Бизнес терпит огромные убытки из-за кибератак. Один из возможных инструментов противодействия киберугрозам — технологии искусственного интеллекта. На основе экспертного опыта Orange Business Services рассказываем о том, насколько ИИ эффективен в плане защиты бизнеса, где можно и где не стоит применять эти технологии.
- Введение
- Миллиардные убытки из-за киберпреступников
- Искусственный интеллект как инструмент информационной безопасности
- А кому ИИ-технологии не нужны?
- Выводы
Введение
Вопрос защиты информации бизнеса актуален как никогда, поскольку количество и масштабы киберпреступлений постоянно растут. Так, несколько недель назад эксперты из компании Agari обнаружили целую серию опасных кибератак, нацеленную на российские промышленные предприятия. Специалисты считают, что эта кампания началась ещё в 2018 году. За ней стоит группировка киберпреступников, которая использует многоэтапную подготовку. Это — лишь один пример; таких группировок много, пусть и применяют они схожие методы. Так, сервисы компании Cisco блокируют около 20 млрд сетевых атак в сутки.
Миллиардные убытки из-за киберпреступников
Всё начинается с фишинговых писем, направляемых сотрудникам определённых предприятий. Когда сотрудник открывает такое письмо, его компьютер заражается вирусом, который загружает вредоносный модуль. Этот модуль затем используется злоумышленниками для достижения своих целей — получения корпоративной информации, доступа к банковским счетам и т. п. И это — далеко не единственный случай работы киберпреступников, ведь подобные группы активно действуют не только в РФ, но и в других странах. Только BEC-атаки (Business Email Compromise, компрометация деловой электронной почты) приводят к ежегодным убыткам компаний во всём мире в размере около 26 млрд долларов США.
Противодействовать им обычными методами сложно: антивирус, например, не детектирует угрозу, поскольку злоумышленники защищают вредоносную программу от обнаружения, используя обфускацию кода. Бизнес терпит крупные убытки. Лишь в 2019 году объём хищений с карт клиентов банков России превысил 1,5 млрд рублей. Страдают не только банки и их клиенты, но и представители других отраслей — промышленные предприятия, компании с технологическим ноу-хау и т. п.
В период пандемии COVID-19 у бизнеса появилось ещё несколько проблем в отношении информационной безопасности:
- отсутствие надёжных инструментов для защиты рабочих мест сотрудников, работающих удалённо;
- несвоевременное обнаружение атак с использованием вредоносных программ;
- размытие внешнего защитного IT-периметра организаций из-за перехода на удалённый режим работы;
- возвращение в офисы в период ослабления пандемии: компаниям, которые только успели настроить защиту «удалённого» периметра, пришлось снова адаптироваться к офисному режиму.
Искусственный интеллект как инструмент информационной безопасности
За последние несколько лет ИИ-технологии стали активно внедряться в инфраструктуру информационной защиты бизнеса. Так, в прошлом году объём мирового рынка технологий искусственного интеллекта в ИБ достиг отметки в 8 млрд долларов США. К 2025 году ожидается рост объёма этой отрасли до 30 млрд долларов.
В этом нет ничего удивительного, поскольку большинство решений в сфере информационной безопасности так или иначе основаны на ИИ. Практически любой классический антивирус использует некоторые возможности из сферы машинного обучения и больших данных. Идёт уже не просто локальное сравнение подозрительного файла с контрольным участком вредоносной программы, хранящимся в базе антивируса. Используется ещё и поведенческий анализ, способный обнаружить опасные объекты, признаки которых отсутствуют в антивирусной базе, а также другие комплексные технологии.
Конечно, кроме антивирусов и файрволов есть и более современные решения и методы на основе искусственного интеллекта.
Threat Intelligence. Речь идёт об активной защите, «киберразведке» с поиском информации о возможных угрозах. Этот метод даёт возможность узнать об угрозе бизнесу до того, как она будет реализована и повлечёт за собой ущерб. Сотрудники отдела информационной безопасности или аналитики SOC собирают сведения, анализируют и обрабатывают данные из так называемых «фидов». Это — потоки данных, содержащие индикаторы компрометации, т. е. признаки, по которым можно распознать потенциальную угрозу, такие как хеши вредоносных файлов, IP-адреса и домены, связанные с преступной активностью.
Threat Intelligence необходимо использовать во взаимосвязи с другими процессами обеспечения информационной безопасности, включая реагирование на инциденты, управление рисками и уязвимостями, выявление мошенничества. Этот метод повышает как качество, так и скорость реагирования на инциденты.
Threat Hunting. «Охота» на киберугрозы — это проактивный подход к противодействию им. Вместо того чтобы реагировать на уже случившийся инцидент, Threat Hunting предлагает выявлять потенциальные угрозы. Важную роль в этом случае играет телеметрия в режиме реального времени, которая позволяет получить все необходимые данные для глубокого анализа потенциальных угроз. Threat Hunting даёт возможность предупреждать комплексные угрозы, которые зачастую приводят к доступу злоумышленников внутрь защитного периметра компании и долгосрочному пребыванию в этом периметре. Именно о такой проблеме говорилось в самом начале статьи.
О Threat Hunting можно говорить как о моделировании атаки. Изучив применяемые техники и методы проникновения злоумышленников в корпоративную сеть, а также то, как проходит определённая атака, эксперт по ИБ делает выводы о том, где может пройти проникновение или заражение, и принимает превентивные меры.
