Дмитрий Костров:

Поговорим об информационной безопасности в общем (кибербезопасности) (часть 3)

Дмитрий Костров, член Правления АРСИБ

Для любого руководителя подразделения обеспечивающего кибербезопасности существует реальная проблема бюджетирования. Это либо махонькая часть бюджета ИТ департамента или кусочки от бюджета финансового директора и , очень редко. Это собственный достаточно не большой бюджет. Однако с учетом того, что стоимость нарушений в этой области растёт, то и растет и частью бюджета на его защиту (или должен расти). Компании, думаю что купив «бомбардировщик B-2 Spirit – от безопасности», они полностью защищены, ан нет.  При этом ландшафт продуктов многообразен и есть целый набор средств защиты от разных производителей, особенно в случае облачных решений, когда с одной стороны идет тренд на покупку законченных продуктов (с уже установленными и тюнингованными средствами защиты) и попыткой сразу их инсталлировать в Data Center. Как этим всем управлять, кто это будет делать, сколько человек и какой квалификации должны работать в SOC (если он есть) ? И тут «модники от безопасности» вспоминают про ИИ и МО, которые должны предложить способ обеспечить приемлемый уровень кибербезопасности и реально снизить почти до нуля успех проводимых атак. Это лучше, чем беспросветно гоняться за злоумышленниками с учетом нашей законодательной базы (даже если поймают).  Конечно существует много причин из-за которых применяемые меры безопасности не полностью выполняют возложенные на них функции. Это и умные злоумышленники, поощряемые некоторыми крупными денежными корпорациями и даже государствами. Применение ошибочных (на состояние 21 века) и допотопных подходов к защите информации, применение средств защиты, сконфигурированных by default. Размывание периметров защиты (уж эти облака и мобильные устройства 😊 ). И получается, что «броня» часто, очень часто, на шаг отстает от «снаряда».

А если (и в принципе уже) злоумышленник тоже начнет применять ИИ, только для атаки? Машинное обучение прекрасно для этого подходит. И получим войну роботов, что не есть хорошо.

Вспоминая учебники прошлого века, на первых страницах читаем о базовом принципе защиты – принцип наименьших привилегий является одним из старейших принципов информационной безопасности. «Jerry Saltzer» из MIT пояснял – «Каждая программа и каждый привилегированный пользователь системы должны работать с наименьшим количеством привилегий, необходимых для выполнения задания». Каждое приложение ограничено выполнением только того, что ему необходимо для выполнения своей задачи и не больше. Если приложение «самообучаемое» и заходит за пределы своих полномочий – это плохо, а если оно подвержено взлому -это катастрофично. Во многих фантастических фильмах именно эта проблема является главной линией сюжета.

Про ИИ многие заговорили как о «шкуре Немейского льва», которое защитит собственника от всех компьютерных атак. Но после льва остались его острые зубы которыми шкура то пробивается. И кто сказал, что атакующие сами не будут применять ИИ ? К тому же противник обычно очень грамотный, применяет специальное программное обеспечение (возможно и разработанное или модифицированное) для атаки именно на эту систему, у него нет кодекса правил (нет барьеров), он будет применять различные векторы атак и т.п.

Среди специалистов по информационной безопасности бытует мнение, именно машинное обучение как подмножество ИИ и есть та «серебренная пуля» которая им поможет свалит «злоумышленника -вампира». DLP, межсетевые экраны, IDPS, а также антивирусы и SIEM – это те   заряженные актуатеры, которые нужны. Помним, что в ИИ механизм принятия решений, который похож на реальный механизм принятия решений человеком. Программисты и математики пытаются смоделировать ИИ с помощью некоторых алгоритмов, при этом ошибки тоже могут наследоваться. А машинное обучение (как мы помним из 1 части) – это под домен искусственного интеллекта. Машинное обучение использует математические и статистические способы извлечения информации из данных, и с помощью этой информации программа пытается угадать неизвестное. Самые продвинутые «безопасники» считают, именно «глубокое обучение» нужным направлением. Напомню, что «глубокое обучение» является поддоменом машинного обучения и пытается изучать данные с помощью подхода применения искусственной нейронной сети.

ИИ – это результат работы специализированного  программного обеспечения, которое пытается создать механизм (в частности принятия решений), аналогичный механизму принятия решений человеческого мозга. Однако развитием науки и техники стало ясно, что человеческий мозг слишком сложен, чтобы моделировать его с помощью программного обеспечения –  не все так легко скопировать.   В последующие годы исследователи сосредоточились на механизмах принятия решений в более конкретных областях, а не на моделировании точной структуры человеческого мозга. Одним из направлений была и есть Кибербезопасность.

Цель программ (приложений) в направлении ИИ состоит в том, чтобы решить очень быстро то, на что эксперт-безопасник тратит определенное и гораздо большее время. Интересной проблемой является ответ на вопрос о компетенции эксперта, который будет обучаться систему, да и того кто пишет приложение. Каков этот товарищ ? Где их брать в большом количестве ? Где их обучают ? Должен ли эксперт помогать делать системы CSAI (CyberSecurityArtificialIntelligence)  в «штамповочном» цехе, чтобы потом покупатели сами включали , то что что им нужно. Или же такие эксперты должны сами работать у заказчиком и обучать систему, в каждом конкретном случае. А может это будут консалтинговые услуги информационной безопасности под лозунгом – «Я заточу вашу бестолковую защиту до надежного уровня». А нужны ли знания в области работы с Big Data- Data lake нашему эксперту ?

