Об искусственном интеллекте в сфере ИБ

Рустэм Хайретдинов, президент Ассоциации по вопросам защиты корпоративной информации BISA

О грядущем вымирании некоторых специальностей и замене специалистов на роботов говорят даже с самых высоких трибун. Развитие прикладной математики и доступность вычислительных мощностей привели к тому, что машины готовы вторгнуться в область принятия решений, ранее считавшуюся доступной лишь для человека. Давайте порассуждаем о некоторых аспектах, связанных с применением искусственного интеллекта в сфере ИБ.

Нехватку квалифицированного персонала в любой области решают с помощью нескольких подходов. Первый – «нарожать и обучить» – самый понятный, но и самый долгий, а потому не обеспечивает решение задачи здесь и сейчас. Второй подход сегодня активно развивается. Это – аутсорсинг, подразумевающий концентрацию в центрах компетенции профессионалов, которые постоянно поддерживают собственную квалификацию и продают свои услуги потребителям. Третий путь, ставший популярным в последнее время, – роботизация.

Инструменты бизнес-анализа, известные как системы поддержки принятия решений, существуют уже не одно десятилетие. Но прежде они не принимали решения самостоятельно, а лишь предлагали пользователю варианты и просчитывали их последствия (так называемый «what-if-анализ»). Теперь пришло время не только подсказывать, но и выбирать те или иные решения.

Эта тенденция не могла не породить рыночного «хайпа»: в маркетинговых целях возможности искусственного интеллекта приписывают любому продукту, значительно взвинчивая его цену. Если 10 лет назад маркером десятикратной наценки служило слово «smart» (умные часы, умный дом, умный телефон, умный автомобиль и т.п.), то сегодня одного «ума» (а точнее – операционной системы, встроенной в систему управления продукта) стало недостаточно. Такой продукт должен обладать не просто умом, а интеллектом, поэтому теперь все умные устройства объявлены интеллектуальными.

Просто разорви цепь

Службы информационной безопасности стояли в стороне от этого ажиотажа – прежде всего, из-за того, что на них возлагается большая ответственность. Если движок распознавания лиц правильно распознает 80% лиц, его разработчики ликуют – четыре из пяти лиц определены, отличный результат! Однако безопасника такая эффективность приводит в ужас, ведь каждая пятая атака будет пропущена или каждое пятое легитимное действие пользователя будет заблокировано. Такие технологии искусственного интеллекта, как машинное обучение (machine learning) и глубокое обучение (deep learning), довольно долго применялись в сфере безопасности лишь для внутренних целей – автоматизации работы вирусного аналитика, анализа аномалий трафика. Они оставались принципиально пассивными и лишь «подсвечивали» аналитикам сомнительные места, с которыми те затем разбирались самостоятельно.

Старые проверенные методы, связанные с использованием обратной связи, безопасники не отбрасывали. Есть процессы, в которых ум – во вред, поскольку в их рамках надо однозначно реагировать на конкретные ситуации: при возникновении опасности ее причина должна блокироваться. Вспомните эволюцию предохранителей, реагирующих на повышение силы тока в сети. Сначала это были одноразовые предохранители, которые плавились при повышении температуры, связанном с увеличением силы тока. Потом они стали удобнее: просто размыкали сеть, и после срабатывания их не надо было менять. И не нужен такой системе никакой интеллект! Когда дело касается защиты, этот подход (разорви цепь при нагреве) гораздо эффективнее. Всем спокойнее, если действия системы защиты являются «тупой» реакцией на угрозу, и надо не обдумывать конкретное решение, а просто реагировать по заранее прописанному сценарию.

Потому-то специалисты по информационной безопасности до сих пор не отказались от старых добрых сигнатур атак и вирусов. В соответствующие базы знаний давно входят сотни миллионов образцов, и такие сигнатуры хорошо себя проявляют при очередном воздействии уже известных вредоносов и атак. В этом и состоит основная проблема: да, известные атаки отражаются легко и полностью автоматически, но новые, неизвестные средству защиты, не отражаются вовсе.

Защита со многими неизвестными

Аналитики делают все возможное – быстро изучают новые угрозы и выпускают средства для защиты от них, которые оперативно распространяются. Однако факт остается фактом: в промежутке между первой атакой и появлением соответствующего средства противодействия (а это – от нескольких часов до нескольких дней) пользователи беззащитны, поэтому сегодня основные усилия разработчиков направлены на поиск средств отражения именно неизвестных атак.

Нападающая сторона, конечно, не осталась том же уровне, на котором она находилась лет десять назад. Она уже использует технологии искусственного интеллекта для обхода средств защиты, обучая свои системы на реакциях объекта атаки. Можно утверждать, что классическое противостояние «снаряда и брони» охватило и эту область знаний.

