Интервью с экспертом: «Искусственный интеллект – не магия, а эффективный помощник»
Начнем с определения. Что вы, как специалист в области информационной безопасности (ИБ), вкладываете в понятие искусственный интеллект (ИИ)? Для вас это технологии или продукты и решения?
Первое определение машинного обучения, а это одно из ключевых направлений в применении искусственного интеллекта, дал Артур Сэмюэл в 1959 году. Его по праву называют пионером в области машинного обучения, которое он описал тогда, как способность компьютера учиться без участия человека. На самом деле всё, конечно, сложнее. Особенно теперь, по прошествии десятилетий, за которые ИИ сделал гигантский скачок в развитии. Индустрия высоких технологий предлагает сегодня широкий набор систем, построенных с использованием технологий ИИ. Хотя единого четкого определения ИИ нет, сейчас эти системы глобально подразделяются на два типа: первый – системы, принимающие решения; второй – системы поддержки принятия решений. Конечно, к классу ИИ следует отнести и системы, обрабатывающие Большие Данные, анализ которых позволяет выявлять определенные закономерности или аномалии.
Но ИИ – это, прежде всего, технологии, именно технологии, применяемые для разработки систем и продуктов. К этим технологиям относятся и машинное обучение, и компьютерное зрение, это также когнитивистика, NLP (Natural Language Processing), Глубокое обучение и другие. Кроме того, в класс ИИ входит очень много подтехнологий. ИИ можно представить как большое дерево, у которого есть крупные ветви (ключевые технологии), на каждой из которых с годами выросло множество других ветвей. Например, в машинное обучение входит анализ дерева решений, кластеризация, нейросети, байесовы сети и пр. И все эти технологии по-своему применяются во множестве областей, продукты разного назначения задействуют технологии ИИ, чтобы работать более эффективно.
Мы, как разработчик систем класса SIEM, используем технологии ИИ, чтобы улучшить свои продукты – повысить качество выявления новых угроз, нормализации событий, подключения новых источников. Точно так же в другие продукты, например, системы поведенческого анализа User and Entity Behavioral Analytics (UBA/EBA), системы защиты конечных точек от сложных угроз Endpoint Detection and Response (EDR) и другие средства защиты информации (СЗИ) встраиваются технологии ИИ. Это позволяет повысить эффективность этих продуктов и систем.
С чего начиналось применение ИИ в информационной безопасности, как широко они применяются сегодня в этой сфере?
В сфере информационной безопасности применение ИИ начиналось с достаточно простых вещей – где-то в начале 2000-х – с построения систем, облегчающих работу специалистов определенного профиля, в частности, вирусных аналитиков. К этому моменту количество образцов вредоносных файлов стало таким большим, что ручным или простым автоматизированным анализом уже было не обойтись. Это были системы, выявляющие паттерны (похожести) во вредоносном коде и позволяющие проводить хотя бы минимальную атрибуцию. То есть они давали определенную информацию реверс-специалистам и вирусным аналитикам, которая позволяла то или иное вредоносное ПО отнести к определенной группе или классу. По сути, это была работа с кластеризацией и Большими Данными.
Сейчас сфера применения ИИ в ИБ значительно шире. Есть глобальные компании, анализирующие в Сети колоссальный объем информации, которая может указать на новые угрозы или, например, предсказать атаки нулевого дня. У этих компаний есть системы, которые собирают массивы данных, анализируют их с помощью технологии класса ИИ, выявляют закономерности, проводят кластеризацию данных и прогнозируют угрозы. Без этих технологий обрабатывать такой объем информации практически невозможно. Здесь, конечно, и нейронные сети, и кластеризация очень широко используются. ИИ также активно применяется в отслеживании угроз (Threat Intelligence), где с его помощью на основе информации, собранной из открытых и закрытых источников, прогнозируются угрозы ИБ. Таким образом, масштаб задач и объем применения ИИ в сфере информационной безопасности очень вырос за последние два десятка лет. Искусственный интеллект – это уже не какая-то магия, а эффективный помощник в защите от киберугроз.
Где именно (в каких сегментах рынка и отраслях) технологии ИИ наиболее востребованы для решения задач информационной безопасности в настоящее время?
Нельзя сказать, что в каких-то отраслях искусственный интеллект нужен, а в каких-то нет. Везде, где нужна безопасность (а она нужна везде), использование ИИ дает преимущества при решении соответствующих задач. Начнем с того, что в защите финансовой отрасли ИИ нашел свое применение очень широко и доказал свою эффективность. Например, для борьбы с мошенничеством, где необходим анализ транзакций и действий пользователей, выявление нелегитимных операций и аномальных действий. Однако в принципе системы безопасности используются во всех отраслях, и такие системы намного более эффективны, если они задействуют технологии ИИ.
Зависит ли это от размеров бизнеса? Пожалуй, нет. Например, выявление аномалий актуально и для крупного, и для среднего и малого бизнеса. Я бы сказал так: защищать нужно всех, даже если вас не атакуют сейчас, не надо ждать, когда это произойдет, минимальный уровень защиты выстроить необходимо. В современном мире злоумышленники атакуют уже не только крупные цели (в том числе финансовые институты), но и небольшие компании, а также отдельных пользователей. Поэтому актуальность современных систем защиты и систем, использующих технологии ИИ, только растет. В принципе зависимость такая: чем более серьезная система защиты требуется организации, тем выше актуальность использования технологий ИИ для этой организации. Естественно, чем выше уровень цифровизации компании, чем больше у нее цифровых активов, тем больше информации она генерирует и тем сложнее ее защитить без тщательной обработки. Тут на помощь и приходит ИИ. Если же мы говорим о глобальной защите, то есть о выявлении угроз для целых отраслей или всего мира, то здесь без ИИ вообще не обойтись.
Поможет ли ИИ организациям, которым необходимо защищать объекты критической информационной инфраструктуры (КИИ)?
С КИИ все достаточно сложно. Для объектов критической инфраструктуры важна безопасность в любом случае. Этого требует Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», это определяют и другие нормативные акты. При этом регламентирующие документы не накладывают требований по использованию ИИ для этих целей. Нужно обеспечить надлежащий уровень защиты и всё. Кроме того, объекты КИИ не всегда используют автоматизацию и применяют SCADA, либо другие системы АСУ ТП, обеспечивающие централизованный контроль и управление. Многие компании до сих пор живут «на рубильниках», то есть используют децентрализованные средства управления технологическими процессами. В таких организациях применить современные технологии просто не к чему. Но в принципе для объектов КИИ системы защиты с искусственным интеллектом актуальны, они могут принести большую пользу в процессах анализа взаимодействий между узлами, для выявления новых устройств в сетях, оценки валидности результатов регламентных операций и так далее.
Где применение ИИ для целей информационной безопасности пока задерживается или признано нецелесообразным? По каким причинам это происходит?
Здесь важно отметить, почему вообще ИИ пришел в индустрию безопасности позже, чем в другие отрасли, допустим, в маркетинг или метеорологию. Главная причина: в маркетинге или метеорологии никто не пытается послать искусственные данные, чтобы обмануть систему ИИ. Там строились модели, базирующиеся на доказанных законах природы или социологии. В этой безопасной среде ИИ легко прокладывал себе путь.
В кибербезопасности всё иначе. Здесь требуются несколько другие модели и несколько иная защита, поскольку злоумышленники, зная о том, что интересующие их компании применяют системы защиты, выявляющие угрозы с использованием технологий ИИ и машинного обучения, будут специально пытаться обойти эти системы, скармливая им неверные данные, либо как-то еще. То есть в ИБ изначально было ясно, что злоумышленники будут воздействовать на систему ИИ. Из-за этого использование технологий ИИ в безопасности первоначально было затруднено.
