СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Статьи
АИС
30.07.2024
#ИБ#ИИ

Роль ИИ в защите от кибератак

Роль ИИ в защите от кибератак

Искусственный интеллект (ИИ) уже изменил многие правила игры в информационной безопасности (ИБ), предоставив передовые методы обнаружения и смягчения последствий киберугроз и кибератак.

В последние 3-4 года использование ИИ в информационной безопасности быстро растет, многие компании уже используют его в качестве одного из ключевых инструментов в своей стратегии ИБ.

Традиционный подход к ИБ

До появления ИИ традиционная ИБ в значительной степени зависела от систем обнаружения атак (СОА) в основном на основе сигнатур. СОА работали путем сравнения входящего трафика с базой данных известных сигнатур вредоносного кода. При обнаружении совпадения СОА выдавали предупреждение и предпринимали действия по блокировке угрозы.

Этот подход, достаточно эффективно работающий против известных угроз, оказался совершенно неэффективным против угроз новых и/или неизвестных. И оказалось довольно легко обходить СОА на основе сигнатур, изменив код или создав новые варианты вредоносного ПО, которых еще не было в базе данных.

Кроме того, СОА на основе сигнатур генерировали большое количество ложных срабатываний, поскольку законный трафик может быть помечен как вредоносный, если окажется, что он имеет характеристики, сходные с известной угрозой. Это привело к тому, что аналитики безопасности тратили много времени на расследование ложных срабатываний.

Активно применялся и ручной анализ: аналитики вручную просматривали события ИБ и журналы ОС и других систем в поисках закономерностей или индикаторов нарушения безопасности. Этот процесс отнимал много времени и в основном зависел от опыта аналитика при выявлении угроз.

Конечно, кроме сигнатурного анализа, применялся и поведенческий анализ. СОА, основанные на правилах, устанавливали правила или политики, которые определяли приемлемое (нормальное) поведение в сети. Если, скажем, трафик нарушал эти правила, это вызывало сигнал тревоги. Однако СОА, основанные на правилах, могли быть эффективными в лишь в определенных ситуациях, они часто были негибкими и не могли адаптироваться к новым и зарождающимся угрозам.

Можно сказать, что традиционный подход к информационной безопасности до появления ИИ был в значительной степени реактивным, т.е. активные действия начинались уже после того, как та или иная угроза себя проявляла.

Подход к ИБ на основе ИИ

Решения на основе ИИ используют алгоритмы машинного обучения, которые могут обнаруживать как известные, так и неизвестные угрозы и реагировать на них в режиме реального времени, ну или почти реального.

Алгоритмы машинного обучения обучаются на огромных объемах данных, включая исторические данные об угрозах и данных сетевого трафика и конечных точек, для выявления закономерностей, которые сложно увидеть аналитику при работе в ручном режиме.

Например, алгоритмы машинного обучения могут анализировать структуру сетевого трафика для выявления аномального поведения, которое может указывать на кибератаку, а затем предупреждать сотрудников службы безопасности или предпринимать автоматические активные действия для устранения угрозы.

Еще одно отличие решений на основе ИИ от традиционных подходов заключается в том, что они постоянно обучаются и адаптируются на новых данных, тем самым постоянно повышая свою эффективность по обнаружению и предотвращению угроз и атак. Решения на основе ИИ идут в ногу с постоянно меняющимся ландшафтом угроз и обеспечивая более эффективную защиту в сфере информационной безопасности.

Использование ИИ в информационной безопасности представляет собой серьезный сдвиг в подходе организаций к ИБ. Решения на основе ИИ могут обеспечить более эффективную защиту как от известных, так и от неизвестных угроз – с использованием алгоритмов машинного обучения для обнаружения угроз и реагирования на них в режиме реального времени. Подход к ИБ на основе ИИ от реактивного становится все более проактивным, т.е. ИИ-решения уже не только реагируют на инциденты, но и предотвращают их появление.

Роль ИИ в ИБ

Какова же роль (или даже роли) ИИ в ИБ? Их, по меньшей мере, несколько:

  • Обнаружение киберугроз. Машинное обучение дает возможность обнаруживать киберугрозы в режиме реального времени на основе анализа поступающих из разных источников данных. Алгоритмы машинного обучения постоянно совершенствуются, чтобы выявлять угрозы для системы еще до того, как злоумышленники смогут выявить уязвимости в защите компании и реализовать угрозы. Такие алгоритмы умеют “понимать” нюансы IT-инфраструктуры организации, а также возможные сценарии атак.
  • Обнаружение вредоносных программ. Для самописных вредоносов многих APT-группировок сигнатурное обнаружение вообще не работает. Анализируя поведение вредоносных программ, ИИ-решения выявляют новые и неизвестные варианты вредоносных программ, которые пропускают традиционные антивирусные программы.
  • Анализ поведения пользователей при взаимодействии с электронными письмами для выявления потенциальных фишинговых атак. Например, когда пользователь переходит по подозрительной ссылке или вводит личную информацию в ответ на фишинговое письмо, такие решения помечают это действие и предупреждают службу безопасности.
  • Безопасность конечных точек. ИИ-решения Endpoint Security сканируют файлы на наличие вредоносных программ и помещают в карантин любые подозрительные файлы. Они отслеживают активность конечных точек и обнаруживают необычное поведение, которое может указывать на угрозу безопасности.
  • Анализ журналов безопасности на основе ИИ также может помочь организациям в обнаружении внутренние утечек. Анализируя поведение пользователей в нескольких системах и приложениях, алгоритмы ИИ обнаруживают аномальное поведение, которое может указывать на внутренние угрозы, такие как необычная передача данных.
  • Обеспечение сетевой безопасности. Решения на основе ИИ улучшают сетевую безопасность и тоже за счет обнаружения аномалий. Анализируя исторические данные о трафике, алгоритмы ИИ узнают, что является нормальным для конкретной сети, и идентифицируют трафик, который является аномальным или подозрительным (например, необычное использование порта, необычный протокол или трафик с подозрительных IP-адресов). ИИ-решения также усиливают сетевую безопасность, отслеживая устройства в сети с помощью обучения обнаружению устройств, которым не разрешено находиться в сети, и предупреждать службы безопасности о потенциальных угрозах.
  • Повышение эффективности процессов реагирования на инциденты. При возникновении инцидента безопасности алгоритмы ИИ оценивают серьезность и влияние инцидента путем анализа соответствующих данных. Они дают рекомендации по дальнейшему реагированию на инцидент в режиме реального времени, позволяя группам безопасности реагировать быстрее и эффективнее. Более того, некоторые ИИ-решения автоматизируют определенные аспекты процесса реагирования, такие как изоляция затронутых систем и блокирование вредоносных действий.
  • Улучшение аутентификации с помощью ИИ. Слабая проверка подлинности – один из наиболее распространенных способов получения несанкционированного доступа к конечным точкам – компьютерам, смартфонам и другим гаджетам. Инструменты проверки подлинности, основанные на рисках, (Risk-Based Authentication, RBA) используют поведенческую биометрию на основе ИИ для выявления подозрительной активности и предотвращения взлома конечных точек. Далее аутентификация уже выходит за рамки проверки пользователя до аналитики в реальном времени. RBA-решения, которые также называют адаптивным интеллектом, оценивают информацию о местоположении, IP-адресе, информацию об устройстве, конфиденциальность данных и т.д., рассчитывают оценку риска и делают вывод о предоставлении или запрете доступа.
  • Обнаружение дипфейков (deep fake). Дипфейки – это методика синтеза изображения, видео, аудио или другой информации с помощью технологий ИИ. Обучив нейронную сеть на фото или видео лица человека, можно создать крайне реалистичное видео с участием этого человека, где он говорит то, что в реальности никогда не говорил или совершает действия, которые никогда не совершал. Ранее эта технология использовалась для развлекательного контента, но на сегодняшний день уже зафиксировано множество случаев, где дипфейки используются для мошенничества и других противоправных действий. Кроме того, с помощью дипфейков появилась возможность обхода систем лицевой и голосовой биометрической аутентификации. По мере дальнейшего развития данной технологии и появления простых в использовании инструментов для создания дипфейков, количество подобных случаев кратно возрастет, в связи с чем влияние данной технологии на кибербезопасность можно оценить, как потенциально существенное. Алгоритмы ИИ могут помочь и здесь, они достаточно успешно выявляют сгенерированные ИИ же изображения.

Автор: Попов Алексей Юрьевич – эксперт АИС, автор методик по управлению проектами, бизнес-тренер.

АИС
Автор: АИС
АИС — один из ведущих отечественных учебных центров дополнительного профессионального образования в сфере ИБ, ИТ, экономической безопасности и конкурентной разведки. «Смотри в будущее. Инвестируй в знания» — слоган Академии, которая уже более 28 лет занимается обучением специалистов, отвечающих за цифровизацию и безопасность страны. АИС сотрудничает с ведущими вендорами и ключевыми игроками на рынке импортозамещения. Философия компании заключается в качественной подготовке квалифицированных кадров с применением инновационных методов обучения, которые отвечают высоким образовательным стандартам. Реализовать эту цель АИС помогают опытные эксперты и профессионалы отрасли.
Комментарии: