Сергей Демидов, Московская биржа: На рынок ИБ придёт шеринговая экономика

Продолжаем обсуждать самые актуальные темы, связанные с развитием рынка информационной безопасности в России. Сегодня мы поговорим о важности автоматизации и использования искусственного интеллекта в ИБ с Сергеем Демидовым, директором по информационной безопасности Московской биржи.

Послушал с интересом ваше выступление в рамках пленарной секции на BIS Summit 2024. Мне понравилось, что вы подчёркиваете важность автоматизации и использования искусственного интеллекта в информационной безопасности. Кадровый голод, как мы все видим, усиливается. Правильно было отмечено, что на горизонте минимум 10 лет мы не видим решения проблемы. Как автоматизация и технологии искусственного интеллекта могут быть полезны, на ваш взгляд, в информационной безопасности?

С. Д.: Сами технологии искусственного интеллекта очень сильно варьируются в зависимости от направления их использования. Языковые модели — ChatGPT и их отечественные аналоги — это, безусловно, малоприменимая история (именно на рынке информационной безопасности), хотя мы экспериментируем. У нас есть канал для поступления жалоб и обращений граждан, в том числе о действиях мошенников. Поскольку, к сожалению, такие обращения — очень типовые, мы оцениваем возможность применения языковых моделей именно на уровне работы с таким каналом, для подготовки ответов гражданам. Естественно, с модерацией со стороны специалистов. Такая подготовка упрощает эту работу и снижает затраты на неё.

Второе направление искусственного интеллекта — это новая передовая алгоритмизация, то есть возможность делать программы, строить алгоритмы, которые позволяют выявлять инциденты в сфере информационной безопасности, аномалии в работе. Это позволяет очень сильно сократить нагрузку на персонал.

Есть ли минусы в применении таких технологий для анализа поведения пользователей, в том числе привилегированных?

С. Д.: С одной стороны, риск всегда высок, потому что привилегированные пользователи обладают полномочиями, которые могут причинить максимальный урон инфраструктуре. Но с другой стороны, сейчас, по крайней мере — в финансовом секторе, очень много фокусировки на внешних атаках.

Мы уже видим появление на рынке таких систем, которые используют поведенческий анализ и для борьбы с утечками информации, и для контроля действий привилегированных пользователей. Однако важно не только покупать «коробочный» продукт, но и самостоятельно заниматься развитием таких технологий. Ведь эффективность покупки «коробочного» продукта не всегда высока. Мы видим на своём собственном примере: из-за того что инфраструктура сильно различается, модели, которые анализируют аномалии внутри потоков данных, перестают работать при её изменениях. 

Да, на текущем этапе мы в большей степени развиваем свой инструментарий и технологии, нежели используем «коробочные» решения. В перспективе я вижу, что такие решения откроют исходный код и станут доступными сообществам, которые сейчас активно формируются в России; там будет происходить нормальный некоммерческий обмен технологиями и подходами. И тогда использование этих технологий сможет действительно сильно сократить нагрузку на персонал.

Машинное обучение и технологии искусственного интеллекта всё-таки вытеснят хотя бы первую линию SOC?

С. Д.: Скорее — будут помощниками, и это приведёт к тому, что первую линию SOC не надо будет расширять. Проблема ведь в чём? Постоянно растёт количество оборудования, число и сложность систем. Искусственный интеллект позволит страховать первую линию в качестве второй пары электронных глаз. Мы растём, растёт сектор экономики, но на этот рост недостаточно людей. И тут как раз могут прийти на помощь эти передовые алгоритмы.

Можно ли в какой-то степени отдать на откуп машине автоматизированное реагирование уже сейчас?

С. Д.: Понятие «реагирование» — очень широкое. Оно охватывает как блокировку отдельно взятого IP-адреса, так и ситуацию, в которой целая команда изолирует сегменты сети и начинает разбираться. Первое происходит уже сейчас; второе, наверное, невозможно — ведь это означает замену целой команды людей, анализирующих паттерн поведения злоумышленника, который уже мог оказаться внутри сети, пытающихся его изолировать и не уронить при этом системы. Задача команды реагирования — соблюсти баланс доступности систем и степени реакции на вторжение.

Классический пример — когда выставляется приманка (ханипот) и любое обращение к ней, особенно если оно интенсивное, добавляет адреса в чёрный список. Мы не знаем, кто за этим адресом стоит, но очевидно, что обычные пользователи не будут биться о ханипот, который не опубликован — а значит, вас исследуют или собираются атаковать. Мы видим вполне сильное развитие таких алгоритмов, которые взаимодействуют внутри инфраструктуры, блокируют, сигнализируют, подсвечивают потенциальные атаки. Для более сложных случаев искусственный интеллект будет неким ассистентом, станет подсказывать варианты по возможным сценариям реагирования на какое-либо событие. 

Давайте пофантазируем и представим себя в далёком будущем. Удалось сделать такую систему, в которую ты пришёл с утра и говоришь: «Теперь защищай меня». Она сама включила все файрволы, сама запустила мониторинг; началась атака — система стала её блокировать. Наверное, когда-нибудь подобное будет возможно, но, кажется, мы ещё не видим даже первых признаков настолько сложных интеллектуальных систем.

Проблема заключается в сложности и широте самой отрасли информационной безопасности. Мы всё время говорим про периметр. А давайте подумаем: из чего состоит информационная безопасность? Можно долго перечислять: трекинг, сбор логов, анализ системных данных и сведений операционной системы, ограничения на уровне ОС, внутренние нарушители, внешние нарушители и так далее. Система очень разнообразна, и создание единого интеллекта, который будет всем управлять, на данном этапе развития технологии маловероятно.

Было бы хорошо каким-то образом делиться наработанной экспертизой. Сегодня тоже об этом говорилось, в том числе на сессии с регуляторами. Мы распыляем ресурсы направо и налево, вместо того чтобы их консолидировать. На ваш взгляд, эта проблема вообще решаема? Если да, то что здесь можно предпринять?

С. Д.: Невозможно, к сожалению, выпустить директиву и сказать: «А теперь дружите». Это никогда не увенчается успехом. Ближайший аналог — это изменение корпоративной культуры: недостаточно выпустить новые лозунги и развесить на стенах новые плакатики, чтобы организация стала работать по-другому. Нужен набор шагов, совершаемых планомерно.

Когда я зову на свои посиделки по информационной безопасности конкурирующие организации, я должен к ним нормально относиться, потому что в этот момент мы не конкурируем, а помогаем друг другу сэкономить. Такие регулярные мероприятия позволяют людям осознать, что они не враги, а союзники, которые могут доверять друг другу.

Второе ключевое слово — доверие. Минцифры выпустило унифицированные требования к высокопроизводительным межсетевым экранам, но все говорят, что всё равно сами будут тестировать. Вот это надо переломить, потому что мы должны научиться доверять. Надо шаг за шагом создавать возможности для того, чтобы обмен опытом и технологиями стал допустимым. Этот перелом рано или поздно произойдёт, я в него верю, и люди начнут общаться: шеринговая экономика придёт на рынок информационной безопасности.

Не повредит ли импортозамещение надёжности и безопасности ИТ-инфраструктуры?

С. Д.: С одной стороны, такой риск существует, но с другой стороны, рынок средств защиты информации в России исторически был вполне развит. На самом деле, многие решения, представленные на российском рынке, изначально были лучше, чем зарубежные. Именно это позволяет нам говорить о том, что подобные риски, связанные с переходом на всё отечественное к 1 января 2025 года, мы преодолеем. 

Сергей, большое спасибо за интервью! Успехов вам в вашем деле! До новых встреч!