Целесообразность же повсеместного применения технологий ИИ в ИБ действительно не является аксиомой. В одном случае это может дать позитивный эффект, а в другом – нет. Тут нужно учесть огромное разнообразие технологий ИИ. Вот есть самообучающиеся системы, а есть системы, которые обучаются заранее. И есть системы, которые дообучаются. Самообучающиеся системы, постоянно получая новые данные, изменяют свои алгоритмы и совершенствуют свои модели. Их применение в корпоративных структурах информационной безопасности вряд ли принесет пользу, потому что злоумышленники могут подсунуть им искаженные данные, анализ которых приведет ИИ к ошибочным выводам и решениям. Однако самообучающийся искусственный интеллект отлично зарекомендовал себя в системах безопасности глобального уровня, которые обмануть гораздо сложнее, ведь они оперируют гигантскими объемами разнородных данных, которые невозможно подтасовать в значительной мере.
Главный же фактор, сдерживающий применение технологий ИИ в сфере безопасности, это постоянная гонка вооружений между защитой и атакой – своего рода «кошки-мышки». В современном цифровом мире самые новые данные об угрозах, способах защиты от них и вариантах обхода систем безопасности распространяются очень быстро. Как только разрабатывается новая технология защиты, она очень скоро становится доступной и злоумышленникам. И они могут эти же самые алгоритмы, модели, технологии ИИ, разработанные для защиты, использовать для атаки.
Сформировалось ли уже понятие «преступный ИИ»? Насколько отдельные хакеры и преступные сообщества овладели данными технологиями и как используют их в своих целях?
ИИ дает огромные преимущества как на светлой, так и на темной стороне, поэтому злоумышленники все более эффективно применяют его в своих целях, активно овладевают этими технологиями. Самый ранний и простой пример применения хакерами технологий машинного обучения – обход «капчи», которая нужна для защиты от скриптов и ботов. Технологии машинного обучения как раз дают возможность как генерации картинок, так и их распознавания. Еще один, уже более новый пример эксплуатации ИИ киберпреступниками, – генерация звука и видео для имперсонификации легальных пользователей (технология deepfake). Вообще технологии подделки голоса существуют не первый день, как и банковские системы с авторизацией клиентов по голосу. Машинное обучение дает преступникам новые возможности, поэтому такая авторизация уже не может считаться абсолютно надежной. Видео, казалось бы, подделать гораздо сложнее – человек двигает губами, меняется мимика, и вроде бы можно сразу определить настоящее это видео или оно создано хакерами. Увы, нет. Появляется все больше технологий, позволяющих в реальном времени генерировать поддельные голос и видео. Например, два года назад пострадала одна немецкая компания с офисом в Лондоне. Мошенники использовали прием имперсонификации – в контору по видеосвязи позвонил якобы генеральный директор и попросил перевести деньги на указанный счет. Огромные деньги были отправлены злоумышленникам, которые использовали технологии машинного обучения для обмана сотрудников пострадавшей компании. Это сейчас один из актуальных сценариев атаки с применением ИИ. Таким образом, техники применения ИИ злоумышленниками в своих интересах уже являются неотъемлемой частью современного ландшафта угроз.
Что показывает практика? Как часто «ошибается» сам ИИ, используемый в системах информационной безопасности?