Давайте подумаем где применим ИИ. Известно, что многие компании в маркетинговых целях уже пишут на борту антивируса или межсетевого экрана – Artificial Intelligence InSide. Производителя средств защиты начинают работать с ИИ в СПАМ-фильтрации, системах обнаружения и предотвращения вторжений, обнаружения мошенничества (новость от 5 февраля – Банк России создал робота, который ищет в интернете финансовые пирамиды. Однако окончательное решение все же остается за человеком), кредитного скоринга, обнаружения ботнетов, подсетях типа Honeynet, аутентификация клиента, системы построения прогнозов в области защиты (Predictive analytics) и т.п.

Антивирусы, в частности, применяют приложения ИИ, которые выполняют алгоритм  обнаружения и анализа  некоторых отличительных особенностей работы вредоноса – доступ к API,  к полям диска, доступ к камере, клавиатуре и т.д., резкое изменение работы процессора, увеличение или резкое снижение пропускной способности, объем данных передаваемых в Интернет (тема DLP).

Но для нас больший интерес вызывает возможность ИИ противостоять, а не только обнаруживать, реальные атаки на инфраструктуру и данные. Атаки стали изощрённые, ни кто уже не ломится в одну дверь и не работает один. Атака уже давно делится на фазы. В том числе и фазы отвлечения внимания защищающегося. Существует множество научных исследований по обнаружению кибератак с использованием искусственного интеллекта. Уровень успеха этих исследований варьируется от 85% до 99%. И это не может не радовать. В последние несколько лет, в дополнение к академическим исследованиям, компании типа ДаркТрэйс, которая начала выпускать реальные продукты – “With Darktrace, talk about AI in cyber security has turned into action.”, работают в данной области. Интересно, что Darktrace утверждает, что они могут все поймать аномалии (атаки) с вероятностью 99%. Darktrace, компания, основанная в 2013 году, разработала продукт, который выполняет обнаружение аномалий в сети с  применением машинным обучением. Это сильно. Но надо проверить 😉.

Надо отметить важную особенность, что машинное обучение используется в огромном количестве приложений, и в большинстве этих приложений вещи, которые мы хотим обнаружить, заранее определены. А в нашем случае (киберзащита), все с точностью, да наоборот. Мы хотим обнаружить то, что не определено явно, и данные для этого не должны быть «с душком».

Теперь немного прикладухи. Нет значения, какой язык вы применяете (ну почти нет) для машинного обучения. Важен только сам алгоритм и алгоритмический подход. Тот же Python, является одним из наиболее распространенных языков, используемых в машинном обучении (мои специалисты очень хорошо на нем пишут). Есть набор библиотек, которые ваши специалисты могут применять в работе: Pandas, Numpy, Sl-learn и другие.

Для интересующихся, существуют проекты доступные для изучения и применения: Spamassassin – это проект с открытым исходным кодом, который выполняет фильтрацию спама ( проанализированные письма обрабатываются с помощью алгоритма Наивного Байеса), Random Forest, Decision Tree, Support Vector Machines и другие. В последнее время алгоритм «глубокого обучения» является наиболее применимым алгоритмом МО, с которыми работают компании, разрабатывающие средства киберзащиты.

Скептики говорят, что ИИ – это дорогое и не нужное удовольствие. Защититься можно и традиционные средствами с многими фичами, L7 NGFW например. А может ваша система узнать об атаке до ее начала ? Мы помним, что для того чтобы атака стала называться успешной, необходимо выполнить несколько шагов-  «Cyber ​​Kill Chain». Нападающий может оставить следы при проведении этих этапов, начиная с социальной инженерии. Злоумышленник работает на этапе сбора информации, а вы уже в курсе какого цвета у него носки. Правда здорово ! А можно еще и подсунуть дезу.

Но  – «Чтобы поймать преступника – нужно думать как преступник».

 

Злоумышленники могут оставить некоторые следы на некоторых из этих шагов. Они могут получить доступ к информации о целевой компании, при этом их активность была обнаружена системой ИИ  ранее, пока они находятся в фазе сбора информации. Предотвращение подобных ситуаций возможно только в том случае, если вы постоянно наблюдаете за своей компанией глазами злоумышленника. В дополнение к этому, зная, что злоумышленники могут найти, когда они на 1-м шаге исследуют вашу компанию, вы можете принять меры предосторожности для предотвращения дальнейшего развития атаки. На рынке интересен продукт компании, расположенной в Виргинии (США) – Normshield Cyber ​​Risk Scorecard, который сканирует большую часть информации о любой компании-клиенте, доступ к которой можно получить через Интернет. Информация собирается из: хактивистские постов (форумах, социальных сетях), которые нацеленные на вашу компанию, на хакерских форумах или в социальных сетях, данные различных утечек из компании (электронная почта, пароли, данные кредитной карты, телефонные книги и т. д.) и т.п.

 








 

ИД «Connect» © 2015-2019

Использование и копирование информации сайта www.connect-wit.ru возможно только с письменного разрешения редакции.

Техподдержка и обслуживание Роман Заргаров


Яндекс.Метрика
Яндекс.Метрика