Искусственный интеллект меняет кибербезопасность

Логотип компании
Искусственный интеллект меняет кибербезопасность
Почему человек перестал справляться с кибератаками и как защититься от них при помощи искусственного интеллекта.

В прошлом году российские компании потеряли более 116 млрд рублей из-за кибератак, и цифра эта будет только расти. Вместе с ними увеличиваются и расходы на информационную безопасность: по прогнозам, в 2020 году организации во всем мире будут тратить на средства защиты 100 млрд долларов в год. Атаки становятся многоуровневыми, а затраты на их отражение увеличиваются из года в год.

Люди перестают справляться с защитой от кибератак

Звучит неприятно, но это так. И дело совсем не в том, что инженеры по кибербезопасности стали хуже работать, наоборот, просто работы становится все больше. Но эффективно отражать большинство атак — хотя бы критических и среднего уровня опасности — все сложнее. На это есть как минимум четыре причины.

1.      Кибератак не просто становится больше — они становятся сложнее. Все чаще злоумышленники проводят комплексные и многоступенчатые атаки. Например, некоторые нападения проводятся для того, чтобы отвлечь внимание специалистов по безопасности от другого участка информационной безопасности. У компаний возникает два пути: либо «раздувать штаты» отделов кибербезопасности, либо внедрять автоматизированные решения, которые учитывают сложность этих атак.

2.      Люди, к сожалению, совершают ошибки. Это касается всех: от разработчиков, допускающих уязвимости в исходных кодах, до инженеров по безопасности, которые не всегда могут принять правильное решение во время атаки на ИТ-инфраструктуру, когда счет идет на секунды. Проблема в том, что большинство инструментов ИБ все еще не реагируют на кибератаки, а лишь оповещают о них сотрудника департамента кибербезопасности. Все важные решения всегда остаются за человеком.

3.      Технологии становятся доступнее не только бизнесу, но и хакерам. Специалисты по кибербезопасности всегда «играют по правилам»: используют тот набор инструментов и регламентов, который принят в организации. У злоумышленника же регламентов нет: он использует все то, до чего сможет «дотянуться». В том числе, до технологий искусственного интеллекта. Раньше, если у преступника была база из тысяч организаций, он брал оттуда случайную выборку и атаковал компании из нее. Теперь с помощью искусственного интеллекта он может предположить, какие из записей базы интересуют его больше всего — у кого больше всего денег на счете или хуже всего устроена система безопасности — и адресно атаковать их.

4.      Кадровый голод на рынке специалистов по ИБ. Чем больше угроз, тем сложнее найти квалифицированного эксперта (особенно в регионах), и тем выше их зарплатные ожидания.

Все привыкли к тому, то департамент информационной безопасности — подразделение не зарабатывающее. Поэтому увеличивать бюджет на растущие опасности крайне сложно: бизнес-департаментам сложно понять, почему денег на безопасность нужно все больше, а в штат департамента нужно нанимать все больше редких и дорогих специалистов. Кроме того, это бессмысленно: технологии будут развиваться все быстрее, и они будут все доступнее злоумышленникам.

Без искусственного интеллекта, который мог бы сам обучаться на живых примерах и все лучше «отлавливать» атаки, не обойтись.

Искусственный интеллект меняет кибербезопасность. Рис. 1

Для чего применяется искусственный интеллект сейчас?

Интеллектуальные системы лишены недостатков человеческого фактора: они работают быстрее и ошибаются значительно реже людей. Искусственный интеллект позволяет практически полностью исключить человека из процессов обеспечения защиты и оставляет ему вспомогательные функции мониторинга и коррекции. Например, специалист может помочь машине дообучиться, скорректировать алгоритмы, проконтролировать результаты, в общем поддерживать ее работу всеми доступными средствами.

На рынке кибербезопасности уже появились системы с использованием искусственного интеллекта. В области защиты веб-ресурсов и приложений они анализируют среду и происходящие в ней события, распознают угрозы и принимают необходимые меры по их устранению. Самообучаемые инструменты искусственного интеллекта оптимизируют работу защитников сайта: система копирует действия экспертов, и затем, исходя из накопленной базы знаний, тестирует приложения, находит уязвимости и проверяет их на эксплуатируемость. После этого машинный интеллект сам настраивает системы защиты так, чтобы вредоносный трафик был блокирован и не имел доступа к функциям приложений, а безопасный контент проходил беспрепятственно.

