Искусственный интеллект в кибербезопасности
Интернет-потребители сейчас сталкиваются с широким спектром угроз. С одной стороны, существуют массивные, в основном автоматизированные боты, заражающие потребительские устройства. С другой стороны, существуют атаки социальной инженерии (или фишинга), которые пытаются обманом заставить пользователей отдать свои данные. Поэтому неотъемлемой частью информационной безопасности в наше время становятся искусственный интеллект (ИИ) и машинное обучение (МО). Алгоритмы ИИ — это машины для обнаружения шаблонов, обладающие значительным преимуществом по сравнению с устаревшими системами безопасности на основе списков. Они способны быстро обрабатывать широкий спектр киберугроз и анализировать огромное количество наборов данных. Вышеупомянутые технологии постоянно совершенствуются и обновляются, используя данные из прошлого опыта для распознавания новых разновидностей атак. Однако, эксперты считают, что ИИ и МО оказывают не только положительное влияние на безопасность системы.
Отчёт Norton показал, что глобальная стоимость типичного восстановления данных при утечке данных составляет 3,86 миллиона долларов. В отчёте также указывается, что компаниям требуется в среднем 196 дней для восстановления после любой утечки данных. По этой причине организациям следует больше инвестировать в ИИ, чтобы избежать пустой траты времени и финансовых потерь.
Основные сложности кибербезопасности[править]
- географически удалённые ИТ-системы − осложняет ручное отслеживание инцидентов, необходимо справляться с различиями в инфраструктуре для успешного нахождения проблем
- ручной поиск угроз − трудоёмкий, a поэтому и дорогостоящий, что приводит к появлению неотслеженных атак
- реактивный характер − проблемы можно решать только постфактом, предсказывание атак есть сложная задача для экспертов в области
- динамична − базовый функционал быстро развивается, а нападение и защита заперты в коэволюции угрозы-реакции-угрозы
- скрытие IP-адресов − различные программы, такие как виртуальные частные сети (VPN), прокси-серверы, браузеры Tor (предназначенный для приватного использования интернета и доступа к заблокированным сайтам), помогают хакерам оставаться анонимными
Преимущества ИИ и МО в кибербезопасности[править]
- поиск и выявление угроз
Традиционные методы обеспечения безопасности используют сигнатуры или индикаторы компрометации для выявления угроз. Эти методы могут хорошо работать для ранее обнаруженных угроз, но они слабо применимы для ещё не обнаруженных угроз. Они просто не успевают за огромным количеством быстро адаптирующихся вредоносных программ, поэтому в этой области ИИ может быть действительно полезен. Методы на основе сигнатур позволяют обнаружить около 90% угроз. Замена традиционных методов искусственным интеллектом может увеличить уровень обнаружения до 95%, но есть риск ложных срабатываний. Лучшим решением будет совместить как традиционные методы, так и ИИ. Это может привести к почти 100% уровню обнаружения и свести к минимуму ложные срабатывания. Используя сложные алгоритмы, системы искусственного интеллекта обучаются обнаруживать вирусные программы, запускать распознавание образов и обнаруживать даже малейшие действия вредоносных программ до того, как они попадут в систему. ИИ обеспечивает превосходный прогнозный интеллект с обработкой естественного языка (Natural Language Processing, NLP), которая самостоятельно отбирает данные, просматривая статьи, новости и исследования о киберугрозах. Это даёт информацию о новых отклонениях, кибератаках и вариантах их предотвращения.
- центры обработки данных
ИИ может управлять процессами центра обработки данных, чтобы повысить эффективность использования и снизить стоимость обслуживания оборудования. Оптимизация и контроль таких параметров, как резервное питание, фильтры охлаждения, энергопотребление, внутренние температуры и использование полосы пропускания может быть выполнена с помощью ИИ. Вычислительные способности и возможность непрерывного мониторинга помогают понять, какие значения повысят работоспособность и безопасность инфраструктуры.
- борьба с ботами
На сегодняшний день боты составляют огромную часть интернет-трафика, и они могут быть опасны. Спектр возможностей ботов очень широк. С автоматизированными угрозами не справиться силами только ручного реагирования. ИИ и МО помогают получить полное представление о трафике веб-сайта и разграничить хороших ботов (сканеры поисковых систем и т.д.), плохих ботов и людей. Искусственный интеллект позволяет анализировать огромное количество данных и адаптировать свою стратегию к постоянно меняющимся условиям. «Изучая поведенческие паттерны, компании получат ответы на вопросы: "Как выглядит обычное путешествие пользователя" и "Как выглядит рискованное необычное путешествие". Отсюда мы можем понять цель трафика их веб-сайта, опережая плохих ботов», — объясняет Марк Гринвуд, главный технический архитектор и руководитель отдела обработки данных в Netacea.
- прогноз угрозы взлома
Системы искусственного интеллекта помогают определить инвентаризацию ИТ-активов, которая представляет собой точную и подробную запись обо всех устройствах, пользователях и приложениях с различными уровнями доступа к различным системам. Теперь, учитывая инвентаризацию активов и подверженность угрозам (как обсуждалось выше), системы на основе ИИ могут прогнозировать, как и где вы, скорее всего, будете скомпрометированы, чтобы вы могли планировать и распределять ресурсы для областей с наибольшей уязвимостью. Предсказывающие идеи анализа на основе ИИ позволяют настраивать и улучшать элементы управления и процессы для повышения вашей киберустойчивости.