Однако если нападающих мало интересуют мораль и законы, то у защитников при использовании искусственного интеллекта возникает немало проблем. Они знакомы широкой публике, например, по обсуждениям алгоритмов принятия решения автомобильных автопилотов. Кто будет отвечать, если «робот» принял неверное решение, которое привело к отрицательным последствиям? И если нет хорошего решения, то что считать меньшим злом? В сфере информационной безопасности такие вопросы тоже стоят очень остро. Кто ответит за ущерб компании, понесенный в случае принятия искусственным интеллектом неверного решения? Человека, принявшего такое решение, можно осудить по закону, а что делать с «роботом»?

Сочетая и интегрируя

Компании, разрабатывающие решения по защите информации на базе алгоритмов искусственного интеллекта, не делают ставку исключительно на такие алгоритмы. Они сочетают старые, проверенные и новые методы защиты, чтобы эффективнее использовать их сильные стороны. Чаще всего технологии искусственного интеллекта применяют для обнаружения и анализа аномалий. Любые аномалии в поведении системы, пользователя, в сетевом трафике могут быть как признаками атаки, так и совершенно легитимным новым функционалом.

Эта дилемма (на сленге – «бага или фича?») стала особенно насущной, когда системы начали меняться очень быстро и без документирования по методологиям гибкой разработки aka agile. При таких изменениях новый функционал вызывает аномалии в поведении пользователей, системы и трафика, очень похожие на аномалии при атаке. Можно запускать режим самообучения системы защиты на новом функционале, но алгоритмы работают только в том случае, если время процесса самообучения – меньше интервалов между изменениями, а в подавляющем большинстве случаев дело обстоит уже не так. Блокировать эти аномалии нельзя, поэтому очень много разработок направлены на изучение различных аномалий и оценку их опасности для процесса.

Системы защиты стали все теснее и теснее интегрироваться с защищаемыми объектами. Сегодня безопасность приложений начинается с безопасной разработки, то есть защита имеет возможность влиять на объект защиты. Это – очевидный ход: при постоянных изменениях приложения важно не только фильтровать данные на входе, но и понимать их путь внутри приложения, поэтому появился тренд объединения различных систем анализа защищенности и активной защиты. Данный подход позволяет не ограничивать уязвимый функционал приложения полностью, а только блокировать трафик к нему. Верно и обратное: если система защиты знает, что атака не достигнет цели (например, в запросе фигурирует команда, но в поле ввода, в которое он направляется, нет возможности провести инъекцию), то такой трафик можно считать легитимным.

Робот конкурирует с человеком?

Когда система защиты не только видит аномалии, но и может предсказать реакцию системы на них, появляется гораздо больше информации для анализа и обучения алгоритмов искусственного интеллекта. Поэтому не за горами – то время, когда некоторые ИБ-профессии начнут отмирать.

Как в реальной экономике первыми жертвами «роботизации» станут профессиональные водители, так в области защиты информации – операторы систем защиты. Сегодня работа такого оператора подразумевает выявление инцидента информационной безопасности на основе входящей информации, а затем – реакцию на инцидент согласно заранее написанным рекомендациям. С повышением точности систем, действующих на базе искусственного интеллекта, разрешение коллизии «найденная аномалия – это бага или фича?» стала разрешаться без вмешательства человека, как происходило раньше, например, с детектированием вирусов.

Сначала операторы радуются снижению нагрузки, ведь «роботы» выполняют их задачи, но затем руководитель замечает, что его сотрудники лишь наблюдают за автоматической работой системы и, по большому счету, не нужны. Однако внедрение систем с искусственным интеллектом в сфере информационной безопасности, как бы нас ни пугали футуристы, не приводит к увольнению людей – при нынешнем дефиците безопасников освободившиеся ресурсы всегда есть куда пристроить. Другими словами, задач информационной безопасности больше, чем людей, и их число растет.

Повышение точности распознавания неизвестных атак на основе технологий искусственного интеллекта позволит не только решить проблему нехватки кадров, но и вновь сделать ИБ-деятельность активной. Из-за большого количества ложных срабатываний при использовании традиционных сигнатурных технологий индустрия привыкла, что большинство средств защиты включаются в режиме мониторинга, лишь сообщая о чем-то необычном, а не блокируя атаки. Однако точность сегодняшних систем, использующих технологии искусственного интеллекта, уже превышает точность оператора. Можно вспомнить и о неравномерной работоспособности, потребности в сне, об отпусках, болезнях и других «недостатках» человека по сравнению с «роботом».

Забрав у людей рутинную работу, искусственный интеллект освободит их для новых интересных задач, которых на наш век хватит. Если люди, конечно, захотят их решать.

Тэги: 
Оцените материал:
Total votes: 6

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.