Искусственный интеллект как защита: использование машинного обучения для обеспечения безопасности компании

Искусственный интеллект как защита: использование машинного обучения для обеспечения безопасности компании

Бизнес терпит огромные убытки из-за кибератак. Один из возможных инструментов противодействия киберугрозам — технологии искусственного интеллекта. На основе экспертного опыта Orange Business Services рассказываем о том, насколько ИИ эффективен в плане защиты бизнеса, где можно и где не стоит применять эти технологии.

 

 

 

 

 

  1. Введение
  2. Миллиардные убытки из-за киберпреступников
  3. Искусственный интеллект как инструмент информационной безопасности
  4. А кому ИИ-технологии не нужны?
  5. Выводы

Введение

Вопрос защиты информации бизнеса актуален как никогда, поскольку количество и масштабы киберпреступлений постоянно растут. Так, несколько недель назад эксперты из компании Agari обнаружили целую серию опасных кибератак, нацеленную на российские промышленные предприятия. Специалисты считают, что эта кампания началась ещё в 2018 году. За ней стоит группировка киберпреступников, которая использует многоэтапную подготовку. Это — лишь один пример; таких группировок много, пусть и применяют они схожие методы. Так, сервисы компании Cisco блокируют около 20 млрд сетевых атак в сутки.

Миллиардные убытки из-за киберпреступников

Всё начинается с фишинговых писем, направляемых сотрудникам определённых предприятий. Когда сотрудник открывает такое письмо, его компьютер заражается вирусом, который загружает вредоносный модуль. Этот модуль затем используется злоумышленниками для достижения своих целей — получения корпоративной информации, доступа к банковским счетам и т. п. И это — далеко не единственный случай работы киберпреступников, ведь подобные группы активно действуют не только в РФ, но и в других странах. Только BEC-атаки (Business Email Compromise, компрометация деловой электронной почты) приводят к ежегодным убыткам компаний во всём мире в размере около 26 млрд долларов США.

Противодействовать им обычными методами сложно: антивирус, например, не детектирует угрозу, поскольку злоумышленники защищают вредоносную программу от обнаружения, используя обфускацию кода. Бизнес терпит крупные убытки. Лишь в 2019 году объём хищений с карт клиентов банков России превысил 1,5 млрд рублей. Страдают не только банки и их клиенты, но и представители других отраслей — промышленные предприятия, компании с технологическим ноу-хау и т. п.

В период пандемии COVID-19 у бизнеса появилось ещё несколько проблем в отношении информационной безопасности:

  • отсутствие надёжных инструментов для защиты рабочих мест сотрудников, работающих удалённо;
  • несвоевременное обнаружение атак с использованием вредоносных программ;
  • размытие внешнего защитного IT-периметра организаций из-за перехода на удалённый режим работы;
  • возвращение в офисы в период ослабления пандемии: компаниям, которые только успели настроить защиту «удалённого» периметра, пришлось снова адаптироваться к офисному режиму.

Искусственный интеллект как инструмент информационной безопасности

За последние несколько лет ИИ-технологии стали активно внедряться в инфраструктуру информационной защиты бизнеса. Так, в прошлом году объём мирового рынка технологий искусственного интеллекта в ИБ достиг отметки в 8 млрд долларов США. К 2025 году ожидается рост объёма этой отрасли до 30 млрд долларов.

В этом нет ничего удивительного, поскольку большинство решений в сфере информационной безопасности так или иначе основаны на ИИ. Практически любой классический антивирус использует некоторые возможности из сферы машинного обучения и больших данных. Идёт уже не просто локальное сравнение подозрительного файла с контрольным участком вредоносной программы, хранящимся в базе антивируса. Используется ещё и поведенческий анализ, способный обнаружить опасные объекты, признаки которых отсутствуют в антивирусной базе, а также другие комплексные технологии.

Конечно, кроме антивирусов и файрволов есть и более современные решения и методы на основе искусственного интеллекта.

Threat Intelligence. Речь идёт об активной защите, «киберразведке» с поиском информации о возможных угрозах. Этот метод даёт возможность узнать об угрозе бизнесу до того, как она будет реализована и повлечёт за собой ущерб. Сотрудники отдела информационной безопасности или аналитики SOC собирают сведения, анализируют и обрабатывают данные из так называемых «фидов». Это — потоки данных, содержащие индикаторы компрометации, т. е. признаки, по которым можно распознать потенциальную угрозу, такие как хеши вредоносных файлов, IP-адреса и домены, связанные с преступной активностью.

Threat Intelligence необходимо использовать во взаимосвязи с другими процессами обеспечения информационной безопасности, включая реагирование на инциденты, управление рисками и уязвимостями, выявление мошенничества. Этот метод повышает как качество, так и скорость реагирования на инциденты.

Threat Hunting. «Охота» на киберугрозы — это проактивный подход к противодействию им. Вместо того чтобы реагировать на уже случившийся инцидент, Threat Hunting предлагает выявлять потенциальные угрозы. Важную роль в этом случае играет телеметрия в режиме реального времени, которая позволяет получить все необходимые данные для глубокого анализа потенциальных угроз. Threat Hunting даёт возможность предупреждать комплексные угрозы, которые зачастую приводят к доступу злоумышленников внутрь защитного периметра компании и долгосрочному пребыванию в этом периметре. Именно о такой проблеме говорилось в самом начале статьи.