Anti-APT. Киберпреступники активно используют сложные атаки, цель которых — проникновение в инфраструктуру компании и несанкционированная эксплуатация этой инфраструктуры в корыстных или личных целях. Как правило, APT-атаки тщательно готовятся профессиональными киберпреступниками со значительными ресурсами.
По данным Positive Technologies, две трети представителей финансовой отрасли в РФ сталкивались с последствиями кибератак. 34 % опрошенных представителей отрасли заявили, что их организации понесли прямые финансовые потери. В 2018 году ущерб от APT-атак со стороны лишь двух группировок киберпреступников — Cobalt и Silence — составил 58 млн рублей.
Для борьбы с этой разновидностью атак активно используются ИИ-технологии. В частности, они помогают выявить признаки присутствия злоумышленников при работе с системой ловушек Honey Tokens. Кроме того, на основе ИИ разворачиваются и SIEM-системы, позволяющие агрегировать и анализировать события в IT-инфраструктуре компании.
Anti-fraud. Банковские и финансовые организации активно используют комплексы фродмониторинга на основе ИИ. Это — системы, которые предназначены для оценки финансовых транзакций в интернете на предмет наличия признаков мошенничества. В их основе — технология машинного обучения, как с учителем (supervised learning), так и без него (unsupervised learning). Антифрод-решения позволяют не только предотвращать мошеннические операции, но и управлять рисками.
Анализ поведения сотрудников. Простой пример — изучение активности учётной записи сотрудника бухгалтерии. Анализ показывает, что сотрудник проявляет активность с 8 утра до 6 вечера и обменивается информацией примерно с одними и теми же контактами, использует определённый набор ресурсов. ИИ-система составляет паттерн поведения этой учётной записи. В один прекрасный день, например в субботу, система «видит», что учётная запись бухгалтера внезапно проявила активность в два часа ночи, запросив информацию из необычного для неё источника. Это уже — аномалия, подозрительное поведение, что фиксируется системой. Далее выясняется причина активности учётной записи и последняя либо блокируется (если происходящее — результат взлома), либо нет (ведь возможно, что бухгалтер просто делает срочный отчёт, для подготовки которого нужны дополнительные данные).
Аналогичным образом анализируются и действия клиентов организации, например банка. Если замечено необычное для определённого пользователя поведение, такое как перевод крупной суммы средств контакту не из списка доверенных, то операция может быть заблокирована.
В целом все методы и решения можно разделить на внешние, которые направлены на анализ действий пользователей и событий вне защитного периметра организации, и внутренние, направленные на анализ событий и поведения пользователей внутри организации. И там, и там сейчас активно используются машинное обучение, работа с большими данными, искусственный интеллект.
Системы, подобные описанным выше, крайне необходимы многим промышленным предприятиям, страховым, банковским и финансовым компаниям, ряду критически важных государственных организаций.
А кому ИИ-технологии не нужны?
Использование искусственного интеллекта и машинного обучения обычно предполагает наличие соединения как по локальной сети, так и с интернетом. Соответственно, применять эти технологии нельзя там, где необходимо свести к нулю вероятность подключения злоумышленников извне. Это — критически важные объекты энергетической инфраструктуры страны, например АЭС. Это — военно-промышленные предприятия, в частности те, что производят вооружение.
Что касается бизнеса, то ИИ-технологии и машинное обучение необходимы компаниям, которые имеют дело с огромными объёмами данных, тысячами транзакций и десятками тысяч пользователей. Внедрять машинное обучение и технологии искусственного интеллекта в рамках малого бизнеса не всегда имеет смысл.
Ещё один важный момент: искусственный интеллект — не панацея, а дополнение к основному инструментарию специалистов по ИБ. Не стоит считать, что если подключить сервис с элементами ИИ к банковской системе без настройки соответствующих бизнес- и организационных процессов, то всё сразу станет хорошо. Нет, ИИ-технологии — это не сервис и не коробка с товаром, которые сразу же решают все проблемы с информационной безопасностью. Последнее слово и принятие окончательного решения всё равно должны оставаться за специалистом по ИБ.
Выводы
В качестве вывода стоит сказать, что сейчас в теме применения ИИ для защиты информационных систем весьма много трендов и актуальность многих из них будет активно расти в ближайшее время. Свою лепту в данный процесс вносит переход огромного числа людей на удалённый режим работы во время уже второй волны COVID-19. Многим организациям снова приходится перестраивать процессы обеспечения информационной безопасности, использовать новые средства для распознавания «свой-чужой».
Нагрузка на подразделения информационной безопасности разных компаний постепенно растёт, а это значит, что без дополнительных инструментов, включая те, что основаны на ИИ, обойтись не получится: рисков в условиях «размытого периметра» становится гораздо больше. Если мы говорим про тренды и направления в сфере ИБ настоящего и ближайшего будущего, которые в своём арсенале в том или ином виде используют ИИ, то это — EDR- / XDR-решения для конечных хостов, UEBA, SGRC-продукты, Honey Tokens и другие разработки класса Deception, IRP (Incident Response), TI- / TH-платформы и т. д. Решений и направлений — значительное количество, и важно грамотно и осознанно их применять.
