд. Аналитики связывают такой финансовый подъем с повышенной уязвимостью сетей Wi-Fi, вызванной огромным количеством мобильных и смарт-устройств. Самый высокий среднегодовой темп роста до 2028 года будет наблюдаться в Азиатско-Тихоокеанском регионе, куда входят Китай, Россия, США и другие страны. В MarketsandMarkets подчеркивают, что в связи с популярностью перехода бизнеса на облачные серверы злоумышленники вынуждены адаптироваться и использовать новые способы кибератак: программы-вымогатели, вредоносное ПО для мошенничества с рекламой, DDoS, ботнеты, трояны и др.
Мошенники уже больше трех лет задействуют ИИ в собственных целях. Так, в конце 2020 года аналитики компании Trend Micro, специализирующейся на кибербезопасности, совместно с Межрегиональным научно-исследовательским институтом ООН по вопросам преступности и правосудия и Европолом подготовили доклад «Злонамеренное использование и злоупотребление искусственным интеллектом». В нем указано, что технологии ИИ чаще всего применяются для создания дипфейков, которые заменяют голос или изображение одного человека на другого. Также искусственный интеллект используют для повышения эффективности вредоносного ПО.
ИИ в центрах управления безопасностью
Искусственный интеллект в центрах управления безопасностью (SOC) применяется во многих направлениях: для автоматизации процессов и отдельных действий, разгрузки аналитиков от ручной работы, а также в принятии некоторых решений, объясняет директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Александр Матвеев. По его словам, применение ИИ может значительно упростить работу SOC, например увеличит скорость обработки инцидентов и уменьшит количество рутинных задач, которые отнимают много времени и зачастую мешают глубже погружаться в суть. «Автоматизация и, как следствие, упрощенный процесс первичной обработки позволят аналитикам больше концентрироваться на самих инцидентах»,— отмечает он.
Господин Матвеев подчеркивает, что ИИ вряд ли полностью заменит человека, однако может стать инструментом для решения задач: «Все упирается в вопрос доверия к ИИ и принятым им решениям, которые могут привести к драматическому исходу». Насколько бы ни была обученной модель ИИ, она рано или поздно столкнется с чем-то, что отсутствовало в данных для обучения, поэтому еще рано говорить о том, что ИИ заменит сотрудников SOC.
По прогнозу Александра Матвеева, вероятность того, что компании целиком перейдут на ИИ в кибербезопасности, крайне мала. «Многие уже частично применяют или планируют использовать функционал ИИ для решения и упрощения конкретных задач, а также для автоматизации отдельных процессов. Это позволяет не только экономить ресурсы, но и предоставляет определенное конкурентное преимущество»,— отмечает он, добавляя, что рано или поздно большинство компаний заместят с помощью ИИ все больше функций, которые сейчас выполняются аналитиками вручную. Среди перспективных направлений для искусственного интеллекта Александр Матвеев называет прогнозирование атак, в том числе тех, о которых достоверно еще неизвестно, планирование реагирования на инциденты, поддержку в восстановлении скомпрометированных систем и т. д.
ИИ в симбиозе с человеком
Искусственный интеллект способен значительно ускорить работу, автоматизируя задачи пентеста (анализ системы на наличие уязвимостей), говорит директор центра информационной безопасности «Ланит-Интеграции» Николай Фокин. По его словам, применение ИИ не только сокращает время тестирования безопасности, генерации сценариев атак, анализа собранных данных, верификации уязвимостей, создания отчетов и т. д., но и позволяет проводить более частые и комплексные проверки в большем масштабе. «Для крупных и динамичных инфраструктур это действительно важно, здесь можно привести в качестве примера генеративные модели ИИ. PentestGPT может выступать ассистентом специалиста при проведении пентеста (метод оценки безопасности IT-систем средствами моделирования атаки.— “Ъ”)»,— отмечает эксперт.