О Threat Hunting можно говорить как о моделировании атаки. Изучив применяемые техники и методы проникновения злоумышленников в корпоративную сеть, а также то, как проходит определённая атака, эксперт по ИБ делает выводы о том, где может пройти проникновение или заражение, и принимает превентивные меры.

Anti-APT. Киберпреступники активно используют сложные атаки, цель которых — проникновение в инфраструктуру компании и несанкционированная эксплуатация этой инфраструктуры в корыстных или личных целях. Как правило, APT-атаки тщательно готовятся профессиональными киберпреступниками со значительными ресурсами.

По данным Positive Technologies, две трети представителей финансовой отрасли в РФ сталкивались с последствиями кибератак. 34 % опрошенных представителей отрасли заявили, что их организации понесли прямые финансовые потери. В 2018 году ущерб от APT-атак со стороны лишь двух группировок киберпреступников — Cobalt и Silence — составил 58 млн рублей.

Для борьбы с этой разновидностью атак активно используются ИИ-технологии. В частности, они помогают выявить признаки присутствия злоумышленников при работе с системой ловушек Honey Tokens. Кроме того, на основе ИИ разворачиваются и SIEM-системы, позволяющие агрегировать и анализировать события в IT-инфраструктуре компании.

Anti-fraud. Банковские и финансовые организации активно используют комплексы фродмониторинга на основе ИИ. Это — системы, которые предназначены для оценки финансовых транзакций в интернете на предмет наличия признаков мошенничества. В их основе — технология машинного обучения, как с учителем (supervised learning), так и без него (unsupervised learning). Антифрод-решения позволяют не только предотвращать мошеннические операции, но и управлять рисками.

Анализ поведения сотрудников. Простой пример — изучение активности учётной записи сотрудника бухгалтерии. Анализ показывает, что сотрудник проявляет активность с 8 утра до 6 вечера и обменивается информацией примерно с одними и теми же контактами, использует определённый набор ресурсов. ИИ-система составляет паттерн поведения этой учётной записи. В один прекрасный день, например в субботу, система «видит», что учётная запись бухгалтера внезапно проявила активность в два часа ночи, запросив информацию из необычного для неё источника. Это уже — аномалия, подозрительное поведение, что фиксируется системой. Далее выясняется причина активности учётной записи и последняя либо блокируется (если происходящее — результат взлома), либо нет (ведь возможно, что бухгалтер просто делает срочный отчёт, для подготовки которого нужны дополнительные данные).

Аналогичным образом анализируются и действия клиентов организации, например банка. Если замечено необычное для определённого пользователя поведение, такое как перевод крупной суммы средств контакту не из списка доверенных, то операция может быть заблокирована.

В целом все методы и решения можно разделить на внешние, которые направлены на анализ действий пользователей и событий вне защитного периметра организации, и внутренние, направленные на анализ событий и поведения пользователей внутри организации. И там, и там сейчас активно используются машинное обучение, работа с большими данными, искусственный интеллект.

Системы, подобные описанным выше, крайне необходимы многим промышленным предприятиям, страховым, банковским и финансовым компаниям, ряду критически важных государственных организаций.

А кому ИИ-технологии не нужны?

Использование искусственного интеллекта и машинного обучения обычно предполагает наличие соединения как по локальной сети, так и с интернетом. Соответственно, применять эти технологии нельзя там, где необходимо свести к нулю вероятность подключения злоумышленников извне. Это — критически важные объекты энергетической инфраструктуры страны, например АЭС. Это — военно-промышленные предприятия, в частности те, что производят вооружение.

Что касается бизнеса, то ИИ-технологии и машинное обучение необходимы компаниям, которые имеют дело с огромными объёмами данных, тысячами транзакций и десятками тысяч пользователей. Внедрять машинное обучение и технологии искусственного интеллекта в рамках малого бизнеса не всегда имеет смысл.

Ещё один важный момент: искусственный интеллект — не панацея, а дополнение к основному инструментарию специалистов по ИБ. Не стоит считать, что если подключить сервис с элементами ИИ к банковской системе без настройки соответствующих бизнес- и организационных процессов, то всё сразу станет хорошо. Нет, ИИ-технологии — это не сервис и не коробка с товаром, которые сразу же решают все проблемы с информационной безопасностью. Последнее слово и принятие окончательного решения всё равно должны оставаться за специалистом по ИБ.

Выводы

В качестве вывода стоит сказать, что сейчас в теме применения ИИ для защиты информационных систем весьма много трендов и актуальность многих из них будет активно расти в ближайшее время. Свою лепту в данный процесс вносит переход огромного числа людей на удалённый режим работы во время уже второй волны COVID-19. Многим организациям снова приходится перестраивать процессы обеспечения информационной безопасности, использовать новые средства для распознавания «свой-чужой».

Нагрузка на подразделения информационной безопасности разных компаний постепенно растёт, а это значит, что без дополнительных инструментов, включая те, что основаны на ИИ, обойтись не получится: рисков в условиях «размытого периметра» становится гораздо больше. Если мы говорим про тренды и направления в сфере ИБ настоящего и ближайшего будущего, которые в своём арсенале в том или ином виде используют ИИ, то это — EDR- / XDR-решения для конечных хостов, UEBA, SGRC-продукты, Honey Tokens и другие разработки класса Deception, IRP (Incident Response), TI- / TH-платформы и т. д. Решений и направлений — значительное количество, и важно грамотно и осознанно их применять.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru