Обоюдоострое оружие

Логотип компании
Обоюдоострое оружие
Прошлый опыт, особенно примененный «в лоб», то есть стремление свести задачу к предыдущей, имеющей известное решение, только вредит в безопасности

Сейчас практически все разработчики информационных технологий экспериментируют с искусственным интеллектом. На рубеже 2015–2016 годов в некоторых областях был сделан серьезный прорыв: например, нейросети для распознавания лиц стали давать результаты, сравнимые по качеству распознавания с естественным интеллектом, но драматически превышающие его в скорости аутентификации. Так что сегодня появились не только теоретические выкладки победы машины над человеком, типа шахмат или го, но и сугубо практические. Довольно скоро человечество столкнется с повсеместной заменой людей роботами (правда, это будут не настоящие механические роботы из фантастических романов, а скорее программные или программно-аппаратные комплексы), не избежит этого и информационная безопасность.

Иногда журналисты сравнивают информационную безопасность с военным делом, даже используют соответствующую терминологию: «атака», «разведка», «эшелонированная оборона» и т. д. Та же аналогия применима и к искусственному интеллекту, а именно известный афоризм, уже ставший поговоркой, что «генералы готовятся к прошлой войне».

Принципиально новые решения

С помощью известных атак обучая систему защиты, основанную на искусственном интеллекте, мы готовим ее к отражению ударов, защититься от которых гораздо проще и безо всяких нейросетей — используя сигнатуры. Если в задаче распознавания образов или машинного перевода обучение на старых данных совершенствует алгоритм, то в проблеме отражения атак как минимум не улучшает, но может и ухудшить. Каждая новая попытка взлома информационных систем — это новые алгоритмы, новые уязвимости и сценарии. Соответственно, прошлый опыт, особенно примененный «в лоб», то есть стремление свести задачу к предыдущей, имеющей известное решение, только вредит в безопасности. А потому принципиальное отличие искусственного интеллекта в информационной безопасности — неэффективность акцентирования на уже накопленные данные. Мы, безопасники, в основном исследуем аномалии поведения защищаемого объекта. И значит, системы защиты с искусственным интеллектом должны быть не улучшенными версиями существующих систем, а принципиально новыми решениями. Традиционные системы создают препятствия от известных угроз, применяя паттерны (правила, сигнатуры) к активностям. Системы защиты, базирующиеся на искусственном интеллекте, имеют дело с новыми, не известными до этого, угрозами. Для отражения новых атак приходится не только использовать новые алгоритмы, но и глубоко понимать, как работает защищаемая система, какие процессы в ней являются нормальными, а какие— аномальными. Задача безопасности осложняется тем, что защищаемые системы постоянно меняются, и то, что вчера было аномальным, завтра может стать нормой. Модная методология гибкого управления проектами (agile) дает определенный выигрыш бизнесу, но сильно осложняет жизнь защитникам — не только потому, что постоянно меняет функциональность объекта защиты, но и принципиальным отсутствием низкоуровневой документации, заменяющейся пользовательскими историями (user stories).

Суровые будни ИБ

Также не надо забывать, что искусственный интеллект — оружие обоюдоострое: и алгоритмы, и вычислительные мощности доступны не только защитникам, но и нападающим. Довольно скоро отомрет такой фильтр, как «капча», загадки на основе картинок с символами или объектами, целью которых является отделение человека от робота — современные системы искусственного интеллекта проходят этот тест уже лучше человека. Уже встречаются «разведки боем» — ложные атаки, призванные не взломать защиту, а «засветить» тип систем защиты и алгоритмы отражения угроз, чтобы обучить атакующую систему методам обхода защиты. Так что борьба «снаряда и брони» переместилась и в область искусственного интеллекта. То, что для других задач искусственного интеллекта — экзотика (вряд ли текст для перевода будет сопротивляться машинному переводу, обманывая алгоритм, например, переставляя буквы или прикидываясь другим языком), для информационной безопасности — суровые будни.

Поэтому пока наиболее эффективные системы защиты — многослойные инструменты, сочетающие как традиционные (сигнатурные) методы, анализ аномалий, аналитику поведения объекта защиты, так и интеграцию систем защиты от разных типов нападений — только таким образом удается противодействовать постоянно растущей мощи атак злоумышленников.

 

Читайте также
1 сентября 2024 года должно было стать знаковой датой для предприятий, относящихся к субъектам КИИ: с этого времени они должны были перестать приобретать и использовать так называемые «недоверенные» программно-аппаратные комплексы. Данное событие могло бы стать еще одним драйвером для развития отечественной ИТ-отрасли, однако пока множество сдерживающих факторов – от терминологических до организационных – мешают совершать этот переход.

Похожие статьи