Искусственный интеллект как инновационная технология защиты информации

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Искусственный интеллект (далее - ИИ) - это универсальный термин, описывающий набор технологий, которые позволяют компьютеру выполнять различные функции подобно человеку. Неотъемлемой частью ИИ является машинное обучение - класс методов ИИ, характерной чертой которых является не прямое решение задачи, а обучение в процессе применения решений множества сходных задач. Т.е. идея заключается в том, что чем больше данных собирает машина, тем умнее она становится.

В контексте информационной безопасности ИИ - это программное обеспечение (далее - ПО), способное интерпретировать состояние среды, распознавать происходящие в ней события и самостоятельно принимать необходимые меры. ИИ особенно хорошо справляется с распознаванием закономерностей и аномалий, поэтому может быть прекрасным инструментом при обнаружении угроз.

Новые системы класса SIEM обойтись без технологий машинного обучения и ИИ уже не могут. Системы передают предупреждения и объявляют тревогу, вычисляют типовые (средние) состояния работы других систем, ищут отклонения от этих средних (или аномалии) - все это выполнить даже теоретически человеку невозможно. ИИ используются не только SIEM, но и системами обнаружения (IDS), предотвращения вторжений (IPS), управления идентификацией и доступом (IAM), продвинутой антивирусной защиты и всей аналитикой в целом.

Наибольшую выгоду в ходе применения ИИ получат те сегменты, в которых человек справляется хуже машины как по точности определения инцидентов, так и по скорости реакции. Это противодействие мошенничеству, анализ трафика на выявление атак, анализ аномального поведения на основе корреляции событий в информационной системе и другие области, в которых точность и скорость реакции являются критическими для защиты.

ИИ может применяться для обнаружения признаков компрометации систем в локальной корпоративной сети и в облаке. При этом требуется обработка гигантских объемов данных. В связи с быстрым изменением мирового ландшафта угроз и растущим взаимодействием атакующих необходимы самые передовые технологии и методы для противостояния им. ИИ способен заметить аномалии в работе с файловыми ресурсами, базами данных, бизнес-системами, когда кто-то выполняет сканирование портов, пересылает большие объемы данных необычным способом и т.п.

Также использование ИИ является эффективным решением для предотвращения будущих атак. Предполагается, что с помощью машинного обучения можно создать ПО, которое в режиме реального времени будет производить сбор всей необходимой информации, анализировать ее с учетом атак, которые проводились ранее и из разных сегментов сети Интернет, коррелировать события и вводить полученные результаты в модель глубокого обучения. Благодаря этому достигается возможность надежно прогнозировать вероятность того, что тот или иной вид трафика окажется вредоносным.

Возрастающее количество интернет-трафика и высокая изменчивость характера сетевых атак ставят крайне трудную задачу по построению системы защиты, сочетающую в себе огромную пропускную способность, эффективность выявления системой возможных как ранее определенных, так и абсолютно новых атак, а также гибкость настройки систем обнаружение вторжения во избежание ложных срабатываний.

Потенциальным решением поставленной задачи могут служить системы обнаружения вторжений на основе ИИ, свободные от строгого структурирования, свойственного системам, основанным на правилах.

Одним из определяющих преимуществ ИИ является возможность анализировать неполную информацию или зашумленную какими-либо помехами. Другое важное отличие - это проведение нелинейного анализа произошедших событий. Каждое из этих свойств крайне важно в реальной, действующей сети, где сигнал может искажаться умышленно либо по естественным причинам. Или же атака может происходить одновременно со множества источников. Тогда ключевую роль играет способность нелинейной обработки сразу нескольких потоков данных. Также к особо важным характеристикам систем обнаружения вторжения следует отнести скорость реакции. Так как промедление в течение секунды или минуты способно нанести непоправимый вред информационной системе предприятия или государственного органа. Системы обнаружения вторжений с применением ИИ обладают впечатляющими показателями скорости обнаружения и принятия решения о применении защитных мер, позволяющими свести к минимуму наносимый ущерб. Не менее важное качество ИИ - это его способность прогнозировать дальнейшие события и возможные угрозы, так как результатами проведенных ранее анализов являются вероятности. В ходе «самообучения» система, постоянно набирая опыт, улучшает свои способности по выявлению закономерностей между отдельными событиями, их последовательностью, какими-либо связками, что позволяет либо в более короткие сроки локализовать проблему, либо заранее предпринять защитные меры и полностью отразить нападение без вреда. Сама способность к «самообучению» играет ключевую роль в выборе ИИ в качестве базы для анализирующего аппарата системы обнаружения вторжений. С ее помощью происходит классификация заданных изначально событий: списка, на котором проходило «обучение» сети; «изученных» сетью в процессе эксплуатации сигнатур вероятных угроз; атак, с которыми система сталкивается впервые, не совпадающих с ранее произошедшими инцидентами. В целях уменьшения числа ложных срабатываний оповещение о предполагаемом нападении может происходить только после превышения им пороговой вероятности - момента, когда угроза принимается как потенциально значимая.

Благодаря способности к обучению через фильтрацию множества примеров поведения в различных ситуациях ИИ, анализируя огромное количество данных, может помочь руководителям департаментов по информационной безопасности найти «неизвестные известные» угрозы, сократить время реакции, усовершенствовать способы определения реальных попыток нарушения периметра безопасности, устранить существующие бреши в сфере информационной безопасности, которые появляются вследствие стремительного развития современных технологий, включая интернет вещей, и повысить скорость восстановления после атак.

