AI in cybersecurity

Определение ИИ, машинного обучения и глубокого обучения в рамках кибербезопасности

В скором будущем искусственный интеллект на основе машинного обучения станет мощным инструментом обеспечения кибербезопасности. В этой сфере, как и в других отраслях, участие человека давно считается важным, незаменимым элементом. И хотя в настоящее время кибербезопасность по-прежнему во многом зависит от работы специалистов, в решении определенных задач машины постепенно начинают нас опережать.

Каждое технологическое улучшение позволяет более эффективно поддерживать роль человека в сфере безопасности. Данные разработки относятся к следующим основным областям:

  • Искусственный интеллект (ИИ) призван в полной мере наделить машину способностью человеческого разума к реагированию. Это основная дисциплина, охватывающая многие другие, включая машинное обучение и глубокое обучение.
  • Машинное обучение использует существующие модели поведения для принятия решений на основе имеющихся данных и выводов. При этом вмешательство человека по-прежнему требуется для внесения необходимых исправлений. На сегодняшний день машинное обучение, вероятно, является наиболее актуальной дисциплиной в области кибербезопасности на основе ИИ.
  • Глубокое обучение действует аналогично машинному – решения принимаются на основе имеющихся шаблонов, но предполагают самостоятельное внесение коррективов. В настоящее время глубокое обучение в области кибербезопасности относится к сфере машинного обучения, поэтому мы будем рассматривать в основном эту более широкую сферу.

Какой вклад внесут ИИ и машинное обучение в развитие кибербезопасности?

Многие считают, что внедрение искусственного интеллекта в технологии кибербезопасности станет своего рода революцией и произойдет это гораздо раньше, чем можно было бы предположить. На самом же деле в будущем нас, скорее всего, ожидают лишь постепенные улучшения в этой области. Но даже эти шаги на пути к абсолютной автономности все же далеко выходят за рамки наших возможностей в прошлом.

При поиске новых способов применения машинного обучения и искусственного интеллекта в области кибербезопасности важно очертить круг современных проблем в этой сфере. Технологии искусственного интеллекта могут быть полезны для улучшения многих процессов и аспектов, которые мы уже давно принимаем за данность.

Ошибки конфигурирования, вызванные человеческим фактором

С человеческим фактором связана значительная часть слабых мест кибербезопасности. Например, даже при наличии большой команды IT-специалистов правильное конфигурирование системы может быть невероятно трудной задачей. Компьютерная безопасность постоянно совершенствуется, и на сегодняшний день эта область стала более сложной, чем когда-либо. Адаптивные инструменты могут помочь в поиске и устранении проблем, возникающих при замене, модификации и обновлении сетевых систем.

Представим, что поверх старой локальной среды необходимо установить новую интернет-инфраструктуру, например систему облачных вычислений. В целях безопасности корпоративных систем команде IT-специалистов необходимо обеспечить их совместимость. Оценка надежности конфигурации вручную может стать очень трудоемким процессом, так как работникам IT-службы придется совмещать работу с бесконечными обновлениями и повседневные задачи. При наличии интеллектуальных адаптивных средств автоматизации специалисты могут оперативно получать советы по решению обнаруживаемых проблем. На основе таких средств можно даже создать систему для автоматической настройки необходимых параметров.

Эффективность ручного труда при воспроизведении повторяющихся действий

Эффективность ручного труда – еще одна проблема кибербезопасности. Процесс, выполняемый вручную, невозможно каждый раз воспроизводить в точности одинаково, особенно в такой динамичной среде, какой является современный ландшафт кибербезопасности. Индивидуальная настройка множества корпоративных конечных устройств – одна из самых трудоемких задач. После первоначальной подготовки устройств IT-специалистам зачастую приходится снова возвращаться к ним, чтобы исправить конфигурацию или обновить настройки, которые нельзя изменить удаленно.

Не стоит также забывать, что характер угроз постоянно меняется. Если за реагирование на них отвечают люди, скорость их действий может быть снижена при столкновении с неожиданными проблемами. Система, основанная на ИИ и технологиях машинного обучения, может работать в тех же условиях с минимальной задержкой.

