Как искусственный интеллект повышает кибербезопасность
Несмотря на изолированность российских компаний от западного технологического рынка, основные тренды развития одинаковы для всего мира, отмечают аналитики Фонда развития интернет-инициатив (ФРИИ): «Ключевые технологии во всех отраслях в России, как и в мире, — ИИ и кибербезопасность».
Объем рынка искусственного интеллекта в России в 2022 году вырос почти на 18% и составил 650 млрд руб., по данным правительства РФ. Емкость рынка кибербезопасности в нашей стране до 2027 года будет расти на 24% ежегодно и к этому сроку составит 559 млрд руб., по данным «Центра стратегических разработок».
Как недавно заявил глава Минцифры РФ Максут Шадаев, искусственный интеллект и кибербезопасность будут основными трендами цифровизации в России до 2030 года.
При этом, как отмечают в ИТ-отрасли, одним из самых перспективных направлений развития этих технологий станет их взаимодействие для повышения кибербезопасности с помощью ИИ.
Киберугрозы растут, защита совершенствуется
Растущие угрозы заставили пересмотреть подходы к организации безопасности и повысили спрос на программное обеспечение с расширенной и поведенческой аналитикой, отмечает заместитель генерального директора — технического директора компании «Газинформсервис» Николай Нашивочников. Полностью защититься от угроз, которые обходят стандартные меры безопасности, по его словам, вручную уже невозможно: «Необходим комплексный подход, аналитические платформы и полнофункциональные экосистемы».
Количество хакерских атак, по данным ФРИИ, растет на 54% год от году во всех отраслях. В 2022 году почти все компании, опрошенные оператором «Мегафон», подвергались атакам, при этом каждая пятая компания понесла финансовый ущерб. В 2023 году активность злоумышленников остается высокой.
Фокус бизнеса направлен на глубокую автоматизацию, интеграцию нейросетей и алгоритмов на базе машинного обучения (machine learning, ML) в процессы обеспечения безопасности сетей, экосистемных продуктов и сервисов, включая облачные решения, отмечает директор департамента методологии информационной безопасности VK Илья Борисов.
Особое внимание уделяется безопасности цепочек поставок, внедрению практик и инструментов безопасной разработки в производственные процессы. Актуально предотвращение утечек данных, в том числе в результате совершенствования решений по контролю и управлению доступом.
Это мировой тренд. 44% организаций по всему миру внедряют приложения искусственного интеллекта для обнаружения и предотвращения кибератак, отмечают аналитики Mordor Intelligence. Объем мирового рынка ИИ в сфере безопасности вырастет с $21,19 млрд в 2023 году до $50,61 млрд к 2028 году при среднегодовом темпе роста 19%, по данным агентства.
Кибербезопасность и защита данных с объемом вложений в размере $5,4 млрд входит в первую пятерку отраслей, которые привлекли наибольший объем инвестиций в ИИ в 2022 году. Несколько больший размер вложений наблюдался только в медицине ($6,1 млрд), управление данными, их обработке и облаках ($5,9 млрд) и в финтехе ($5,5 млрд), по данным Стэнфордского университета.
Как работает умная поддержка
Технологии ИИ, ML и продвинутая аналитика повышают эффективность решений ИБ, говорит эксперт практики кибербезопасности «ТеДо» Константин Бельцов. Эти технологии используются в наиболее востребованных технических решениях, в том числе в межсетевых экранах, решениях для защиты от вредоносного кода (антивирусы), решениях по защите от утечек данных (DLP — data leakage prevention), системах обнаружения событий ИБ (SIEM), в решениях по обнаружению аномальной активности на конечных хостах (EDR, XDR), в защите от фрода (fraud — мошенничество).
Например, машинное обучение помогает контролировать доступ и уровень доступа пользователей, выявляя несанкционированные действия, может применяться для сканирования систем на предмет уязвимостей и планирования их устранения. А ИИ может быть использован для разработки более эффективных антивирусных решений, дополняет Константин Бельцов.
Именно при обработке большого объема данных результаты работы нейросетей не сопоставимы с другими технологиями и человеком, поясняет Илья Борисов: «Модели способны не только применять статичный набор правил, но и постоянно самообучаться и совершенствоваться». По оценкам VK, нейросети и машинное обучение максимально эффективны в решениях по распознаванию и блокировке фишинга, фрода, спама, обнаружению ботов и детектированию сложных атак.
«За счет автоматизации реагирования на инциденты ИБ сокращается время реакции аналитиков и операторов на атаку и снижаются риски человеческой ошибки», — говорит Константин Бельцов. С помощью машинного обучения можно значительно сократить количество ложных срабатываний, чтобы фокусироваться на реальных угрозах.
ИИ и ML позволяют находить необычные поведения и паттерны, которые могут указывать на киберугрозы, обрабатывать большие объемы данных для выявления трендов и предсказания угроз, использоваться для автоматического обнаружения и блокировки вредоносного трафика, автоматизации поиска и устранения уязвимостей в системах, рассказал руководитель направления Центра компетенций по информационной безопасности «Т1 Интеграции» Валерий Степанов. Также инструменты могут использоваться для непрерывного мониторинга систем и быстрого реагирования на инциденты безопасности.
«С помощью мониторинга показателей поведения пользователя при работе с информационными системами (скорость работы на клавиатуре, перемещение мышки и т. д.) системы поведенческого анализа способны выявить, что компьютером пользуется злоумышленник и сообщить о необходимости принятия соответствующих мер», — дополняет партнер, лидер практики технологического консультирования компании ДРТ Тимофей Хорошев.
Применение ИИ для защиты
Интеллектуальные алгоритмы и нейросети активно внедряются российскими компаниями для совершенствования систем кибербезопасности. В «Сбере», например, ИИ защищает данные клиентов — алгоритмы встроены в системы DLP. По оценкам специалистов «Сбера», совокупная точность (соотношение ложноположительных и ложноотрицательных срабатываний) классической DLP-системы обычно держится на уровне 70%. А с использованием ИИ-моделей среднюю точность удалось повысить до 95%, из них примерно 40% атрибутов распознаются с точностью до 99,9%.
В социальной сети «ВКонтакте» эти технологии помогают реализовывать стратегию по формированию комфортной цифровой среды для пользователей, рассказал Илья Борисов. В компании внедрены такие функции, как распознавание и скрытие недружелюбных комментариев, предупреждение о подозрительных собеседниках в мессенджере и нежелательных телефонных звонках в мобильном приложении и нейросеть, которая автоматически предлагает включить режим приватности.
В почтовых решениях Mail.ru технологии ML используются для борьбы с фишингом, спамом, фродом и другой мошеннической активности в сервисе. Такие функции — часть глобальной инициативы VK Protect, которая объединяет технологические решения для обеспечения защиты пользователей и их данных в сервисах VK.
В сети «Одноклассники» ML-технологии защищают аудиторию от нежелательного контента, борются со спамом и помогают улучшать пользовательский опыт при обращении в поддержку, например, когда нужно восстановить доступ к аккаунту. Соцсеть просит прислать фотографию со специальным жестом или кодом, и алгоритмы анализируют сходство человека на снимке с владельцем страницы, корректность жеста или кода и отправляют запрос на подтверждение сотруднику.
Разработчики решений ИБ также используют ИИ и ML как для внутренних задач, так и в продуктах для внешнего рынка: применяется поведенческая аналитика, в антифрод решения, ML встроено также в платформы для управления данными киберразведки (threat intelligence).
В компании «Т1 Интеграция» говорят, что технологии ИИ и ML встроены в их решения: как в системах для защиты от утечек информации, так и в средах для тестирования, межсетевых экранах следующего поколения (next-generation firewall, NGFW — комплексный инструмент, предназначенный для контроля трафика, управления доступом пользователей и приложений, предотвращения атак), а также в антивирусных программах.
В компании «Газинформсервис» в 2018–2022 годах была разработана платформа расширенной аналитики событий безопасности Ankey ASAP. Платформа поддерживает алгоритмы потоковой обработки данных и единое хранилище (data warehouse), в которое данные поступают в унифицированном формате. «Такая архитектура облегчает интеграцию с разными средствами защиты, чтобы не замыкаться на собственной закрытой экосистеме», — поясняет Николай Нашивочников. В 2023 году команда Ankey ASAP обучила нейросеть для обнаружения аномалий и профилирования нормального «поведения» процессов в операционных системах. Отдельно был создан подход к обнаружению с использованием топологического анализа данных и глубокого обучения. Традиционные статистические методы не справляются с функциями обнаружения аномалий или атак, считает Николай Нашивочников.
Наступательный ИИ
Обратная сторона проникновения интеллектуальных алгоритмов и нейросети в сферу кибербезопасности — так называемый наступательный ИИ — набирающая в мире обороты тенденция использования технологии для кибератак.
Так, согласно опросу среди 650 экспертов сферы кибербезопасности, проведенному нью-йоркской профильной компанией Deep Instinct в июне 2023 года, 75% участников заметили за прошедший год повышенную частоту атак, причем в 85% случаев это заслуга злоумышленников, пользующихся генеративным ИИ (генерирует новые результаты на основе данных, на которых они были обучены). 37% представителей отрасли связывают с использованием генеративного ИИ невозможность обнаружения фишинговых атак, еще 33% — увеличение объема и скорости атак.
Киберпреступники используют новые технологии для организации кибератак, выявляя средства защиты сети и моделируя поведение для обхода средств контроля безопасности, отмечает Тимофей Хорошев: «Из-за использования языковых моделей (в том числе GPT) текстовое содержание вредоносной рассылки становится распознать сложнее».
Это требует от специалистов по ИБ еще более активного внедрения передовых эвристических решений в соответствии с масштабом и серьезностью угроз, говорит Николай Нашивочников. Например, киберполигон «Газинформсервис» позволяет создавать наборы данных с атаками, обучать и апробировать модели с участием команд экспертов, отвечающих за разметку, предобработку и выбор признаков для ML и ИИ.
Эксперты отрасли ожидают увеличения затрат на использование ИИ в проектах по защите от киберугроз. При этом законодатели во многих странах мира, в том числе в России, рассматривают возможности регулирования ИИ, что может влиять на варианты развития и внедрения этих технологий.