На данный момент обнаружение подозрительной активности пользователей и сетевого трафика - самое очевидное применение машинного обучения. Нынешние системы все успешнее справляются с выявлением необычных событий в больших потоках данных, решением стандартных задач, связанных с анализом и рассылкой уведомлений.

Следующий шаг - использование ИИ для борьбы с более сложными проблемами. Например, уровень киберриска для компании в каждый конкретный момент зависит от множества факторов, в том числе от наличия незащищенных портов, поступления сообщений направленного фишинга, уровня надежности паролей, объема незашифрованных конфиденциальных данных, а также от того, является ли организация объектом атаки со стороны спецслужб другого государства.

Также ИИ будет помогать компаниям определяться с выбором новых технологий безопасности, в которые следует вкладываться. Сегодня в большинстве компаний не знают, сколько и как тратить на информационную безопасность. ИИ важен, чтобы выявить показатели, на основе которых можно объяснить, сколько и каких ресурсов необходимо для того или иного проекта, подкрепив требования конкретными данными.

Сегодня ИИ используется в сфере безопасности очень ограниченно. Можно говорить об отставании в развитии от других отраслей. Вызывает удивление тот факт, что самоуправляемые автомобили появляются раньше, чем сети, защищающие сами себя. Технологии ИИ хорошо справляются с классификацией данных, которые похожи на срезы и которые использовались для обучения, но ИИ не является по-настоящему разумным: он не может понять идею, лежащую в основе той или иной атаки. Поэтому человек по-прежнему является ключевым элементом любого решения в области защиты информации, а ИИ играет роль помощника в тандеме «человек - машина».

И все же прогресс в борьбе с угрозами информационной безопасности есть. Существует такое направление исследований, как генеративные состязательные сети, когда одновременно работают две модели машинного обучения с противоположными целями. Например, одна пытается что-то обнаружить, а другая - скрыть то же самое от обнаружения. Этим принципом можно пользоваться при создании команд условного противника, чтобы выяснять, какими могут быть новые угрозы.

Текущее положение таково, что большинство систем предотвращения вторжений находится в режиме обнаружения вторжений. Происходит это по той причине, что компаниям не хватает уверенности, чтобы на все 100 процентов положиться на интеллектуальные системы для автоматизации выбора и неконтролируемых изменений в их основной инфраструктуре.

Слепо доверять технологиям ИИ руководители пока не готовы, им необходимы доказательства, что ИИ в большинстве случаев может превзойти человека по эффективности. Многие считают, что в ближайшей и среднесрочной перспективе ИИ будет представлять собой большую опасность. Уделяя столь огромное внимание футуристическому представлению о машинах с суперинтеллектом, которые полностью смогут заменить человека, мы забываем о том, что нечистые на руку люди также получат неограниченные возможности, обладая данными технологиями. Дорогостоящее переписывание приложений и программ, введение новых угроз - вот лишь некоторые проблемы, с которыми можно столкнуться при внедрении ИИ, поэтому во всем необходимо соблюдать баланс, иначе мы достигнем точки, когда окружающая действительность и технологии уже не будут идти в ногу.

Возможно, роль человека постепенно станет уменьшаться, а машины будут становиться все более самостоятельными. На сегодняшний день ИИ пока не может работать без участия оператора. Что касается эффективности, то к каким-то радикальным изменениям в борьбе с преступниками технологии ИИ пока не приводят, но в средне- и долгосрочной перспективе прогресс пойдет именно по этому пути - следить за ИТ-системами будут ИТ-системы. Будущее информационной безопасности - за интеллектуальными системами, способными обеспечить глубокую аналитику, прогнозирование всего спектра рисков и угроз.

Расширение использования технологии ИИ в сфере информационной безопасности может стать ключевым фактором, который существенно увеличит эффективность защитных решений. Кроме того, перевод множества задач по анализу на обработку системами под управлением ИИ позволит компаниям избавиться от необходимости нанимать большое количество квалифицированных аналитиков, которые на сегодняшний день занимаются исследованиями произошедших кибератак. Это позволит масштабировать бизнес и освободить сотрудников от множества повседневных задач, чтобы перевести их на решение комплексных проблем, таких как анализ самых усовершенствованных атак, которым удается обходить существующие системы безопасности, и другое.

Эксперты - высокооплачиваемая категория сотрудников, их может не хватать. Если же под началом специалиста по информационной безопасности работают системы ИИ, то его возможности удесятеряются, он становится более производительным. Следовательно, потребность в таких сотрудниках уменьшится. искусственный интеллект программный сетевой

В то же время в целях получения высоких результатов в процессе применения ИИ необходимо постоянное обучение. Так как выявление отдельных атак и угроз информационной безопасности - достаточно трудоемкий процесс, что вызвано широким спектром атак в различных диапазонах времени и в различных источниках данных.

Большинство разрекламированных технологий машинного обучения на самом деле не самообучаются, защищая информационную систему клиента. Вместо этого они обучаются по образцам вредоносных программ в облаке поставщика и загружаются клиентом, например, как антивирусные сигнатуры. Такой подход не является прогрессивным с точки зрения обеспечения безопасности клиентов. Доступность точной картины рисков позволит рационально использовать ресурсы и разрабатывать более детальный набор показателей эффективности обеспечения системы безопасности. На сегодняшний день соответствующие данные либо не собираются вообще, либо не преобразуются в сведения в целях их дальнейшего анализа.

Размещено на Allbest.ru