Нужно понимать, что современное машинное обучение – это не один или два, и даже не пять алгоритмов. Это целые наборы очень сложных последовательностей. В частности, нейросети включают в себя множество последовательных алгоритмов машинного обучения. И задача особых специалистов, которых называют data scientist, изначально задать такую последовательность, такой набор алгоритмов с учетом параметров, чтобы они давали как можно меньше ошибок. Например, нейросеть, которую использует наша компания для определения зловредных доменов, дает менее 5% ошибок. Это хороший результат – выявляется большинство реальных угроз, связанных с использованием алгоритмов генерации доменных имен (Domain Generation Algorithms, DGA). Однако применение любых технологий машинного обучения для нейросети имеет как плюсы, так и минусы. Глобальный плюс в том, что она работает без каких-то затрат на дописывание алгоритмов вручную и позволяет выявлять то, что без использования этих технологий пришлось бы очень долго обрабатывать и потребовало бы очень много ресурсов. Минус в том, что в случае ошибки, в отличие от стандартных алгоритмических систем, очень сложно понять, откуда появилась ошибка, и ее исправить. Поиск причины, по которой нейросеть где-то отреагировала правильно, а в другом случае ложно, очень затруднен. Сложно найти ту конкретную точку в алгоритме, что привела к неправильной интерпретации, поскольку это сеть, которая обучается самостоятельно и сама принимает решения. Это как раз одна из особенностей эксплуатации систем защиты, основанных на машинном обучении. То есть технологиям ИИ еще есть куда расти в плане эффективности.
Как именно будет эволюционировать «древо» технологий ИИ?
Есть много компаний, развивающих технологии искусственного интеллекта. Одни работают, прежде всего, над уменьшением требуемых ресурсов для функционирования систем ИИ, что важно, особенно применительно к глобальным системам информационной безопасности. Другие сфокусированы на совершенствовании методов выявления ошибок и диагностики систем ИИ, повышении устойчивости самообучающихся систем к внешним воздействиям. Многие работают в сторону улучшения существующих алгоритмов – увеличения количества выявляемых угроз и уменьшения количества ложных срабатываний. Но ведутся и разработки новых алгоритмов для более быстрого и эффективного решения сложных комплексных задач информационной безопасности. В будущем возможности покрытия системами ИИ своих профильных задач будут расти, а количество ошибок, обусловленных несовершенством алгоритмов, будет снижаться. Также возможна какая-то стандартизация технологий и систем, нацеленных на применение в сфере ИБ. Однако сейчас сложно точно предсказать, как пойдет этот процесс. Зато можно уверенно утверждать, что прогресс будет и на черной стороне – злоумышленники будут совершенствовать приемы и практики использования ИИ в своих целях, например, для поиска уязвимостей в криптоалгоритмах, выбора оптимальных способов проникновения и сокрытия вредоносного кода.
Какими новыми возможностями будут обогащаться системы ИБ на основе технологий ИИ в дальнейшем?
На глобальном уровне будут развиваться системы, готовящие компании и целые отрасли к новым угрозам. Многочисленные группы реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERTs) будут анализировать массивы данных и предупреждать пользователей о новых угрозах. Это первое глобальное направление развития ИИ. Возможно, будут появляться глобальные стандартные модели и подходы, используемые для борьбы с мошенничеством. Скорее всего, технологии ИИ также будут использоваться для борьбы с социальной инженерией. Анализ голоса, данных, блокировка нелегитимной активности на глобальном уровне при совершении финансовых операций – это тоже, возможно, будет использоваться.
Недалеко и то время, когда технологии ИИ, объединяющие все системы безопасности организации, будут без участия человека проводить всеобъемлющий анализ событий и принимать решения о блокировке потенциальных угроз. То есть через какое-то время присутствие человека, скажем, в SOC (центрах обеспечения безопасности) сведется к минимуму – большинство функций возьмет на себя компьютер.
Если говорить о конкретных продуктах, то на данный момент технологии машинного обучения используются не во всех средствах защиты информации. Думаю, помимо унификации и стандартизации систем ИИ, будет происходить расширение их экосистемы – технологии ИИ и машинного обучения будут интегрироваться в те средства защиты информации, где их раньше не было. К примеру, DLP-системы уже используют ИИ. Антивирусы раньше не использовали, а пришедшие им на смену EDR и EPP (Endpoint Protection Platform) – используют. Эти решения без технологий машинного обучения уже в принципе не могут существовать. И SIEM-систему сейчас тоже сложно представить без машинного обучения. Ее задача агрегировать информацию из различных средств защиты и выявлять аномалии. Здесь тоже без ИИ не обойтись. Ну, или это будет очень странная SIEM-система, для которой придется вручную писать новые алгоритмы и правила корреляции каждый день – в связи с появлением новых угроз.
