Баланс скорости и рисков: как внедряют искусственный интеллект в информационную безопасность

Российские специалисты отмечают, что совокупный экономический эффект (вклад в ВВП) от использования технологий искусственного интеллекта (ИИ) во всех отраслях экономики РФ к 2030 году может составить 11,6 трлн руб.

Это свидетельствует о том, что ИБ-вендоры не могут позволить себе пройти мимо этой технологии. Им требуется, как минимум, протестировать гипотезы по внедрению ИИ в инструменты и процессы, а в идеальном варианте — пересмотреть стратегию развития продуктов и заложить дополнительные инвестиции.

При этом стоит помнить, что вместе с преимуществами ИИ несет и риски. В этой статье расскажем, что важно учитывать при внедрении технологий искусственного интеллекта в ИБ-продукты и для каких задач ИИ применяется в этих продуктах, включая сервисы Т1 Облако.

Во-первых, для обучения моделей необходимы качественные данные, что требует их дополнительного анализа перед добавлением в датасет, а, следовательно, больших затрат времени специалистов.

Во-вторых, ИИ весьма затратный инструмент: для обучения моделей нужны значительные вычислительные мощности, которые не могут себе позволить небольшие и средние ИБ-вендоры. Выход – использовать облачные ресурсы, как, например, GPU. Однако бизнес не всегда бывает готов к передаче чувствительной информации в облако для обучения LLM.

В-третьих, для разработки подобных решений требуются специалисты, работающие на стыке информационной безопасности и обучения LLM. Сейчас на рынке дефицит подготовленных специалистов в этих областях.

В-четвертых, в сфере информационной безопасности каждое суждение ИИ-агента, благодаря которому он пришел к умозаключению, должно быть прозрачно и объяснимо, что требует определенного опыта разработки ИИ. Это позволит исключить галлюцинации и устранить ошибки в решении. Первый шаг к этому уже сделан в моделях с технологией reasoning, которые умеют «мыслить» перед ответом и воспроизводить цепочку рассуждений.

В-пятых, внедренная LLM может стать мишенью для хакеров, поскольку безопасность искусственного интеллекта — молодая и неизученная область. Злоумышленники, получив доступ к обучающим датасетам, могут «отравить» данные: предоставить сведения, учитывая которые, например, ИИ будет игнорировать некоторые виды хакерских атак.

Тем не менее, правильное управление рисками и меры противодействия вероятным угрозам позволяют:

• снизить нагрузку на ИБ-специалистов и освободить их время для более важных задач;

• быстрее реагировать на инциденты за счет автоматизации рутинных процессов;

• проводить поведенческий анализ пользователей и систем;

• повысить точность предиктивного анализа;

• обнаружить ранее неизвестные угрозы.

Рассмотрим подробнее, зачем искусственный интеллект используется в ИБ-продуктах.

ИИ-технологии и машинное обучение используются в сфере автоматизации анализа огромных объемов данных, чтобы выявлять аномалии, подозрительные паттерны и потенциальные атаки. Это позволяет сократить время реагирования и минимизировать ущерб. За счет автоматизации рутинных процессов (анализа логов, сетевого трафика и т.п.) специалисты L1-поддержки разбирают только ложноположительные и положительные срабатывания.

Например, в сервисе WAF от Т1 Облако встроена многоуровневая защита от переборных атак (brute-force, dictionary attack, credential stuffing, directory / file brute-force, IDOR и др.) и атак с помощью средств автоматизации (боты, скрипты, специализированное ПО типа Selenium / Puppeteer и др.). Эта защита включает в себя позитивную модель («что не разрешено, то запрещено»), рейт-лимитинг, анализ поведения пользователей и запросов, проходящих через межсетевой экран. В случае необходимости можно подключить полнофункциональный анализ клиентского окружения.

Еще в начале 2010-х годов стали активно развиваться такие классы продуктов, как User Behavior Analytics (UBA) и User and Entity Behavior Analytics (UEBA), в основе которых лежало применение машинного обучения для анализа поведенческих паттернов и выявления отклонений от нормального поведения пользователей, учетных записей, приложений и сервисов.

Решения подобного класса уже интегрированы в другие классы продуктов по информационной безопасности (UBA, как правило, только в DLP, UEBA в SIEM, IAM, DLP и др.). Такого рода решения собирают и оценивают типичное поведение пользователей, сервисов (объем и характер обрабатываемых данных, используемые устройства, запущенные процессы, активные приложения, сетевые взаимодействия и др.), в результате чего формируют индивидуальный профиль поведения. Не характерные для пользователя действия помечаются как аномалии, которые требуют внимания службы ИБ.

Большую часть кибератак можно остановить еще на периметре, но есть сложные атаки, в ходе которых злоумышленники проникают во внутреннюю сеть.

Для таких целей могут использоваться решения класса Network Traffic Analysis (NTA, анализ сетевого трафика). Например, сервис «Обнаружение угроз в сетевом трафике» от Т1 Облако выполняет профилирование сетевых узлов и поиск аномалий в сетевом трафике с помощью технологий машинного обучения. Для обнаружения угроз, которые невозможно выявить классическими методами, в систему встроены самообучающиеся ML-модули, которыми активно пользуются крупные российские ИБ-вендоры.

Сервис обнаружения угроз в сетевом трафике использует поведенческий анализ трафика, статистический анализ сессий, собственные правила детектирования угроз, индикаторы компрометации и ретроспективный анализ, которые позволяют обнаруживать атаки на ранних этапах и в случаях, когда злоумышленник уже проник в инфраструктуру. Поведенческий анализ учитывает множество параметров сессий и точно определяет атакующих даже в шифрованном трафике. Набор индикаторов компрометации и правил еженедельно пополняется.

Технологии искусственного интеллекта активно входят в мир пентестов (тестирования на проникновение). LLM могут находить уязвимости в системах, анализировать данные и эксплуатировать найденные проблемы. Еще пару лет назад специалисты по кибербезопасности тратили часы на рутинный поиск уязвимостей, например, в коде или сетевых протоколах. Теперь ИИ берет на себя часть этой работы. Так, сотрудники Positive Technologies с помощью ChatGPT обнаружили опасную XXE-уязвимость в браузере, а команда Google Project Zero в 2024 году нашла уязвимость 0-day в SQLite, применив ИИ-решение.

Большие языковые модели могут значительно ускорить обучение специалистов в области ИБ за счет автоматизации, персонализации и повышения доступности знаний. Так, например, поиск информации в сложной технической документации ПО может занимать много времени. При этом LLM, обученные на внутренней документации компании, позволяют задавать вопросы на естественном языке и мгновенно получать структурированные ответы.

Еще пример: для обучения нового сотрудника компании нередко привлекают наставника, и такую роль вполне может сыграть ИИ-ассистент. Он повышает скорость адаптации и умеет генерировать индивидуальные задания для развития определенных компетенций у сотрудника (например: симуляция DDoS-атак или эксплуатации уязвимостей с пошаговым объяснением реакции системы, создание сценариев фишинговых атак, адаптированных под реальные угрозы и т.д.).

Итак, ИИ в кибербезопасности — мощный инструмент: он ускоряет работу, но требует осторожности. Для работы ему нужны большие вычислительные ресурсы и качественные проверенные данные с максимально ограниченным доступом, а генерируемые ответы требуют проверки и контроля. При внедрении LLM в модели угроз стоит предусмотреть меры по обеспечению их безопасности. Успешное внедрение искусственного интеллекта в ПО информационной безопасности требует от вендора стратегического подхода, инвестиций в технологии и сотрудников, а также баланса между инновациями и рисками.

По оценке Института статистических исследований и экономики знаний НИУ ВШЭ, спрос на ИИ-решения в области кибербезопасности со стороны компаний в ближайшие годы будет расти в России и в мире. Однако самостоятельное внедрение ИБ-сервисов может занять у бизнеса много времени и ресурсов, особенно в условиях дефицита компетентных специалистов по информационной безопасности.

Эффективной альтернативой могут стать облачные ИБ-сервисы. Например, специалисты Т1 Облако консультируют клиентов по вопросам обеспечения безопасности их инфраструктуры, помогают подобрать подходящие конфигурации и оперативно подключить сервисы.

Команда Т1 Облако регулярно запускает новые облачные сервисы. Не хотите пропускать новости, полезные материалы и анонсы мероприятий? Подписывайтесь на наш email-дайджест. Без спама и всего раз в месяц.