Искусственный интеллект в информационной безопасности

По данным глобального центра исследований технологий Omdia, в 2017 году мировой рынок решений в области искусственного интеллекта оценивался в $485 млрд, в 2019 г. — уже $917 млрд, к 2021 году аналитики предрекают трехкратный рост и достижение отметки $3 трлн. Столь высокие темпы роста побуждают разобраться в вопросах применения ИИ в сфере информационной безопасности. Действительно ли искусственный интеллект существенно повысит уровень защищенности организаций? В каких СЗИ машинное обучение уже применяется и как помогает решать прикладные задачи? Многие наслышаны о самообучающихся моделях и «умных» нейронных сетях. Но так ли они нужны в сфере ИБ? Быть может, существующие решения и методологическая база, накопленная за многие годы, и без того успешно справляются с киберугрозами?

Технологии машинного обучения и компьютерного зрения открывают новые перспективы для развития современных СЗИ. Вследствие последних тенденций в области цифровизации аналитики ИБ отмечают неуклонный рост как объема, так и сложности данных, которые генерируются в информационном пространстве. Кроме того, киберпреступники серьезно трансформировали свои методы и техники проведения атак, также прибегая к технологиям ИИ. Многие из современных DDoS-атак выстроены по принципу «умных» ботнетов, которые, не имея централизованного управления, способны самоорганизовываться и решать сложные вычислительные задачи. Существенно усовершенствовались и методы социальной инженерии: злоумышленники научились автоматизировать рассылки по различным каналам, где информация выглядит очень правдоподобной для пользователей. В связи с этим многие компании, особенно крупные, столкнулись с тем, что традиционные технологии обеспечения информационной безопасности становятся малоэффективными либо вовсе неэффективными и убыточными. Разумеется, ведущие производители СЗИ обратили внимание на эти проблемы.

Давайте рассмотрим классы решений, в которых успешно применяются современные технологии, входящие в сферу искусственного интеллекта.

User and Entity Behavior Analytics (UEBA) – анализ поведения пользователей и иных сущностей. Этот анализ за последние годы был серьезно усовершенствован. Профилирование пользователей и выявление аномалий сейчас сложно представить без статистического и кластерного анализа. За счет использования моделей машинного обучения, UEBA сильно отошел от принципов работы SIEM-решений и полагается теперь не на сигнатурные правила, а на результаты отработки соответствующих моделей, что позволяет предиктивно реагировать на потенциальные угрозы, связанные с инсайдерской деятельностью, и выявлять скомпрометированные учетные записи до возникновения серьезных инцидентов. Благодаря грамотно настроенным алгоритмам кластерного и статистического анализа современные решения UEBA точно формируют профили поведения пользователей и активов (behavioral baseline). После чего в работу вступают алгоритмы классификации и регрессионного анализа, которые ищут в выстроенных профилях поведения аномалии, на основе которых уже классические правила корреляции сигнализируют о возможных инцидентах.

Next-Generation Firewall (NGFW). Появление инструментов машинного обучения позволило существенно улучшить соответствующие решения. Теперь, когда появилась возможность полноценного профилирования трафика и выявления в нем аномалий, обнаружение DDoS-атак стало более тривиальной задачей. Предиктивное построение профиля и вектора атаки позволяет проводить динамическую многоступенчатую фильтрацию поступающего трафика. Также стоит упомянуть детектирование DGA-доменов, реализованное с помощью решения задач классификации. Используемые алгоритмы, обученные на размеченной выборке, дают возможность в режиме реального времени выявлять зловредные DGA-домены на основе принципа N-грамм анализа.

Средства защиты информации на основе компьютерного зрения. Современные СЗИ от НСД готовы в режиме реального времени распознавать объекты через веб-камеру и фиксировать факты нарушения политик безопасности, например обнаруживать нелегитимное лицо, смартфон, фотографирующий экран, IP-камеру и т.д. Такие возможности особенно важны сегодня, когда многие организации перевели своих сотрудников на удаленный режим работы, но при этом не хотят терять контроль за ними. С помощью легковесных агентов, централизованно устанавливаемых на рабочие станции сотрудников, можно осуществлять полноценный контроль за их деятельностью и соблюдением корпоративных регламентов вне офиса. Подобный сценарий актуален для банковского и государственного секторов, в которых сотрудники работают с критически важной и зачастую секретной информацией.

Разумеется, это не единственные классы ИБ-решений, где технологии искусственного интеллекта нашли свое применение. Машинное обучение уже активно используется практически во всех классах СЗИ, позволив сделать серьезный шаг в развитии ИБ-индустрии и повысить результирующий уровень защищенности организаций. Однако не стоит забывать, что злоумышленники не дремлют и тоже постоянно совершенствуют свои инструменты и технологии атак.