В последние годы искусственный интеллект неотъемлемой частью нашей реальности, проникая во все сферы жизни. И это не просто очередной технологический тренд — это новая реальность, которая стремительно меняет наш мир, в том числе и сферу информационной безопасности (ИБ). Рынок искусственного интеллекта демонстрирует экспоненциальный рост, и уже сейчас очевидно, что его влияние будет только усиливаться.
В статье на CISOCLUB Николай Перетягин, менеджер продукта NGR Softlab, рассказал о том, что такое искусственный интеллект, как он работает и чем может быть полезен в защите информации.
Сегодня аббревиатуры ИИ, AI и ML звучат чуть ли не из каждого утюга. И это не случайно. Статистика говорит сама за себя: рынок искусственного интеллекта стремительно растет, и нет никаких оснований полагать, что эта тенденция замедлится. Через пару лет его объем превысит 400 млрд долларов, а к 2030 году может достигнуть двух триллионов (Источник: РБК). При этом ежегодный прирост рынка ожидается на уровне 35%. Впечатляет, не правда ли?
Уже сейчас тысячи компаний по всему миру разрабатывают нейросетевые технологии, а сотни миллионов людей ежедневно используют ИИ-инструменты. Голосовые помощники стали неотъемлемой частью нашей жизни, а многие уверены, что ИИ способен значительно улучшить нашу повседневность. Правда, есть и другая сторона медали – более 75% потребителей контента всерьез обеспокоены распространением дезинформации, созданной с помощью ИИ.

Источник: РБК
Как видите, от ИИ никуда не деться. И сфера информационной безопасности – не исключение. Она не только является потребителем технологий искусственного интеллекта, но и становится площадкой для борьбы с ИИ-угрозами. По данным отечественных исследований, около половины организаций уже планируют внедрять интеллектуальные инструменты в свою ИБ-инфраструктуру, а еще 40% намерены расширить использование ИИ в производственных и бизнес-процессах. Поэтому, давайте отбросим все сомнения: искусственный интеллект — это не просто модное понятие, это новая реальность, в которой нам всем предстоит жить и работать.
▌Что же такое этот искусственный интеллект?
Если обратиться к официальной формулировке, то искусственный интеллект (ИИ) это комплекс технологических решений, позволяющий имитировать когнитивные функции человека, включая самообучение и поиск решений без заранее заданного алгоритма. Иными словами, ИИ – это способность системы самостоятельно обучаться, анализировать данные и принимать решения, сопоставимые с человеческими.

В рамках этого определения выделяются технологии искусственного интеллекта, которые включают в себя компьютерное зрение, обработку естественного языка, распознавание и синтез речи, интеллектуальную поддержку принятия решений и другие перспективные методы ИИ.
Однако в контексте искусственного интеллекта часто звучат и другие понятия: машинное обучение (ML) и большие данные (Big Data). Давайте попробуем разобраться, что же это такое и как они связаны между собой:
AI (ИИ) – это, как мы уже выяснили, способность системы самостоятельно работать с данными, анализировать их, делать выводы и принимать решения.
ML (машинное обучение) – это метод, определяющий, как обрабатывать данные, сопоставлять результаты анализа и выстраивать процесс получения оптимального результата. Если совсем просто – это как научить ИИ правильно анализировать данные. Без машинного обучения ИИ не существует.
Big Data (большие данные) – это не только объемы данных, которые мы анализируем, но и то, что позволяет обучать системы анализа, чтобы они могли в дальнейшем помогать нам или самостоятельно работать. Это, так сказать, «пища» для ИИ и ML.
Так образуется «машинная троица» – очень тесная взаимосвязь искусственного интеллекта, алгоритмов машинного обучения и тех данных, на которых выполняется обучение.
Технология машинного обучения на основе анализа данных появилась в 1950 году, когда начали разрабатывать первые программы для игры в шашки. За прошедшие десятилетия общий принцип не изменился. Благодаря машинному обучению программист не обязан писать инструкции, учитывающие все возможные проблемы и содержащие все решения. Вместо этого в компьютер (или в отдельную программу) закладывают алгоритм самостоятельного поиска решений путем комплексного использования статистических данных, из которых выводятся закономерности и на основе которых делаются прогнозы. Сейчас под ИИ все чаще подразумевают генеративный искусственный интеллект, который может создавать ответы на запросы, делать собственные выводы, хотя по факту это лишь верхушка айсберга в этой сфере.