Усталость от оповещений об угрозах

Усталость от оповещений об угрозах может стать еще одной проблемой для организаций, не принимающих меры борьбы с ней. Чем более сложным становится многоуровневое построение систем безопасности, тем больше становится и поверхность атаки. Многие системы безопасности реагируют на известные проблемы потоком автоматических оповещений. В результате для того, чтобы найти решение и принять меры, IT-специалистам приходится анализировать их по отдельности.

Но из-за большого количества поступающих сигналов этот процесс становится очень трудоемким. В результате усталость от принятия решений становится повседневной проблемой для сотрудников служб кибербезопасности. Принятие проактивных мер по нейтрализации известных угроз и уязвимостей является оптимальным вариантом, однако многим командам не хватает времени и сотрудников, чтобы держать оборону на всех направлениях.

Иногда командам приходится сосредоточиться на наиболее острых проблемах, а второстепенные задачи отодвинуть на второй план. Использование ИИ для обеспечения кибербезопасности может помочь IT-специалистам эффективно справляться с большим количеством угроз. Противодействие каждой из них можно значительно упростить, если объединять однотипные угрозы вместе с помощью автоматической маркировки. Кроме того, некоторые проблемы может устранить сам алгоритм машинного обучения.

Время реагирования на угрозу

Время реагирования на угрозу – один из важнейших показателей эффективности службы кибербезопасности. Известно, что атаки очень быстро переходят от эксплуатации уязвимости к развертыванию. Раньше, прежде чем начать атаку, злоумышленникам приходилось вручную проверять все уязвимые места и обходными путями выводить из строя системы безопасности – иногда этот процесс мог занимать недели.

К сожалению, технологические инновации существуют не только в области киберзащиты. Сейчас автоматизация кибератак становится все более распространенным явлением. Такие угрозы, как недавно появившиеся шифровальщики LockBit, значительно сократили время, необходимое для вредоносного вторжения. Сегодня некоторые атаки успешно проводятся всего за полчаса.

Реакция человека может быть недостаточно быстрой, даже если тип атаки хорошо известен. Именно поэтому многие команды специалистов по безопасности чаще занимаются устранением последствий успешных атак, нежели предотвращают их. Отдельную опасность представляют необнаруженные атаки.

Технологии машинного обучения способны извлекать данные об атаках, группировать их и подготавливать для анализа. Они могут предоставлять специалистам по кибербезопасности отчеты, чтобы упростить обработку данных и принятие решений. Помимо отчетов, такой тип системы безопасности может также предложить рекомендуемые действия для ограничения дальнейшего ущерба и предотвращения дальнейших атак.

Выявление и прогнозирование новых угроз

Выявление и прогнозирование новых угроз – это еще один фактор, влияющий на время реагирования на кибератаки. Как отмечалось выше, задержка при реагировании возникает даже при угрозах известных типов. Новые виды атак, модели поведения и инструменты могут сбить специалистов с толку, в результате чего они будут реагировать еще медленнее. Хуже того, такие менее заметные угрозы, как кража данных, иногда могут остаться и вовсе необнаруженными. Опрос, проведенный компанией Fugue в апреле 2020 года, показал, что примерно 84% IT-специалистов обеспокоены тем, что могут не знать об уже совершенном взломе их облачных систем.

Постоянное развитие технологий, стоящих на вооружении злоумышленников, и появление атак нулевого дня – это факторы, которые приходится всегда учитывать, строя защиту сетей. К счастью, методы кибератак обычно не изобретаются с нуля. Поскольку основой для них часто служат тактики, платформы и исходные коды прошлых атак, технологиям машинного обучения есть на чем базироваться при накоплении знаний.

Программа на основе машинного обучения поможет распознать атаку, выявив общие черты у новой угрозы и обнаруженных ранее. Машина, в отличие от человека, проведет такое сравнение быстро – что еще раз подчеркивает необходимость применения адаптивных моделей безопасности. Машинное обучение может облегчить прогнозирование новых угроз и сократить время реагирования за счет более эффективной работы с базой существующих угроз.

