Как искусственный интеллект повышает кибербезопасность
Отечественные компании, следуя мировому тренду, делают ставку на искусственный интеллект для защиты предприятий от киберугроз
Несмотря на изолированность российских компаний от западного технологического рынка, основные тренды развития одинаковы для всего мира, отмечают аналитики Фонда развития интернет-инициатив (ФРИИ): «Ключевые технологии во всех отраслях в России, как и в мире, — ИИ и кибербезопасность».
Объем рынка искусственного интеллекта в России в 2022 году вырос почти на 18% и составил 650 млрд руб., по данным правительства РФ. Емкость рынка кибербезопасности в нашей стране до 2027 года будет расти на 24% ежегодно и к этому сроку составит 559 млрд руб., по данным «Центра стратегических разработок».
Как недавно заявил глава Минцифры РФ Максут Шадаев, искусственный интеллект и кибербезопасность будут основными трендами цифровизации в России до 2030 года.
При этом, как отмечают в ИТ-отрасли, одним из самых перспективных направлений развития этих технологий станет их взаимодействие для повышения кибербезопасности с помощью ИИ.
Киберугрозы растут, защита совершенствуется
Растущие угрозы заставили пересмотреть подходы к организации безопасности и повысили спрос на программное обеспечение с расширенной и поведенческой аналитикой, отмечает заместитель генерального директора — технического директора компании «Газинформсервис» Николай Нашивочников. Полностью защититься от угроз, которые обходят стандартные меры безопасности, по его словам, вручную уже невозможно: «Необходим комплексный подход, аналитические платформы и полнофункциональные экосистемы».
Количество хакерских атак, по данным ФРИИ, растет на 54% год от году во всех отраслях. В 2022 году почти все компании, опрошенные оператором «Мегафон», подвергались атакам, при этом каждая пятая компания понесла финансовый ущерб. В 2023 году активность злоумышленников остается высокой.
Фокус бизнеса направлен на глубокую автоматизацию, интеграцию нейросетей и алгоритмов на базе машинного обучения (machine learning, ML) в процессы обеспечения безопасности сетей, экосистемных продуктов и сервисов, включая облачные решения, отмечает директор департамента методологии информационной безопасности VK Илья Борисов.
Особое внимание уделяется безопасности цепочек поставок, внедрению практик и инструментов безопасной разработки в производственные процессы. Актуально предотвращение утечек данных, в том числе в результате совершенствования решений по контролю и управлению доступом.
Это мировой тренд. 44% организаций по всему миру внедряют приложения искусственного интеллекта для обнаружения и предотвращения кибератак, отмечают аналитики Mordor Intelligence. Объем мирового рынка ИИ в сфере безопасности вырастет с $21,19 млрд в 2023 году до $50,61 млрд к 2028 году при среднегодовом темпе роста 19%, по данным агентства.
Кибербезопасность и защита данных с объемом вложений в размере $5,4 млрд входит в первую пятерку отраслей, которые привлекли наибольший объем инвестиций в ИИ в 2022 году. Несколько больший размер вложений наблюдался только в медицине ($6,1 млрд), управление данными, их обработке и облаках ($5,9 млрд) и в финтехе ($5,5 млрд), по данным Стэнфордского университета.
Как работает умная поддержка
Технологии ИИ, ML и продвинутая аналитика повышают эффективность решений ИБ, говорит эксперт практики кибербезопасности «ТеДо» Константин Бельцов. Эти технологии используются в наиболее востребованных технических решениях, в том числе в межсетевых экранах, решениях для защиты от вредоносного кода (антивирусы), решениях по защите от утечек данных (DLP — data leakage prevention), системах обнаружения событий ИБ (SIEM), в решениях по обнаружению аномальной активности на конечных хостах (EDR, XDR), в защите от фрода (fraud — мошенничество).
Например, машинное обучение помогает контролировать доступ и уровень доступа пользователей, выявляя несанкционированные действия, может применяться для сканирования систем на предмет уязвимостей и планирования их устранения. А ИИ может быть использован для разработки более эффективных антивирусных решений, дополняет Константин Бельцов.
Именно при обработке большого объема данных результаты работы нейросетей не сопоставимы с другими технологиями и человеком, поясняет Илья Борисов: «Модели способны не только применять статичный набор правил, но и постоянно самообучаться и совершенствоваться». По оценкам VK, нейросети и машинное обучение максимально эффективны в решениях по распознаванию и блокировке фишинга, фрода, спама, обнаружению ботов и детектированию сложных атак.
«За счет автоматизации реагирования на инциденты ИБ сокращается время реакции аналитиков и операторов на атаку и снижаются риски человеческой ошибки», — говорит Константин Бельцов. С помощью машинного обучения можно значительно сократить количество ложных срабатываний, чтобы фокусироваться на реальных угрозах.
ИИ и ML позволяют находить необычные поведения и паттерны, которые могут указывать на киберугрозы, обрабатывать большие объемы данных для выявления трендов и предсказания угроз, использоваться для автоматического обнаружения и блокировки вредоносного трафика, автоматизации поиска и устранения уязвимостей в системах, рассказал руководитель направления Центра компетенций по информационной безопасности «Т1 Интеграции» Валерий Степанов. Также инструменты могут использоваться для непрерывного мониторинга систем и быстрого реагирования на инциденты безопасности.