Но, повторю, есть большое количество классов решений, которые пока не эксплуатируют технологии машинного обучения. Например, это стандартные IDS-системы, в стандартных сетевых экранах ИИ пока нет, хотя в межсетевых экранах нового поколения (Next-Generation Firewall, NGFW) они уже используются. А в СКУД (системы контроля физического доступа) технологии ИИ пока не проникли. При этом эффективное взаимодействие этих систем с другими средствами защиты в целях безопасности возможно и полезно. Представьте, SIEM фиксирует, что работа с локальным компьютером в организации началась, когда работник еще не вошел в здание, поэтому доступ к компьютеру своевременно блокируется. Такая защитная реакция возможна лишь при наличии взаимосвязи и корреляции данных разных систем – СКУД и системы авторизации. А выявление таких угроз проще выстроить с помощью UEBA-алгоритмов, которые строятся на моделях, использующих машинное обучение. Так вот, всё дальше и всё больше технологии машинного обучения и искусственного интеллекта будут проникать в продукты и системы, которые исторически их не используют.
Применение технологий ИИ – лишь одно из направлений развития SIEM. Перечислите, пожалуйста, другие перспективные направления развития систем класса SIEM.
Вообще ИИ ведет не к унификации, а к увеличению функционала различных систем безопасности. То есть функционал вокруг отдельных классов решений благодаря ИИ все время растет. То же самое происходит с SIEM. В SOC-центрах, как внутренних в организациях, так и аутсорсинговых, которые предоставляют услуги защиты для внешних компаний, сейчас используется большое число разных систем, стоящих отдельно от SIEM. Это, например, системы управления уязвимостями или системы управления антивирусными продуктами. И сейчас мы все больше приходим к тому, что много систем – это хорошо, но лучше, когда действуют они в составе одного сквозного решения, для которого не требуется специально устраивать глубокую интеграцию самостоятельных компонентов. Это сквозное решение можно построить на базе SIEM, аккумулируя в нем множество функций, делегированных системам, стоящим в SOC рядом, но отдельно от SIEM.
Функционал SIEM уже сейчас довольно широк и включает в себя выполнение задач по управлению активами, функции Incident Response Platform и UEBA. По сути, уже сейчас SIEM –это ядро SOC, вокруг которого формируется своя экосистема. И эта экосистема будет расширяться за счет вовлечения других отдельных средств контроля, мониторинга и защиты.
Второе перспективное направление развития SIEM – это уход в облака. SIEM станут из облаков защищать облака, уметь работать с облаками, частными, публичными или гибридными.
Третье: SIEM будут покрывать не только задачи ИБ, но и задачи ИТ. Они все больше будут помогать сотрудникам ИТ-служб в предоставлении сервисов пользователям, осуществлении технической поддержки, мониторинга рабочих мест, контроля работоспособности и так далее. Потому что информация, которую агрегируют системы SIEM, может быть использована для выполнения большого количества задач департамента ИТ.
И, конечно, будет расширяться применение в SIEM различных технологий ИИ. SIEM идут в сторону анализа данных с помощью ИИ не только для выявления аномалий, чреватых инцидентами ИБ, но и выявления каких-то иных закономерностей. В частности, задачи антифрода – это не прямые задачи SIEM, но при этом архитектурно система SIEM создана для обработки Больших Данных, поэтому никто не мешает построить на их основе модуль борьбы с мошенничеством. Таким образом, будущее SIEM связано с расширением функционала за счет роста экосистемы модулей ИБ и выполнения некоторых функций ИТ-служб.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