Господин Фокин уверяет, что использование хорошо обученного ИИ позволяет повысить качество пентеста и избежать погрешностей, которые сопряжены с человеческим фактором. Искусственный интеллект, продолжает он, способен дать более высокую точность, снижая ложные срабатывания и выстраивая векторы атак на основе реальных достижений. «Модели, обученные на больших наборах данных, потенциально позволяют распознавать закономерности и выявлять уязвимости, которые могут быть неочевидны для ИБ-специалистов». Он считает, что ИИ со временем сможет адаптировать используемые тактики и техники, обучаясь на прошлых результатах, в зависимости от угроз и окружения инфраструктуры, в котором он находится. «Применение искусственного интеллекта позволит снизить общие затраты на пентест и получить силу тысяч пентестеров в одной автоматизированной системе, а также сократить время на исправление обнаруженных уязвимостей за счет их более качественной приоритизации».
При этом директор центра информационной безопасности «Ланит-Интеграции» отмечает, что использование ИИ при атаках на инфраструктуру сопряжено с некоторыми рисками: в отличие от человека, он не осознает возможных последствий и может не соблюдать ограничения при тестировании, поскольку не способен оценить риск воздействия на бизнес-процессы. «ИБ-специалист обладает творческой силой, интуицией и, возможно, не в 100% случаев, но лучше понимает контекст задачи. Поэтому, на мой взгляд, предпочтительный сценарий — сочетание возможностей ИИ и квалифицированных специалистов»,— дополнил он.
Среди перспектив применения ИИ в пентестах Николай Фокин отмечает несколько направлений: создание систем, способных адаптироваться к ландшафту и контексту, а также совершенствоваться по результатам достижений, автоматизация и симуляция сложных сценариев атак, повышение точности алгоритмов, а также более быстрое развитие инструментария для пентеста благодаря накоплению большого объема данных. ИИ хорошо справляется и с задачей обнаружения уязвимостей нулевого дня — искусственный интеллект может анализировать поведение систем и выявлять аномалии, связанные с возможностью эксплуатации. Отдельно стоит отметить вовлечение все большего числа специалистов по безопасности во взаимодействие с ИИ и его обучение.
ИИ на страже информации
Детекция аномалий (обнаружение уязвимостей) способна выявлять различные типы вредоносных активностей, которые не могут быть определены общепринятыми методами.
Традиционные методы детекции аномалий опираются на заранее известные паттерны вредоносной активности, например на сигнатуры вирусов, говорит руководитель практики анализа данных центра компетенций больших данных и искусственного интеллекта «Ланит» Владислав Балаев. По его словам, шаблоны вредоносного поведения ищутся по уже выявленным ранее типам атак. «Методы детекции аномалий основаны на том, что создается модель типичного поведения системы. Далее происходит анализ действий системы, который позволяет понять, насколько ее поведение отличается от обычного»,— поясняет он, добавляя, что традиционные методы ищут паттерны подозрительной активности в работе системы, а методы детекции аномалий создают картину нормального поведения, где любые признаки отклонения считаются вредоносными.
Среди преимуществ методов детекции аномалий Владислав Балаев отмечает способность выявлять новые, ранее не случившиеся типы вредоносной активности. Среди недостатков — частые сработки на легитимные события, которые отличаются от обычного поведения: перезагрузка системы, обновление ПО, смена пользователей, перепрошивка сетевых устройств.
Искусственный интеллект представляет собой совокупность математических методов, которые используются для выделения аномалий, объясняет Владислав Балаев. По его словам, ИИ вместе с современными MLOps-практиками дает возможность автоматизировать обработку больших объемов данных ИБ. На них обучаются модели машинного обучения, позволяющие выявлять скрытые закономерности между различными показателями работы информационных систем. «Благодаря этому повышается эффективность обработки данных о работе информационных систем, что в конечном счете увеличивает точность и полноту выявляемых атак и вредоносной активности»,— подчеркнул он.
Среди главных перспектив развития технологий детекции аномалий с использованием ИИ эксперт называет следующие тренды: способность выявлять нелинейные сложные зависимости между различными компонентами информационных систем и обнаружение неизвестных ранее типов вредоносной активности. «Эти методы не являются панацеей и обладают рядом недостатков, самым большим из которых является наличие ложных срабатываний, требующих фильтрации результатов и тонкой настройки системы. Однако благодаря своим преимуществам, несмотря на описанные выше нюансы использования, детекция аномалий является необходимым звеном для обеспечения комплексной защиты системами обнаружения вторжений»,— заключил господин Балаев.