Кадровый потенциал

Проблема кадрового потенциала относится к числу систематических. С ней сталкиваются отделы IT и кибербезопасности множества компаний во всем мире. Иногда найти квалифицированных специалистов с необходимыми навыками может быть сложно.

Однако гораздо чаще проблема состоит в том, что наем сотрудников требует выделения немалых средств из бюджета организации. Содержание персонала требует не только оплаты повседневного труда, но и удовлетворения текущих потребностей в обучении и подтверждении квалификации. Профессионал в области кибербезопасности обязан идти в ногу со временем и быть в курсе постоянных инноваций, о которых мы упоминали выше.

Наличие инструментов на основе ИИ позволит сократить штат специалистов. Хотя им будет необходимо, постоянно повышая квалификацию, осваивать передовые достижения в области искусственного интеллекта и машинного обучения, компания сможет сэкономить время и деньги благодаря меньшей численности этих сотрудников.

Адаптируемость

В отличие от других аспектов проблема адаптируемости не так очевидна, однако может резко сказаться на возможностях службы безопасности. Специалистам может быть сложно привести свои навыки в соответствие с конкретными требованиями компаний.

Если сотрудники не знакомы с определенными методами работы, инструментами и системами, эффективность всей команды может оказаться невысокой. Даже такая, казалось бы, простая процедура, как принятие командой новых политик безопасности, может затянуться. Такова природа человека, мы не можем мгновенно освоить новые виды деятельности. На это нужно время. Однако с помощью правильных наборов данных можно превратить хорошо обученные алгоритмы в решения, соответствующие необходимым требованиям.

machine learning in cybersecurity

Роль ИИ в кибербезопасности

В сфере кибербезопасности искусственный интеллект включает в себя дисциплины машинного и глубокого обучения, однако у него есть и своя собственная роль.

По своей сути ИИ сконцентрирован на достижении результата, при этом точность не так уж и важна. Его конечная цель – это естественная реакция при решении сложных задач. Истинный ИИ способен действовать самостоятельно. Он должен находить идеальное решение в конкретной ситуации, а не просто делать выводы на основе набора данных и запрограммированной логики.

Чтобы лучше понять суть вопроса, рассмотрим современные методы использования ИИ и лежащих в его основе дисциплин. Автономные системы не имеют широкого распространения, особенно в области кибербезопасности. Их работа не требует вмешательства со стороны, и многие люди обычно ассоциируют их с ИИ. Однако системы на базе ИИ, служащие дополнительным инструментом для обеспечения защиты, доступны и практичны.

В идеальном варианте роль ИИ в сфере кибербезопасности сводится к интерпретации закономерностей, обнаруженных алгоритмами машинного обучения. Конечно, современный ИИ пока не способен интерпретировать результаты так же хорошо, как человек. Эта область активно развивается, ведется поиск алгоритмов, схожих с человеческим мышлением. Но до создания настоящего ИИ еще далеко. Машинам еще только предстоит научиться переосмысливать ситуации, оперируя абстрактными понятиями. Их творческие возможности и способность к критическому мышлению пока далеки от популярного образа идеального ИИ.

Роль машинного обучения в кибербезопасности

Решения для обеспечения безопасности с применением технологий машинного обучения отличаются от распространенного представления об искусственном интеллекте. Однако на сегодняшний день в сфере кибербезопасности они представляют собой наиболее мощные инструменты на базе ИИ. В рамках этой технологии для определения вероятности того или иного события используются шаблоны данных.

В некотором смысле машинное обучение можно противопоставить «истинному» ИИ. Машинное обучение в первую очередь ориентировано на точность, а не на результат. Это означает, что алгоритм действует, обучаясь на основе набора данных, ориентированного на конкретную задачу. Его работа сводится к поиску оптимального способа выполнения данной задачи. Он будет стремиться найти решение, единственно возможное на основе имеющихся данных, даже если оно не будет идеальным. Технология машинного обучения не осмысливает данные, а это означает, что данная задача по-прежнему ложится на плечи специалистов.

