Применение технологий искусственного интеллекта в информационной безопасности

Применение технологий искусственного интеллекта в информационной безопасности

Фрагмент исследования фонда «Сколково», выполненного совместно с Anti-Malware.ru, в котором приведена классификация существующих продуктов по информационной безопасности, использующих технологии машинного обучения, предиктивной аналитики и поведенческого анализа, которые обычно обозначают общим термином «технологии искусственного интеллекта».

 

 

 

 

  1. Введение
  2. Релевантность искусственного интеллекта в информационной безопасности
  3. Классификация продуктов с технологиями искусственного интеллекта по сценариям применения
  4. Оценка использования технологий искусственного интеллекта в информационной безопасности
  5. Выводы

 

Введение

Технологии искусственного интеллекта (ИИ) и машинного обучения уже сейчас широко применяются в информационных системах для увеличения производительности труда, повышения продаж, обучения. Их использование в защите от кибератак становится одним из ключевых направлений в информационной безопасности.

На текущий момент количество атак растёт, а ландшафт угроз меняется с молниеносной скоростью. Например, продукты Kaspersky отражают более 700 млн онлайн-атак в квартал (данные за вторую четверть 2019 года) по всему миру, а Cisco заявляет о блокировании 20 млрд сетевых атак в день (более 7 триллионов атак за 2018 год). Очевидно, что при таких объёмах вредоносной деятельности злоумышленники активно применяют средства автоматизации кибератак, в том числе используют технологии искусственного интеллекта и машинного обучения для их совершенствования и трансформации, а также для обхода известных средств защиты. Так, например, эффективным прототипом является известный троян Emotet. Основным каналом для его распространения является спам-фишинг, и группировка, стоящая за созданием Emotet, могла без особых затруднений использовать ИИ для усиления атаки, встраиваясь нативно в цепочки разговоров и используя анализ текста на естественном языке.

Другой возможной сферой вредоносного применения искусственного интеллекта является более эффективный подбор паролей или обход двухфакторной аутентификации. Ещё два года назад исследователи создали бота, который был способен обходить проверки СAPTCHA с эффективностью в 90% с помощью технологий ИИ. Используя огромное количество различных источников данных в даркнете для формирования базы знаний искусственного разума, злоумышленники могут сделать атаки на человека по-настоящему действенными.

Для того чтобы справиться с растущим объёмом атак, производители систем защиты тоже начинают активно внедрять технологии искусственного интеллекта, машинного и глубокого обучения (ML / DL) для обнаружения, прогнозирования киберугроз, реагирования на них в режиме реального времени. В целом, по данным Webroot, около 85% профессионалов по информационной безопасности верят в то, что злоумышленники используют технологии ИИ в своих атаках.

Наши партнёры из Фонда «Сколково» также убеждены, что технологии искусственного интеллекта (ИИ) и машинного обучения существенно меняют уровень рисков и требования к решениям для обеспечения защиты.

Технологии искусственного интеллекта предоставляют возможность создавать решения существенно более высокой эффективности, позволяющие идентифицировать кибератаки с высокой скоростью, выбирать оптимальный ответ на инциденты безопасности, в автоматическом режиме проводить оценку актуальности и последствий инцидентов, в реальном времени вырабатывать пропорциональный ответ. В этой связи в кластере ИТ Фонда «Сколково» проводим ряд мероприятий и реализуем ряд программ поддержки, нацеленных на разработки новых продуктов с применением данных технологий; проведённое исследование содержит ценный срез рынка и помогает сформулировать планы развития новых продуктов и развития компаний. 

— Сергей Ходаков, операционный директор Кластера ИТ, Фонд «Сколково»

 

Релевантность искусственного интеллекта в информационной безопасности

В 2019 году мировой рынок технологий искусственного интеллекта в информационной безопасности оценивается экспертами (MarketsandMarkets, Zion Market Research) в $8 млрд, с достижением $30 млрд в 2025 году и ежегодным ростом на 23%.

 

Рисунок 1. Прогноз объёма мирового рынка технологий искусственного интеллекта в информационной безопасности на 2019-2025 годы, по данным MarketsandMarkets

 Прогноз объёма мирового рынка технологий искусственного интеллекта в информационной безопасности на 2019-2025 годы, по данным MarketsandMarkets

 

Организации, внедряющие технологии искусственного интеллекта для поведенческого анализа и предиктивной аналитики, получают ощутимые результаты в виде повышения эффективности обнаружения атак, сокращения времени реагирования и затрат на организацию безопасности.

По данным Capgemini Research Institute, 64% организаций, годовая выручка которых составляет более $1 млрд,  заявляют о том, что технологии искусственного интеллекта сокращают затраты на обнаружение и реагирование на угрозы безопасности, и около 75% заявляют о сокращении времени реагирования (до 12%).

