В каких процессах и продуктах по кибербезопасности искусственный интеллект и машинное обучение могут применяться уже сейчас? Сможет ли ИИ повысить эффективность отражения кибератак и смягчить кадровый голод?
- Введение
- Искусственный интеллект в кибербезопасности
- Применение ИИ в кибербезопасности
- Прогнозы развития ИИ в кибербезопасности
- Итоги эфира
- Выводы
Введение
Искусственный интеллект (ИИ) проник не только в повседневную жизнь, но и в бизнес, а теперь — постепенно интегрируется в деятельность злоумышленников и механизмы защиты информации. Поэтому нейросети играют важную роль в укреплении безопасности контуров компаний, повышая эффективность обнаружения и предотвращения атак. Однако общество видит и риски — от снижения качества контента до замены людей в целом ряде профессий. В каких процессах и продуктах по кибербезопасности нейросети могут применяться уже сейчас, насколько они повысят эффективность обнаружения и отражения инцидентов, смягчит ли это кадровый голод или, наоборот, приведёт к безработице? На эти и другие вопросы попытались найти ответы ведущие эксперты рынка в рамках прямого эфира проекта AM Live.
Рисунок 1. Эксперты отрасли в студии телепроекта AM Live
Спикеры прямого эфира:
- Лидия Виткова, начальник аналитического центра кибербезопасности, «Газинформсервис»;
- Алексей Пешик, ведущий инженер-эксперт, Security Vision;
- Максим Бузинов, руководитель исследовательской лаборатории, ГК «Солар»;
- Дмитрий Пудов, директор по стратегическому развитию, NGR Softlab;
- Алина Сергеева, эксперт по информационной безопасности, «Лаборатория Касперского»;
- Алексей Дашков, директор центра продуктового менеджмента, R-Vision;
- Александр Клевцов, руководитель направления InfoWatch Traffic Monitor, ГК InfoWatch.
Ведущий и модератор дискуссии — Илья Шабанов, генеральный директор «АМ Медиа».
Искусственный интеллект в кибербезопасности
Что изменилось в сфере ИИ за последние два года
Максим Бузинов:
— Согласно недавнему указу Президента о развитии искусственного интеллекта, ИИ — это комплекс технологических решений, имитирующих когнитивные (познавательные) возможности человека, способных решать конкретные задачи и получать результат сопоставимый с итогами интеллектуальной деятельности человека.
Максим Бузинов, руководитель исследовательской лаборатории, ГК «Солар»
За последние несколько лет технологии связанные с большими языковыми моделями и глубоким обучением позволили создать на рынке ИТ бум, из-за которого мир заговорил о неких творческих способностях ИИ, отметил Максим Бузинов. Но если возвращаться в область ИБ, то здесь ИИ воспринимается с большей осторожностью, т. к. в этой отрасли нужно ответственнее относиться к результатам его деятельности. К тому же данных, на которых эти модели могут обучаться, пока недостаточно. Поэтому в ИБ бума ИИ пока не наблюдается.
Дмитрий Пудов:
— У нас действительно нет возможности обучить ИИ на небольшом объёме данных, который позволил бы нам использовать результаты этого обучения в будущем. Но нейросети уже сейчас можно использовать для выявления новых видов атак.
По словам Алексея Дашкова, долгое время не было возможности создавать подобные технологии, т. к. отсутствовали нужные вычислительные мощности. Облака дали ещё один толчок: в мире накопилось достаточное количество данных, на которых можно обучать нейросети.
Алексей Дашков, директор центра продуктового менеджмента, R-Vision
Александр Клевцов отметил, что ИИ может превосходить человека в части объёма и скорости обработки данных, но пока что не в качестве этой обработки. Поэтому ИИ требует перепроверки результатов, однако точно снижает нагрузку с точки зрения эксплуатации систем и уменьшает трудозатраты.
Пока в ИБ-отрасли нет глубинного применения таких моделей, но отдельные задачи с их помощью решаются, отметил Алексей Пешик.
Потребность в искусственном интеллекте
По словам Алины Сергеевой, в информационной безопасности есть потребность в использовании искусственного интеллекта, но большинство компаний пока не готовы к его полноценному внедрению. Пока компании доверяют ИИ рутинные задачи, и в этом смысле соответствующие технологии пока недостаточно глубоко применяют в ИБ. Для того чтобы ситуация изменилась, необходимо обучать аналитиков данных (Data Scientists) и других специалистов по работе с искусственным интеллектом, считает эксперт.
Алина Сергеева, эксперт по информационной безопасности, «Лаборатория Касперского»
Основная причина использования ИИ — это увеличение объёма данных, с которым человек не справляется, считает Дмитрий Пудов. Это особенно важно в условиях кадрового голода. На использование ИИ повлияли возросшие аппетиты и зрелость заказчиков. ИИ также может решать задачи, которые не могут выполнять люди — например, отличать человека по поведению (по скорости нажатия на клавиши, движениям мыши и т. п.).
По данным опроса зрителей телеэфира AM Live, 54 % ещё не используют ИИ-технологий, но уже присматриваются к ним. 21 % пользуется ими регулярно, а 16 % респондентов их тестируют. Оставшиеся 9 % не используют ИИ и не собираются этого делать.
Рисунок 2. Используете ли вы машинное обучение и инструменты ИИ в повседневной работе?
Использование искусственного интеллекта в киберпреступной деятельности
Киберпреступники также используют ИИ для автоматизации своих действий, таких как фишинг и создание дипфейков, отметил Алексей Дашков. Злоумышленники стараются автоматизировать свою деятельность, чтобы увеличить эффективность атак и снизить затраты на них.
Искусственный интеллект позволяет создавать фишинговые письма, которые трудно отличить от реальных. Злоумышленники также используют большие языковые модели для написания кода и эксплойтов. Например, популярный сегодня ChatGPT может дать советы по проведению кибератак.
Сейчас развились средства сбора данных о пользователях (через боты и социальные сети) и расширилось их применение для обучения искусственного интеллекта. Этим также пользуются злоумышленники.
При этом пока применение ИИ повысило количество атак, но не их качество, отметила Алина Сергеева.
Применение ИИ в кибербезопасности
Где уже сейчас применяется ИИ в кибербезе
Дмитрий Пудов:
— У нас на рынке сейчас нет продуктов, в которых не использовались бы методы машинного обучения.
Дмитрий Пудов, директор по стратегическому развитию, NGR Softlab
Уже сейчас заказчикам доступны автоматизация проведения расследований, выявление аномалий и отклонений в поведении сотрудников, анализ и разбор нетекстовых данных, включая распознавание голоса, анализ изображений и машинное зрение, отметил Александр Клевцов. InfoWatch, например, создала платформу на основе искусственного интеллекта для интеграции в корпоративный мессенджер с целью распознавания и расшифровки голосовых вызовов.
ИИ активно применяется в антифрод-системах, при расследовании сложных атак, поиске логотипов компаний, конкурентной разведке. Искусственный интеллект также может помочь в анализе больших объёмов данных и выявлении закономерностей, которые не всегда могут быть определены стандартными правилами корреляции. ИИ может использоваться для безопасной разработки программного кода, анализа и верификации уязвимостей.
ИИ также применяется для повышения эффективности техподдержки, для анализа поведения и создания профилей атаки. Возможно использование больших языковых моделей на уровне ядра Linux для анализа данных.
Илья Шабанов, генеральный директор «АМ Медиа»
Илья Шабанов спросил, насколько широко нейросети сейчас применяются для непосредственного реагирования на угрозы. По словам экспертов, присутствовавших в студии, технически это возможно, но это ответственность компании — доверять решениям таких моделей или нет.
Алина Сергеева:
— Я думаю, что на текущем этапе развития искусственного интеллекта его всё же стоит внедрять в SOC.
Обеспечение безопасности ИИ-моделей
ИИ обучается на терабайтах данных почти со всего мира. Если говорить про ИБ, то используются размеченные наборы данных. В случае отсутствия разметки разработчик и специалисты по ИБ могут не понять данные на выходе, которые предоставляет им обученный искусственный интеллект. Для решения этой проблемы необходимо обучать специалистов интерпретировать такие данные, отметила Лидия Виткова.
В то же время Александр Клевцов считает, что нужно использовать такие решения из области ИИ, для интерпретации данных которых не нужно специально обучать людей.
Рекомендации по применению искусственного интеллекта
Лидия Виткова посоветовала крупным заказчикам обратить внимание на автоматизацию управления предприятием с помощью ИИ. Малым и средним заказчикам следует пристальнее посмотреть на продукты с применением поведенческого анализа. Стоит также заставить свою DLP-систему работать со всеми поступающими данными, отметил Александр Клевцов.
Максим Бузинов:
— Данная технология стопроцентно будет набирать обороты. Важно внедрять в компании компетенции «Data Scientist» и заботиться о безопасности таких механизмов.
Важно инвестировать время и ресурсы в развитие компетенций в области искусственного интеллекта и информационной безопасности, отметил Дмитрий Пудов.
Применение ИИ для поиска аномалий в поведении сотрудников или устройств назвали наиболее полезным для себя 27 % зрителей. По 23 % выбрали варианты «для анализа программного кода и сетевого трафика» и «для автоматизации реагирования на инциденты». 12 % отметили важность применения ИИ для работы аналитиков SOC, 11 % — для генерации документов «бумажной» безопасности. Оставшиеся 4 % опрошенных ответили «в другой области».
Рисунок 3. Где применение ИИ для вас было бы наиболее полезным?
Заменит ли ИИ человека в кибербезопасности
Алексей Дашков отметил, что ИИ не принимает решения, а помогает их принимать. В будущем возможно разделение труда по следующей формуле: человек принимает ключевые решения, а ИИ выполняет черновую работу и подготавливает отчёты.
Соответственно, на текущем этапе от первой линии SOC отказаться невозможно.
Лидия Виткова:
— ИИ может сократить количество спама от средств защиты информации, который должен обрабатывать оператор первой линии. Это позволит сотрудникам сосредоточиться на более сложных и важных задачах.
Лидия Виткова, начальник аналитического центра кибербезопасности, «Газинформсервис»
Определённые профессии не будут исчезать из-за ИИ, у них просто появятся новые функции за счёт того, что нейросети заберут у человека большую часть черновой работы. Это также позволит специалистам сосредоточиться на более творческой деятельности. В обозримом будущем профессии будут не находиться под угрозой, а просто трансформироваться, считают эксперты.
Спикеры телеэфира AM Live отметили, что искусственный интеллект может взять на себя рутинную работу, но не заменит смекалки и изобретательности человека. Нейросеть может быть полезна при агрегировании данных, но опять же не станет специалистом по безопасности разработки.
При этом эксперты сказали, что ИИ нельзя использовать в процессе проактивного обнаружения вредоносной деятельности в компьютерных сетях (Threat Hunting). Кроме того, и в целом нейросети не всегда выдают достоверную информацию, поэтому важно контролировать и проверять их результаты. В общем, не стоит думать, будто ИИ может «забрать работу» у ИБ-специалистов.
По мнению 26 % зрителей, ИИ сможет заменить технических писателей, лингвистов и методологов. 24 % назвали потенциальными безработными специалистов по техподдержке, 22 % — аналитиков SOC 1-й и 2-й линий. 16 % респондентов полагают, что ИИ заменит пентестеров, а 9 % ответили «специалистов по безопасной разработке». Наконец, 3 % считают, что нейросети заменят специалистов по киберразведке (Threat Intelligence) и Threat Hunting.
Рисунок 4. Кого в первую очередь заменит ИИ в кибербезопасности?
Прогнозы развития ИИ в кибербезопасности
Лидия Виткова:
— В перспективе нескольких лет ИИ будет применяться для автоматизации, оптимизации, поведенческой аналитики. В перспективе десяти лет возможны внедрение продуктов с искусственным интеллектом и дообучение моделей. Не стоит забывать и про возможные атаки на искусственный интеллект.
Александр Клевцов:
— Не нужно внедрять ИИ просто для внедрения как такового. Нужно ставить задачи, которые вынудят компанию использовать искусственный интеллект. В первую очередь должны решаться утилитарные задачи, повышаться эффективность и производительность.
Александр Клевцов, руководитель направления InfoWatch Traffic Monitor, ГК InfoWatch
Алексей Дашков считает, что на горизонте нескольких лет глобальных изменений в использовании искусственного интеллекта в кибербезопасности не ожидается. Компании продолжат развивать эти технологии локально.
Дмитрий Пудов считает, что ИИ сначала протестируется в ИТ, а затем будет всё глубже проникать в ИБ-область. Компаниям предстоит решить проблемы интерпретируемости и качества данных.
Алексей Пешик заключил, что ИИ будет развиваться некими всплесками. В ближайшие пять лет можно ожидать сильного роста технологий и компетенций.
Алексей Пешик, ведущий инженер-эксперт, Security Vision
Итоги эфира
По результатам финального опроса зрителей телеэфира, 35 % опрошенных считают использование ИИ в ИБ пока преждевременным. 32 % готовы тестировать и внедрять решения на основе ИИ, а 22 % — убедились в необходимости такого применения. 6 % респондентов не поняли темы беседы, 5 % сказали, что спикеры не смогли их заинтересовать.
Рисунок 5. Каково ваше мнение о применении ИИ в ИБ после эфира?
Выводы
В мире становится всё больше и больше данных, объём которых обработать простому человеку не под силу. Для этого используются возможности искусственного интеллекта, который уже проник в повседневную жизнь. Однако его применение в ИБ пока не настолько повсеместно. Во-первых, недостаточно данных, на которых можно обучать нейросети. Во-вторых, не хватает специалистов, которые умеют интерпретировать полученные от ИИ данные.
В то же время ИБ-компании широко применяют эти технологии для поиска аномалий, упрощения принятия решений, категоризации инцидентов и т. д. Это не только экономит ресурсы, но и позволяет сотрудникам повышать навыки и брать на себя более ответственные и творческие задачи. Стоит отметить, что ИИ неспособен заменить человека, но призван помогать ему в работе.
Телепроект AM Live еженедельно собирает экспертов отрасли в студии для обсуждения актуальных тем российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!