В контексте информационной безопасности связка AI, ML и Big Data открывает колоссальные возможности. ИИ может анализировать огромные массивы данных о сетевой активности, выявлять аномалии, обнаруживать и предотвращать кибератаки в реальном времени, учиться на основе новых угроз и адаптироваться к меняющимся условиям. Использование ИИ в ИБ – это уже не вопрос будущего, это насущная необходимость, которая поможет нам сохранить безопасность в цифровом мире.
▌Поведенческий анализ в информационной безопасности
Мы разобрались, что такое ИИ, ML и большие данные, и как они связаны между собой. Теперь давайте поговорим о том, как эти технологии применяются для обеспечения безопасности данных. И тут во главу угла встает поведенческий анализ.
Поведенческий анализ – изучение параметров поведения/действий объектов контроля в среде их существования, поиск отклонений и предсказание изменений.
Причем он может использоваться в самых разнообразных сферах. Например, в ритейле, чтобы предсказать поведение покупателя и предложить ему в нужный момент то, что необходимо продать. Или в медицине, где по результатам анализов, исторических исследований и пр. предсказываются вероятные исходы развития болезней, состояния человека и т.п. Что касается нашей сферы информационной безопасности, то нам он помогает предсказывать действия злоумышленников.
Как это работает? Мы обнаруживаем активности каких-то объектов, соотносим с известными злонамеренными действиями и, если есть совпадение, блокируем такие активности. Но злоумышленники становятся все более хитрыми, меняя подходы и инструменты. Поэтому мы используем разные методы и технологии поведенческого анализа, которые позволяют по косвенным признакам вычислить нарушителя.
Давайте посмотрим, как обозначенные технологии ИИ могут нам помочь в поведенческом анализе?
Если опираться, например, на законодательную базу (Приказ Министерства экономического развития РФ от 29 июня 2021 г. N 392 «Об утверждении критериев определения принадлежности проектов к проектам в сфере искусственного интеллекта»), то можно выделить ряд технологий, которые отлично решают задачи поведенческой аналитики.

- Задачи обработки естественного языка, в рамках которых выполняется классификация и кластеризация текста, поиск и классификация различных типов сущностей в тексте, извлечение фактов из текстов и их систематизация и т.п. Решение подобных задач специалисты по ИБ выполняют ежедневно, начиная от анализа логов систем, заканчивая отнесением полученной информации к тому или иному объекту контроля (сущности). Все это работа с текстом.
- Задачи поддержки принятия решений, в рамках которых выполняется предиктивный анализ, подготовка решений на основе открытых источников данных и неструктурированной информации, выявление аномалий производственных процессов и поиск их причин. Для их решения специалисты ИБ (аналитики SOC, руководители, администраторы безопасности и пр.) ежедневно выполняют поиск и анализ данных для выявления аномалий, поиска нарушителей. Правда, зачастую отклонения в поведении приходится оценивать «на глаз» либо по жестко заданным правилам с использованием текущего инструментария.
- Задачи обогащения и улучшения качества больших объемов данных, получаемых с устройств и из других информационных систем и т.д. Мы пользуемся справочниками, инвентаризационными данными, данными о «плохих» ресурсах в интернете и т.д.
Существует множество других задач, связанных с распознаванием речи, видео, текста, генерации подобного контента, которые также можно отнести к поведенческому анализу. Некоторые СЗИ уже используют и распознавание картинки, и речи для того, чтобы выявлять «опасный» контент.
Следовательно, можно сделать вывод, что ИИ и его технологии, т.е. выявления действий (в т.ч. скрытых) нарушителя, как нельзя лучше подходит для поведенческого анализа.
