Дмитрий Костров:

Поговорим об информационной безопасности в общем (кибербезопасности) (часть 5)

Дмитрий Костров, член Правления АРСИБ

Интересно, что мысль (в том числе и практическая) об использования МО (Машинное обучение (ML)) и искусственного интеллекта (ИИ-AI) и их сценариев (пусть и фантастических) не новы, а тем более в сфере кибербезопасности. Сейчас эта тема стала опять модной с развитием ИТ индустрии, а также, как это не странно звучит, с тупиком в развитии средств обеспечения киберзащиты. Ничего прорывного давно на рынке нет. Нет систем и решений с эффектом Wow.

В разработке и тестировании продуктов все давно придумано. Помню год назад был на конференции, где выступали парни из подразделения Assemble и рассказывали про разработки в «контейнерах», но это не новое, это все делают. Все производители говорят о выполнении требований SDL (Security Development Lifecycle, жизненный цикл безопасной разработки) и про тестирование SAST (Static Source Code Analysis (SCA)) , а иногда и DAST (Dynamic SCA). Самое интересное, что почти все используют общие средства контроля, независимо от разработчика: С\С++ — Coverty, Ruby, JavaScript – Checkmark, ABAP – CVA,а также Fortify. Для динамики – “ port scanner/sniffer and proxies”, файзинг (fuzz testing), программы типа ZAP, Fiddler, Burp (HTTP interception proxies), HPWI (Web Inspect), IBM AppScan, AppSpider (Automated scan tool). И как то даже становится скучно.

Быстро развивающимся применение ИИ можно назвать тему «цифровых двойников». Один из российских ведущих университетов «толкает» эту тему. Тема интересна в части расчета гиперкуба (обобщение куба на случай с произвольным числом измерений), с учетом того, что мозг человека по биологическим ограничениям не готов воспринять много информации более чем в 6-11 измерений. Конечно, конечное решение за человеком, но понятия объективности знаний и субъективности обучения (проблематика этих явлений) становится краеугольным камнем области развития технологий. Не может мозг человека взять все «сырые данные» (big data, lake of data) и применить их, не имея чёткого представления об объекте управления (объекте защиты). Нужен интерпретатор. И поэтому тема цифровых двойников и цифровых диспетчеров интересна в области кибербезопасности. Зачем «впихивать» ИИ в средства кибербезопасности ? Может сначала опишем, что мы хотим защищать (сделаем цифровой двойник), а потом цифрового оркестратора, который будет помогать эксперту по кибербезопасности интерпретировать проблемы и решения?  А как тут быть с внутренним нарушителем, захват управления над оркестратором приведет к разрушению всей системы защиты. Интересное направление «на подумать».

Будучи на тренинге в Израиле, общался с разработчиками курсов по кибербезопасности критических инфраструктур (CII). Схема обучения проста, есть синяя команда (blue team) – которая обучается и защищается, есть красная команда (evil hacker team) и белая команда (white team) – арбитры и помощники для синей команды (если красные слишком будут умны). Был разговор о разработке самообучающегося симулятора атак, который можно применять вместо red team и «умных и самообучающихся» средств помощи защищающимся. Опять же на основе МО.

В качестве краткого вывода, можно сказать, что использование ИИ ( МО) в области кибербезопасности неизбежно, как и в других областях. Это в том числе и модно, и опасно. Осенью тестировал новый Вольво ХС 60, который сам рулить может 😊 . Он конечно рулил по чистому МКАД, но руки надо было держать на руле, и когда ты расслаблялся он сильно сигнализировал. Поэтому пока ИИ не может заменить человека, что наверное и хорошо. Будем наблюдать за рынком и ждать новых прорывов.








 

ИД «Connect» © 2015-2019

Использование и копирование информации сайта www.connect-wit.ru возможно только с письменного разрешения редакции.

Техподдержка и обслуживание Роман Заргаров


Яндекс.Метрика
Яндекс.Метрика