Однако применение искусственного интеллекта не ограничивается только защитой веб-ресурсов. Еще одна сфера применения — уменьшение поверхности атак, то есть количества возможных уязвимых мест в системе кибербезопасности. Для этого системы искусственного интеллекта анализируют активность пользователей системы и помогают придерживаться принципа наименьшего количества привилегий. Иными словами, искусственный интеллект помогает выдать сотрудникам минимально необходимый им набор прав, чтобы при этом не блокировать их ежедневную работу и не остановить бизнес-процессы организации.

Еще одна область применения искусственного интеллекта — предиктивная аналитика. Уже появились системы на базе искусственного интеллекта, которые прогнозируют наиболее вероятные виды атак на основе данных о предыдущих действиях киберпреступников, направленных на компанию.

Что получает бизнес от использования искусственного интеллекта в ИБ?

К искусственному интеллекту привыкли относиться как к модной технологии, помогающей в розничных продажах, онлайн-сервисах, социальных сетях — но мало приносящей остальным сферам бизнеса. Тем временем, именно системы, в которых применяется искусственный интеллект, показывают, насколько эффективно может работать департамент информационной безопасности.

Вот пример из нашей практики: у одного крупного государственного заказчика регистрировалось и обрабатывалось более 4 миллионов инцидентов в сутки. Все они требовали реакции, определенных действий по изменению настроек. Мы посчитали трудозатраты и выяснили, что при таком объеме событий просто для обработки суточного потока и выявления тех событий, на которые нужно отреагировать, нужно было посадить четырех человек, которые бы работали круглосуточно. Считая 8-часовую смену, получаем 12 человек. То есть одна машина с искусственным интеллектом экономила ресурсы 12 квалифицированных аналитиков.

Это — реальный расчет, который показывает руководству компании ценность инвестиций в современные инструменты информационной безопасности.

Заменит ли машина человека?

Итак, искусственный интеллект неподкупен, не совершает человеческих ошибок, не требует зарплаты и работает существенно быстрее человека. Логично было бы предположить, что автоматизированные системы начнут забирать рабочие места специалистов по информационной безопасности — и такие предположения порой высказываются в СМИ.  

Дело в том, что принятие любого решения — в первую очередь, вопрос ответственности.

Приведу простой пример: предположим, есть инженер, отвечающий за средства межсетевого экранирования. При этом, есть система, которая по своему алгоритму принимает решение о блокировке определенного рода запросов. Предположим, возникает ситуация: система принимает решение и блокирует то, что не должна была. В результате, некоторое время часть пользователей не имеет доступа к этим сервисам. Возникает вопрос: кто, как, на каких основаниях будет определять ответственного за это? Это система некорректно себя повела и это ответственность разработчика продукта? Или это инженер, который ее обслуживает, и который фактически не вносил изменения в настройки, которые привели к неработоспособности сервиса?

Чем более глубоко будет «погружаться» искусственный интеллект в работу простого сотрудника, тем более конфликтной будет становиться ситуация.

Возникает и еще один очень важный аспект, о котором обычно не говорят – желание быть ответственным. Человек хочет быть ответственным, он выбирает свою службу или свою роль в жизни, исходя, в том числе, из этого. А здесь его этой ответственности лишают. Человек становится не нужен. Что делать с этим? Искусственный интеллект нам не подскажет.

Искусственный интеллект меняет кибербезопасность. Рис. 2

Искусственный интеллект меняет отделы кибербезопасности

Действительно, рутинной работы становится меньше — «безопасникам» больше не надо заниматься «ручными» операциями по детектированию нападений. Что же им останется? Решать задачи бизнеса!

Освобождение от рутинной работы — не конец карьеры, а выход на новый уровень. Департаменты безопасности могут занять свое место среди бизнес-подразделений. Если больше не нужно «закапываться» в настройку правил и распознавание угроз — можно делать то, на что никогда нет времени. Инженеры по информационной безопасности смогут разрабатывать стратегию обеспечения внешней и внутренней безопасности и дополнять ее по мере изменения характера угроз; помогать разрабатывать продукты компании, чтобы они сразу отвечали требованиям безопасности; вместе с HR-директором оценивать лояльность сотрудников и возможность их допуска к коммерческой тайне; и, конечно, развивать инструменты искусственного интеллекта, помогая им обучаться.

«Безопасники» от этого только выиграют: в новой роли их не будут воспринимать как «вахтеров», преграду для свободного построения бизнес-процессов и источник постоянных трат. В таком случае департамент информационной безопасности — больше не обслуживающее подразделение, а полноценный «внутренний» бизнес-партнер. Но эта история уже не только про искусственный интеллект.

 

Опубликовано 19.11.2018