Технологии машинного обучения отлично справляются с однообразными задачами, например идентификацией закономерностей в данных и проверкой их на соответствие шаблонам. Подобная монотонная деятельность утомляет сотрудников, снижая их работоспособность. Таким образом, человек до сих пор отвечает за интерпретацию данных, в то время как машинное обучение помогает привести данные в удобочитаемую и готовую к анализу форму. В сфере кибербезопасности возможности машинного обучения могут использоваться для разных целей:

Классификация данных

При классификации данных точкам данных присваиваются определенные категории по предустановленным правилам. Данный процесс маркировки является важной частью таких аспектов проактивных мер безопасности, как построение профилей атак и уязвимостей.

Кластеризация данных

При кластеризации данных отсеянные в ходе классификации значения объединяются в кластеры с общими или нетипичными характеристиками. Ее можно использовать при анализе данных по атакам, к которым система еще не подготовлена. Кластеры помогут определить, каким образом производилась атака, какие уязвимости использовались и к каким данным был получен доступ.

Рекомендации по дальнейшим действиям

Рекомендации по дальнейшим действиям повышают эффективность проактивных мер системы безопасности на базе машинного обучения. Они выводятся на основе моделей поведения и ранее принятых решений и предлагают наиболее рациональный порядок действий. Здесь важно повторить, что рекомендации не являются осознанным решением, как в случае истинного автономного ИИ. Скорее, это адаптивная система, способная выстраивать логические взаимосвязи на основе имеющихся точек данных. Такой тип инструментов может оказать существенную помощь при реагировании на угрозы и управлении рисками.

Синтез возможностей

Синтез возможностей позволяет получать совершенно новые результаты на основе исторических и новых наборов данных. Здесь, в отличие от рекомендаций, больше внимания уделяется определению вероятности повторения прошлых состояний системы. Например, синтез можно использовать для упреждающего исследования уязвимостей в системах организации.

Прогнозирование

Прогнозирование – это наиболее продвинутый из процессов, основанных на машинном обучении. Определение возможных результатов достигается путем оценки существующих наборов данных. В первую очередь прогнозирование можно использовать для построения моделей угроз, предотвращения мошенничества, а также для защиты от утечки данных. Оно является основой многих предиктивных решений для конечных точек.

Примеры использования машинного обучения в кибербезопасности

Вот несколько примеров, подчеркивающих ценность машинного обучения в сфере кибербезопасности:

Классификация данных по конфиденциальности для соблюдения нормативов по их обработке

В последнее время защита от нарушения законов о конфиденциальности данных стала одним из главных приоритетов для организаций. С принятием Общего регламента ЕС по защите данных (GDPR) появились и другие правовые меры, например Калифорнийский закон о защите прав потребителей (CCPA).

Обработка данных клиентов и пользователей должна осуществляться в соответствии с этими актами. Обычно это означает, что необходимо предусматривать возможность удаления данных по запросу. Несоблюдение этих законов влечет за собой крупные штрафы и ущерб репутации.

Классификация данных поможет отделить данные, идентифицирующие пользователя, от анонимизированных и неидентифицирующих. Она избавит от необходимости вручную анализировать огромные массивы старых и новых данных, особенно в крупных организациях и компаниях с долгой историей.

Профили безопасности на основе поведения пользователей

Создание индивидуальных профилей сотрудников на основе их пользовательского поведения позволяет адаптировать систему безопасности к структуре конкретной организации. Эта модель может обнаружить неавторизованного пользователя, проанализировав отклонения в его поведении. Такие незначительные нюансы, как особенности нажатия клавиш на клавиатуре, могут послужить основой для предиктивной модели угрозы. Обозначив возможные результаты потенциальных несанкционированных действий, система безопасности на основе машинного обучения может предложить способы для уменьшения потенциальной поверхности атаки.

Профили безопасности на основе данных о работе системы

Кроме поведения пользователя, основой для создания профиля безопасности может также служить анализ работы отдельно взятого исправного компьютера. Например, загрузка процессора и памяти наряду с такими признаками, как интенсивное использование интернет-канала, может указывать на вредоносную активность. Тем не менее некоторые пользователи могут регулярно использовать большие объемы данных – проводя видеоконференции или часто загружая большие файлы мультимедиа. Изучив обычную загруженность системы, алгоритм может определить отклонения, как в случае с поведением пользователя.

