5 причин, почему машинное обучение не заменит другие методы Cybersecurity и реальные примеры эффективного использования ML для защиты данных

Big Data, Большие данные, предиктивная аналитика, Machine Learning, машинное обучение, защита информации, безопасность, Security

Рассказав о том, как машинное обучение работает в разных задачах cybersecurity, сегодня мы собрали для вас 5 примеров реального использования Machine Learning в информационной безопасности. Также в этой статье мы рассмотрим, способны ли эти методы искусственного интеллекта заменить существующие инструменты защиты данных и почему.

Где и как машинное обучение используется в Cybersecurity: 5 практических кейсов

Считается, что сегодня именно банки, в первую очередь, являются наиболее крупными пользователями и драйверами развития технологий больших данных (Big Data) и машинного обучения в области кибербезопасности [1]. Например, здесь мы писали, как Machine Learning помогает ИТ-специалистам Хоум Кредит Банка вести мониторинг эксплуатации банковских систем и своевременно определять аномальную активность отдельных компонентов или пользователей. Методы Machine Learning (ML) также активно применяются другими высокотехнологичными компаниями при разработке специального ПО.

В частности, интересна история создания безопасной СУБД Sqrrl, графической NoSQL-базы на базе Apache Accumulo [2]. Эта платформа для поиска киберугроз использует машинное обучение, чтобы наглядно отобразить уязвимые точки компьютерных сетей. В январе 2018 года корпорация Amazon приобрела Sqrrl для своего облачного бизнеса Amazon Web Services [3].

Компания Demisto, продвигающая подход SOAR (Security Orchestration, Automation and Response) к кибербезопасности, применяет ML-алгоритмы в визуальной панели мониторинга своей платформы, чтобы приоретизировать сообщения о возможных угрозах [3].

Также стоит отметить опыт отечественной ИТ-компании «Лаборатория Касперского», которая активно встраивает модели машинного обучения в свои антивирусные продукты. Чтобы снизить количество ложных срабатываний, улучшить интерпретируемость результатов и повысить устойчивость ПО к действиям потенциального злоумышленника, Лаборатория Касперского использует решающие деревья, локально-устойчивые свёртки, поведенческие модели и ML-алгоритмы кластеризации [4].

Подобным образом, корпорация Microsoft создала собственную cybersecurity систему Windows Advanced Threat Protection для превентивной защиты, обнаружения нарушений, автоматического расследования и реагирования на угрозы. Этот продукт интегрирован во все устройства на базе Windows 10 и активно используется вместе с облачными сервисами компании [3]. Также встроенная в Windows Defender ML-система проводит поведенческий анализ множества данных каждый день, чтобы предупредить возможную атаку. К примеру, при установке вредоносной криптомайнера в браузер на уровне отдельного пользователя Windows, система распознает и блокирует эту угрозу всего за несколько миллисекунд. Аналогичная угроза на уровне предприятия будет отражена за пару секунд благодаря эффективному использованию методов Machine Learning [5].

предиктивная аналитика, Machine Learning, машинное обучение, защита информации, безопасность, Security
Методы машинного обучения активно используются для защиты данных и превентивного поиска киберугроз

Запустит ли Machine Learning революцию в информационной безопасности и почему

Несмотря на оптимистичные прогнозы о том, что уже скоро Machine Learning заменит всех живых специалистов по информационной безопасности своими автоматическими алгоритмами [1], в реальности говорить об этом еще рано. Полному отказу от прежних методов cybersecurity в пользу машинного обучения препятствуют следующие причины [6]:

  • нейросетевые модели ведут себя как «черный ящик», «вещь в себе», которая не объясняет, почему из таких входных данных получился именно этот результат. Такое отсутствие непосредственной обратной связи в когнитивном плане не позволяет полностью отказаться от человеческого контроля в таких важных сферах, как информационная безопасность, по аналогии с наличием ручного управления самолетом даже при наличии очень умного автопилота.
  • отсутствие достаточного для корректного обучения ML-моделей количества датасетов по всем направлениям киберугроз, от компьютерных вирусов до приемов социальной инженерии;
  • возможность специфических атак на ML-алгоритмы и используемые датасеты, что может привести к неверным решениям, пропущенным атакам или ложным срабатываниям;
  • злоумышленники тоже используют алгоритмы Machine Learning для создания вредоносных программ, анализа пользовательского поведения, разработки ботов-сборщиков персональных данных, поиска уязвимостей, подбора паролей, подмены личности, обхода систем защиты и пр.

Также стоит отметить некоторый конфликт между требованиями генерального регламента о защите персональных данных граждан и резидентов Евросоюза (GDPR, General Data Protection Regulation) и использовании этой информации в ML-моделях кибербезопасности. В частности, GDPR предполагает наличие у пользователя возможности «быть забытым», если он не дает согласия на сбор своих персональных данных или решил его отозвать. Это требование может нарушаться, если какая-то ML-модель автоматически анализирует поведение пользователя (cookies, данные об устройстве, браузере и т.д.) для предупреждения угроз, явно не сообщая об этом клиенту [7]. Подробнее о том, что такое GDPR и как он связан с персональными данными, мы рассказывали здесь.

Таким образом, пока машинное обучение не может заменить ранее существовавшие методы cybersecurity, но уже значительно дополняет и расширяет их. В частности, ML-модели повышают точность сигнатурного анализа, который быстро обрабатывает запросы и не требует длительного периода обучения. Таким образом, можно использовать сигнатурный анализ для выявления запросов с явными признаками атаки, а машинное обучение – для анализа остальных запросов. В результате такого сочетания разных методов достигается высокая скорость работы антивирусного ПО с минимальным количеством ложных срабатываний и пропусков атак [8].

информационная безопасность и защита данных с помощью Big Data и ML
Машинное обучение не вытесняет прежние методы cybersecurity, а дополняет их

В следующей статье мы поговорим о техниках управления требованиями, системного и бизнес-анализа, которые используются в информационной безопасности для выявления и предупреждения рисков. А о том, как защитить свои большие данные на практике, вы узнаете на наших образовательных курсах в лицензированном учебном центре обучения и повышения квалификации ИТ-специалистов (менеджеров, архитекторов, инженеров, администраторов, Data Scientist’ов и аналитиков Big Data) в Москве:

Источники

  1. https://www.securitylab.ru/blog/personal/tsarev/339164.php
  2. https://ru.bmstu.wiki/Sqrrl
  3. https://builtin.com/artificial-intelligence/machine-learning-cybersecurity
  4. https://www.kaspersky.ru/enterprise-security/wiki-section/products/machine-learning-in-cybersecurity
  5. https://www.anti-malware.ru/analytics/Technology_Analysis/machine-learning-and-artificial-intelligence-in-is
  6. https://www.it-world.ru/cionews/manage_secure/141988.html
  7. https://www.varonis.com/blog/ai-vs-ml-in-cybersecurity/
  8. https://ib-bank.ru/bisjournal/post/822
Поиск по сайту