«С помощью мониторинга показателей поведения пользователя при работе с информационными системами (скорость работы на клавиатуре, перемещение мышки и т. д.) системы поведенческого анализа способны выявить, что компьютером пользуется злоумышленник и сообщить о необходимости принятия соответствующих мер», — дополняет партнер, лидер практики технологического консультирования компании ДРТ Тимофей Хорошев.
Применение ИИ для защиты
Интеллектуальные алгоритмы и нейросети активно внедряются российскими компаниями для совершенствования систем кибербезопасности. В «Сбере», например, ИИ защищает данные клиентов — алгоритмы встроены в системы DLP. По оценкам специалистов «Сбера», совокупная точность (соотношение ложноположительных и ложноотрицательных срабатываний) классической DLP-системы обычно держится на уровне 70%. А с использованием ИИ-моделей среднюю точность удалось повысить до 95%, из них примерно 40% атрибутов распознаются с точностью до 99,9%.
В социальной сети «ВКонтакте» эти технологии помогают реализовывать стратегию по формированию комфортной цифровой среды для пользователей, рассказал Илья Борисов. В компании внедрены такие функции, как распознавание и скрытие недружелюбных комментариев, предупреждение о подозрительных собеседниках в мессенджере и нежелательных телефонных звонках в мобильном приложении и нейросеть, которая автоматически предлагает включить режим приватности.
В почтовых решениях Mail.ru технологии ML используются для борьбы с фишингом, спамом, фродом и другой мошеннической активности в сервисе. Такие функции — часть глобальной инициативы VK Protect, которая объединяет технологические решения для обеспечения защиты пользователей и их данных в сервисах VK.
В сети «Одноклассники» ML-технологии защищают аудиторию от нежелательного контента, борются со спамом и помогают улучшать пользовательский опыт при обращении в поддержку, например, когда нужно восстановить доступ к аккаунту. Соцсеть просит прислать фотографию со специальным жестом или кодом, и алгоритмы анализируют сходство человека на снимке с владельцем страницы, корректность жеста или кода и отправляют запрос на подтверждение сотруднику.
Разработчики решений ИБ также используют ИИ и ML как для внутренних задач, так и в продуктах для внешнего рынка: применяется поведенческая аналитика, в антифрод решения, ML встроено также в платформы для управления данными киберразведки (threat intelligence).
В компании «Т1 Интеграция» говорят, что технологии ИИ и ML встроены в их решения: как в системах для защиты от утечек информации, так и в средах для тестирования, межсетевых экранах следующего поколения (next-generation firewall, NGFW — комплексный инструмент, предназначенный для контроля трафика, управления доступом пользователей и приложений, предотвращения атак), а также в антивирусных программах.
В компании «Газинформсервис» в 2018–2022 годах была разработана платформа расширенной аналитики событий безопасности Ankey ASAP. Платформа поддерживает алгоритмы потоковой обработки данных и единое хранилище (data warehouse), в которое данные поступают в унифицированном формате. «Такая архитектура облегчает интеграцию с разными средствами защиты, чтобы не замыкаться на собственной закрытой экосистеме», — поясняет Николай Нашивочников. В 2023 году команда Ankey ASAP обучила нейросеть для обнаружения аномалий и профилирования нормального «поведения» процессов в операционных системах. Отдельно был создан подход к обнаружению с использованием топологического анализа данных и глубокого обучения. Традиционные статистические методы не справляются с функциями обнаружения аномалий или атак, считает Николай Нашивочников.
Наступательный ИИ
Обратная сторона проникновения интеллектуальных алгоритмов и нейросети в сферу кибербезопасности — так называемый наступательный ИИ — набирающая в мире обороты тенденция использования технологии для кибератак.
Так, согласно опросу среди 650 экспертов сферы кибербезопасности, проведенному нью-йоркской профильной компанией Deep Instinct в июне 2023 года, 75% участников заметили за прошедший год повышенную частоту атак, причем в 85% случаев это заслуга злоумышленников, пользующихся генеративным ИИ (генерирует новые результаты на основе данных, на которых они были обучены). 37% представителей отрасли связывают с использованием генеративного ИИ невозможность обнаружения фишинговых атак, еще 33% — увеличение объема и скорости атак.
Киберпреступники используют новые технологии для организации кибератак, выявляя средства защиты сети и моделируя поведение для обхода средств контроля безопасности, отмечает Тимофей Хорошев: «Из-за использования языковых моделей (в том числе GPT) текстовое содержание вредоносной рассылки становится распознать сложнее».
Это требует от специалистов по ИБ еще более активного внедрения передовых эвристических решений в соответствии с масштабом и серьезностью угроз, говорит Николай Нашивочников. Например, киберполигон «Газинформсервис» позволяет создавать наборы данных с атаками, обучать и апробировать модели с участием команд экспертов, отвечающих за разметку, предобработку и выбор признаков для ML и ИИ.
Эксперты отрасли ожидают увеличения затрат на использование ИИ в проектах по защите от киберугроз. При этом законодатели во многих странах мира, в том числе в России, рассматривают возможности регулирования ИИ, что может влиять на варианты развития и внедрения этих технологий.