Блокировка ботов на основе поведения

Действия ботов могут мешать работе веб-сайтов, перегружая их запросами. Эта проблема особенно актуальна для организаций, бизнес которых зависит от интернет-трафика. Например, для онлайн-магазинов, у которых нет физических торговых точек. Обычные посетители могут столкнуться с медленной работой сайта, что приведет к потере трафика и потенциальных клиентов.

Технологии на основе машинного обучения могут идентифицировать активность ботов и блокировать ее даже при использовании средств анонимизации, например виртуальных частных сетей. На основе данных о поведении злоумышленников алгоритм формирует прогнозные модели и превентивно блокирует новые веб-адреса с такой же активностью.

Будущее кибербезопасности

Несмотря на бурные обсуждения будущего этой сферы безопасности, все же существуют ограничения, о которых следует упомянуть.

Для машинного обучения необходимы наборы данных, однако в некоторых случаях их сбор и использование могут противоречитьзаконам о конфиденциальности данных. Программным системам, обучающим алгоритмы, требуется множество точек данных для построения точных моделей, что плохо сочетается с «правом на забвение». Наличие идентифицирующей человека информации в некоторых данных может являться нарушением, поэтому необходимо предусмотреть возможные решения этой проблемы. Одно из них – системы, которые делают доступ к исходным данным после обучения практически невозможным. Анонимизация точек данных также рассматривается как возможный выход, но этот метод необходимо изучить глубже, чтобы избежать искажения логики программ.

Отрасли нужно больше экспертов по обеспечению кибербезопасности на основе искусственного интеллекта и машинного обучения. Эффективность средств сетевой безопасности, основанных на технологиях машинного обучения, значительно повысится при наличии сотрудников, способных обслуживать и настраивать их по мере необходимости. Однако предложение квалифицированных специалистов на мировом рынке гораздо меньше спроса на них.

Команды специалистов останутся неотъемлемой частью отделов кибербезопасности. Жизненно важное значение для принятия решений по-прежнему будут иметь критическое мышление и творческий подход. Как уже упоминалось выше, ни технологии машинного обучения, ни ИИ пока не обладают этими качествами. Поэтому они должны быть инструментом в руках вашей команды специалистов по кибербезопасности.

Три совета на пути к будущему кибербезопасности

Вот несколько шагов, которые вы можете предпринять, чтобы приблизить будущее кибербезопасности:

  1. Инвестируйте в технологии будущего. По мере того как угрозы становятся все сложнее, растет ущерб от эксплуатации уязвимостей, возникающих из-за использования устаревших технологий или ручных процессов, которые можно автоматизировать. Чтобы снизить риски, вам нужно идти в ногу со временем. Используйте передовые технологии, такие как интегрированное решение «Лаборатории Касперского» для комплексной защиты рабочих мест, – с ними вы будете лучше подготовлены к любым переменам.
  2. Инструменты на базе ИИ и машинного обучения должны помогать вашим специалистам, а не заменять их. Уязвимости по-прежнему будут существовать. Сегодня ни одна система на рынке не является абсолютно надежной. Поскольку даже адаптивные системы на базе ИИ могут быть обмануты с помощью изощренных методов атаки, убедитесь, что ваша IT-команда научилась работать с этой инфраструктурой и поддерживать ее.
  3. Регулярно обновляйте свои политики в области обработки данных в соответствии с изменениями в законодательстве. Конфиденциальность данных стала объектом внимания руководящих органов во всем мире. В обозримом будущем для большинства предприятий и организаций она останется одним из основных вопросов на повестке дня.

Статьи по теме:

Искусственный интеллект и машинное обучение в кибербезопасности – прогноз на будущее

AI cybersecurity, with the support of machine learning, is set to be a powerful tool in the looming future. As with other industries, human interaction has long been essential and irreplaceable in security.
Kaspersky Logo