▌Практика применения поведенческого анализа в ИБ
Давайте посмотрим на основные подходы, которые сейчас используются для поведенческого анализа в ИБ. Многие наши коллеги, и мы в том числе, применяют различные методы поиска поведенческих аномалий, например:
• Сравнение с известными злонамеренными действиями (сигнатурный анализ).
Как это работает: Этот подход основан на использовании заранее определенных правил и сигнатур, которые описывают известные атаки и злонамеренные действия. Система анализирует текущее поведение и сравнивает его с этими шаблонами.
Преимущества: Эффективен для выявления известных угроз, обеспечивает быстрое реагирование (обычно в пределах минут, часов или нескольких дней).
Недостатки: Не способен обнаружить новые, неизвестные угрозы, так как опирается на заранее определенные шаблоны. Эффективность напрямую зависит от экспертизы вендора и своевременности получения обновлений, что может привести к привязке к экосистеме конкретного вендора. Для самостоятельной настройки правил и сигнатур требуются квалифицированные специалисты, обладающие знаниями языка описания правил.
• Использование алгоритмов машинного обучения (ML)
Как это работает: Алгоритмы ML анализируют огромные объемы данных, выявляют паттерны нормального поведения пользователей и систем и на основе этих данных выявляют отклонения от этих паттернов, которые расцениваются как потенциально подозрительные.
Преимущества: Способность анализировать большие объемы данных на высокой скорости, выявлять скрытые аномалии и отклонения от привычного поведения, что позволяет обнаружить ранее неизвестные угрозы. Дают возможность оценивать поведение не по «атомарным» событиям, а по агрегированным.
Недостатки: Результаты работы алгоритмов машинного обучения представляют собой числовые данные, которые требуют интерпретации. Для этого необходимы специалисты, обладающие хорошим пониманием бизнес-процессов компании, архитектуры инфраструктуры и состава анализируемых данных.
• Применение нейронных сетей (моделей)
Как это работает: Нейронные сети используются для сопоставления подозрительных паттернов поведения с известными злонамеренными образцами, включая незначительные отклонения от них. Существуют подходы, которые работают без дополнительного обучения моделей, но при этом требуют постоянного обновления и адаптации под происходящее в инфраструктуре. Подходы с обучением моделей, требуют значительных вычислительных ресурсов и квалифицированного персонала.
Преимущества: Потенциал для выявления сложных и скрытых угроз, более гибкая адаптация к изменениям в поведении пользователей и систем.
Недостатки: Требуют больших вычислительных мощностей и квалифицированного персонала для обучения, настройки и сопровождения. Могут потребовать постоянной адаптации к изменениям в инфраструктуре и поведении пользователей.

Что касается обозначенных методов, то в реальности большинство специалистов используют их комбинацию. Например, можно использовать правила для отслеживания известных атак, ML для выявления аномального поведения пользователей, а ИИ для интерпретации результатов и выявления самых сложных угроз.
К сожалению, пока ни одна из технологий не исключает участия человека хотя бы на 50% из процесса анализа. Даже самый продвинутый искусственный интеллект все еще требует контроля со стороны специалистов, которые способны интерпретировать результаты анализа и принимать обоснованные решения.
Таким образом можно заключить, что искусственный интеллект в информационной безопасности — это мощный инструмент, способный вывести защиту на новый уровень при умелом использовании и постоянном внимании со стороны специалистов. Мы видим, что развитие технологий ИИ открывает огромные перспективы в области поведенческого анализа. Так, в NGR Softlab мы применяем UEBA и в аналитической платформе Dataplan и используем ее лучшие наработки в основе отдельного модуля, интегрируемого в PAM-решении Infrascope. Интеллектуальные алгоритмы обеспечивают организациям надежную защиту. Они непрерывно анализируют действия пользователей и реагируют на нарушения в реальном времени, помогая обнаруживать и пресекать киберугрозы, автоматизировать рутинные задачи и предотвратить раскрытие конфиденциальных данных.
Напоминаем, что сейчас для наших заказчиков действует специальное предложение на модуль UEBA в PAM Infrascope: -60% при покупке до 31.03.2025. Подробности на нашем сайте.
Источник: CISOCLUB