- улучшение защиты конечных устройств
Количество устройств, используемых для удалённой работы, быстро растёт, и ИИ играет решающую роль в обеспечении безопасности всех этих конечных точек. Конечно, антивирусные решения и виртуальные частные сети могут помочь в борьбе с удалёнными атаками вредоносных программ, но они часто работают на основе сигнатур. Это означает, что для того, чтобы оставаться защищёнными от новейших угроз, становится необходимым не отставать от определений сигнатур. Это может быть проблемой, если определения вирусов отстают из-за сбоя обновления антивирусного решения или неосведомлённости поставщика программного обеспечения. Таким образом, если произойдёт новый тип атаки вредоносного ПО, сигнатурная защита может оказаться не в состоянии защитить от неё. «Защита конечных точек на основе ИИ использует другой подход, устанавливая базовый уровень поведения для конечной точки посредством повторяющегося процесса обучения. Если происходит что-то необычное, ИИ может пометить это и принять меры — будь то отправка уведомления техническому специалисту или даже возврат в безопасное состояние после атаки программы-вымогателя. Это обеспечивает упреждающую защиту от угроз, а не ожидание обновлений сигнатур», — объясняет Тим Браун, вице-президент по архитектуре безопасности в SolarWinds.
Недостатки ИИ и МО в кибербезопасности[править]
- крупные финансовые вложения
Для создания и обслуживания системы с применением искусственного интеллекта требуется значительно больше финансовых ресурсов.
- разнообразный набор обучающих данных
Поскольку системы ИИ обучаются с использованием наборов данных, необходимо предоставить множество различных наборов вредоносных кодов, невредоносных кодов и аномалий. Получение всех этих наборов данных занимает много времени и требует инвестиций. При отсутствии достаточных объёмов данных системы плохо обучаются и как следствие могут выдавать неверные результаты и/или ложные срабатывания. А получение неточных данных из ненадёжных источников может даже сыграть на руку противникам.
- использование ИИ и МО противниками
Ещё одним серьёзным недостатком является то, что киберпреступники также могут использовать ИИ для анализа своих вредоносных программ и запуска более сложных атак.
Принципы программного обеспечения с использованием МО/ИИ[править]
- Полностью автоматизированная система детектирования угроз не всегда является лучшим вариантом. Необходимо найти идеальный баланс достоинств ручной и машинной, имея в виду, что в каждом способе возможны ошибки.
- Адаптируемая структура ИИ является одним из ключей к успеху, так как фундаментальный функционал быстро меняется и делать акцент на чёткий алгоритм неразумно.
- Технологии ИИ лучше разрабатывать в 2 стадии: 1) изучение исторического нормального сетевого трафика, извлечение информации об угрозах, обучение обнаружению угроз и 2) обнаружение аномального поведения трафика, где необходимо ручное вмешательство, на основе понимания нормального поведения из 1 пункта.
Использование ИИ противниками[править]
Киберпреступники могут использовать те же алгоритмы ИИ в своих целях. Согласно Accenture, преступный искусственный интеллект «заставляет модели машинного обучения неверно интерпретировать входные данные в систему и вести себя так, как это выгодно». Хорошим примером является функция «FaceID» в iPhone. Здесь используются нейронные сети для распознавания лиц. Хакеры создают помогающие им обойти Face ID изображения и могут легко добыть нужные им данные.
Мнение руководителей по кибербезопасности о ИИ[править]
Исследовательский институт Capgemini проанализировал роль ИИ в кибербезопасности. В своём отчёте под названием «Изобретение кибербезопасности с помощью искусственного интеллекта» убедительно показали, что усиление систем кибербезопасности с помощью ИИ является неотложной задачей для современных предприятий. Респонденты опроса (850 руководителей отделов кибербезопасности, ИТ-безопасности и ИТ-операций в 10 странах) считают, что противостояние атакам с помощью ИИ необходимо, так как противники уже используют технологии ИИ для проведения кибератак. Некоторые ключевые цифры отчёта:
- Трое из четырёх опрошенных руководителей говорят, что искусственный интеллект позволяет их организации быстрее реагировать на нарушения.
- 69% организаций считают, что ИИ необходим для реагирования на кибератаки.
- Три из пяти фирм говорят, что использование ИИ повышает точность и эффективность кибераналитиков.
По мере того как сети становятся больше, а данные усложняются, искусственный интеллект предоставляет более эффективные решения для нужд организации в области кибербезопасности. Проще говоря, люди не в состоянии самостоятельно справляться с нарастающими сложностями, и рано или поздно использование ИИ становится неизбежным.
Итог[править]
В современных реалиях ИИ и МО стремятся стать неотъемлемой частью системы кибербезопасности. Баланс между ручным и автоматизированным реагированием поможет сильно улучшить обнаружение атак и добиться улучшения качества безопасности систем. Кроме того, искусственный интеллект может быть отличной технологией для предсказания атак. Принимая во внимание возможные недостатки ИИ, эта технология всё равно будет всячески поддерживать совершенствование ИТ-безопасности.