 

Рисунок 2. Статистика сокращения расходов на детектирование и реагирование на инциденты при использовании технологий ИИ

 Статистика сокращения расходов на детектирование и реагирование на инциденты при использовании технологий ИИ, по данным Capgemini Research Institute

 

Рисунок 3. Статистика сокращения времени обнаружения угроз при использовании технологий ИИ

 Статистика сокращения времени обнаружения угроз при использовании технологий ИИ

 

Для исследования нами было отобрано из публичных аналитических отчётов, упоминаний в прессе и открытых баз (Crunchbase, Owler, Angel List) 66 вендоров, которые активно применяют технологии поведенческого анализа и предиктивную аналитику в своих продуктах по информационной безопасности. Участники выбирались по принципу глобальной доступности, локальные игроки (т.е. работающие только в своей стране или регионе) не учитывались в исследовании, так же как и местные рынки в целом. Существует много предприятий, имеющих продукты в разработке; они также не попадают в классификацию, но учитываются в инвестиционном анализе.

Суммарно сегмент вендоров, которые применяют ИИ в своих продуктах по информационной безопасности, имеет следующую оценку (выручка по результатам 2018 года):

 

Таблица 1. Общая оценка отобранных вендоров

Суммарные инвестиции, $ млн

3749

Суммарная выручка, $ млн

1592

 

Пик появления стартапов приходится на 2014—2015 годы, когда появились базовые библиотеки и технологии ИИ начали активно применяться в прикладных системах.

 

Рисунок 4. Распределение вендоров по году основания

 Распределение вендоров по году основания

 

Статистика инвестиционной активности показывает, что существуют две основные волны применения технологий. Компании первой волны находятся на позднем этапе венчурных инвестиций, в основном их разработки относятся к типу EDR. Предприятия второй волны специализируются на предиктивной аналитике / агрегации внешних данных и сейчас ещё находятся на посевном этапе или в ранних раундах венчурных инвестиций.

 

Классификация продуктов с технологиями искусственного интеллекта по сценариям применения

Классифицировать продукты отобранных нами компаний, применяющие технологии поведенческого анализа и предиктивной аналитики, можно по двум направлениям: по функциональному и технологическому типу и по сценариям использования.

 

Рисунок 5. Распределение продуктов с применением технологий ИИ по сценариям использования

 Распределение продуктов с применением технологий ИИ по сценариям использования

 

Перечислим основные типы:

  1. EDR (Endpoint Detection and Response) — платформы обнаружения атак на рабочих станциях, серверах, любых компьютерных устройствах (конечных точках) и оперативного реагирования на них. С помощью технологий ИИ продукты данной категории могут обнаруживать неизвестные вредоносные программы, автоматически классифицировать угрозы и самостоятельно реагировать на них, передавая данные в центр управления. ИИ принимает решения на основе общей базы знаний, накопленной путём сбора данных со множества устройств. Некоторые продукты данного типа используют технологии ИИ для разметки данных на конечных точках и дальнейшего контроля их перемещения, чтобы выявлять внутренние угрозы.
  2. NDR (Network Detection and Response) — устройства и аналитические платформы, которые обнаруживают атаки на сетевом уровне и позволяют оперативно на них реагировать. Используя накопленную статистику и базу знаний об угрозах, продукты данного типа выявляют с помощью технологий ИИ угрозы в сетевом трафике и могут автоматически на них реагировать надлежащим образом, изменяя конфигурацию сетевых устройств и шлюзов. Часть продуктов данного типа специализируется на защите облачных провайдеров и их инфраструктуры. Дополнительный сценарий использования ИИ в сетевой защите — это анализ почтового трафика на предмет фишинга.
  3. UEBA (User and Entity Behavior Analytics) — системы поведенческого анализа пользователей и информационных сущностей. Они обнаруживают случаи необычного поведения и используют их для детектирования внутренних и внешних угроз.     Основной сценарий применения ИИ-технологий в продуктах типа UEBA — это автоматическое выявление аномалий в поведенческих моделях (отклонение от нормы или соответствие шаблону (паттерну) угрозы) для пользователей и различных сущностей информационных систем. Выявленные аномалии классифицируются с помощью ИИ как различные угрозы и риски для бизнеса. Аномальное поведение может выявляться в целях мониторинга и управления доступом, обнаружения мошенничества среди клиентов или сотрудников (антифрод), защиты конфиденциальных данных, проверки соблюдения тех или иных регламентов и нормативных актов.
  4. TIP (Threat Intelligence Platform) —платформы раннего детектирования угроз и реагирования на них, действующие на основе большого количества различных данных (Data Lake) и индикаторов компрометации (IoC).Применение ИИ позволяет повысить эффективность выявления неизвестных угроз на ранних этапах; сценарий очень схож с работой SIEM-систем, но нацелен на внешние источники данных и внешние угрозы.
  5. SIEM (Security Information and Event Management)  — решения, которые осуществляют мониторинг информационных систем, в режиме реального времени анализируют события безопасности, поступающие от сетевых устройств, средств защиты информации, ИТ-сервисов, инфраструктуры систем и приложений, и помогают обнаружить инциденты ИБ.  В системах такого класса накапливается огромное количество данных из различных источников, а применение технологий ИИ даёт возможность выявления аномалий эвристическими методами и сокращения ложных срабатываний при изменении паттернов и моделей данных. Применение ИИ в SIEM-системах позволяет достигнуть очень высокого уровня автоматизации.
  6. SOAR (Security Orchestration and Automated Response) — системы, позволяющие выявлять угрозы информационной безопасности и автоматизировать реагирование на инциденты. В решениях данного типа, в отличие от SIEM-систем, ИИ помогает не только проводить анализ, но и автоматически реагировать надлежащим образом на выявленные угрозы.
  7. Средства защиты приложений (Application Security) —  системы, позволяющие определять угрозы безопасности прикладных приложений, управлять дальнейшим циклом мониторинга и устранения таких угроз. Основной сценарий применения технологий ИИ в системах защиты прикладных приложений — автоматический сбор информации об уязвимостях, атаках и заражениях, доступной в открытых источниках, и основанная на его результатах автоматизация защитных действий: сканирования на уязвимости, изменения правил защиты для веб-приложений, выявления угроз и изменения рисковой модели.
  8. Антифрод (Antifraud) — системы, позволяющие выявлять угрозы в бизнес-процессах и предотвращать мошеннические операции в режиме реального времени. В системах защиты от мошенничества технологии ИИ применяются для определения отклонений от установленных бизнес-процессов, тем самым помогая быстро реагировать на возможное финансовое преступление или уязвимость процессов. Применение ИИ в таких системах особенно актуально, так как позволяет быстро адаптироваться к изменению логики и различных метрик бизнес-процессов, а также использовать лучшие практики в индустрии.

 

Оценка использования технологий искусственного интеллекта в информационной безопасности

Для всех типов данных систем технологии искусственного интеллекта позволяют увеличить эффективность детектирования неизвестных угроз. Так считают, по данным SANS, около 30% специалистов по безопасности.

 

Рисунок 6. Какие метрики информационной безопасности улучшит применение технологий ИИ

 Какие метрики информационной безопасности улучшит применение технологий ИИ, по данным SANS

 

По данным Osterman Research, большинство компаний, которые начали использовать продукты с технологиями ИИ, отмечают повышение эффективности в расследовании инцидентов, управлении персоналом по информационной безопасности, обнаружении и скорости реакции на угрозы. Многие также обращают внимание на сокращение количества ложных срабатываний.

 

Рисунок 7. Статистика по улучшению показателей информационной безопасности после применения технологий ИИ

 Статистика по улучшению показателей информационной безопасности после применения технологий ИИ, по данным Osterman Research

 

По данным Ponemon Institute, около 60% специалистов по ИБ считают, что использование технологий искусственного интеллекта  в информационной безопасности повышает скорость анализа и обнаружения угроз на конечных точках и в приложениях.

 

Рисунок 8. Статистика улучшения метрик информационной безопасности после применения технологий ИИ

 Статистика улучшения метрик информационной безопасности после применения технологий ИИ, по данным Ponemon Institute

 

Выводы

Обзор состояния сегмента искусственного интеллекта в информационной безопасности позволяет сделать следующие заключения:

  • Искусственный интеллект вносит заметный вклад в борьбу с современными информационными угрозами. В частности, в большинстве случаев внедрение технологий ИИ в информационной безопасности организации сокращает время выявления проблем и реагирования на инциденты, а также расходы на управление персоналом. Эксплуатанты отмечают рост эффективности детектирования неизвестных угроз, а также скорости анализа и обнаружения вредоносной активности на конечных точках и в приложениях.
  • Суммарные инвестиции в компании, которые создают продукты по информационной безопасности с применением технологий ИИ, составляют $3749 млн на конец 2019 года. При этом мировой рынок продуктов по информационной безопасности с применением технологий ИИ достигнет $30 млрд в 2025 году с ежегодным ростом на 23%.

Во второй части обзора будут представлены динамика и перспективы развития соответствующего сегмента, в том числе — аналитика по российскому рынку, основанная на результатах онлайн-опроса, который проводился на Anti-Malware.ru в ноябре 2019 года.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru