Рассказав о том, как машинное обучение работает в разных задачах cybersecurity, сегодня мы собрали для вас 5 примеров реального использования Machine Learning в информационной безопасности. Также в этой статье мы рассмотрим, способны ли эти методы искусственного интеллекта заменить существующие инструменты защиты данных и почему.
Где и как машинное обучение используется в Cybersecurity: 5 практических кейсов
Считается, что сегодня именно банки, в первую очередь, являются наиболее крупными пользователями и драйверами развития технологий больших данных (Big Data) и машинного обучения в области кибербезопасности [1]. Например, здесь мы писали, как Machine Learning помогает ИТ-специалистам Хоум Кредит Банка вести мониторинг эксплуатации банковских систем и своевременно определять аномальную активность отдельных компонентов или пользователей. Методы Machine Learning (ML) также активно применяются другими высокотехнологичными компаниями при разработке специального ПО.
В частности, интересна история создания безопасной СУБД Sqrrl, графической NoSQL-базы на базе Apache Accumulo [2]. Эта платформа для поиска киберугроз использует машинное обучение, чтобы наглядно отобразить уязвимые точки компьютерных сетей. В январе 2018 года корпорация Amazon приобрела Sqrrl для своего облачного бизнеса Amazon Web Services [3].
Компания Demisto, продвигающая подход SOAR (Security Orchestration, Automation and Response) к кибербезопасности, применяет ML-алгоритмы в визуальной панели мониторинга своей платформы, чтобы приоретизировать сообщения о возможных угрозах [3].
Также стоит отметить опыт отечественной ИТ-компании «Лаборатория Касперского», которая активно встраивает модели машинного обучения в свои антивирусные продукты. Чтобы снизить количество ложных срабатываний, улучшить интерпретируемость результатов и повысить устойчивость ПО к действиям потенциального злоумышленника, Лаборатория Касперского использует решающие деревья, локально-устойчивые свёртки, поведенческие модели и ML-алгоритмы кластеризации [4].
Подобным образом, корпорация Microsoft создала собственную cybersecurity систему Windows Advanced Threat Protection для превентивной защиты, обнаружения нарушений, автоматического расследования и реагирования на угрозы. Этот продукт интегрирован во все устройства на базе Windows 10 и активно используется вместе с облачными сервисами компании [3]. Также встроенная в Windows Defender ML-система проводит поведенческий анализ множества данных каждый день, чтобы предупредить возможную атаку. К примеру, при установке вредоносной криптомайнера в браузер на уровне отдельного пользователя Windows, система распознает и блокирует эту угрозу всего за несколько миллисекунд. Аналогичная угроза на уровне предприятия будет отражена за пару секунд благодаря эффективному использованию методов Machine Learning [5].
Запустит ли Machine Learning революцию в информационной безопасности и почему
Несмотря на оптимистичные прогнозы о том, что уже скоро Machine Learning заменит всех живых специалистов по информационной безопасности своими автоматическими алгоритмами [1], в реальности говорить об этом еще рано. Полному отказу от прежних методов cybersecurity в пользу машинного обучения препятствуют следующие причины [6]:
- нейросетевые модели ведут себя как «черный ящик», «вещь в себе», которая не объясняет, почему из таких входных данных получился именно этот результат. Такое отсутствие непосредственной обратной связи в когнитивном плане не позволяет полностью отказаться от человеческого контроля в таких важных сферах, как информационная безопасность, по аналогии с наличием ручного управления самолетом даже при наличии очень умного автопилота.
- отсутствие достаточного для корректного обучения ML-моделей количества датасетов по всем направлениям киберугроз, от компьютерных вирусов до приемов социальной инженерии;
- возможность специфических атак на ML-алгоритмы и используемые датасеты, что может привести к неверным решениям, пропущенным атакам или ложным срабатываниям;
- злоумышленники тоже используют алгоритмы Machine Learning для создания вредоносных программ, анализа пользовательского поведения, разработки ботов-сборщиков персональных данных, поиска уязвимостей, подбора паролей, подмены личности, обхода систем защиты и пр.
Также стоит отметить некоторый конфликт между требованиями генерального регламента о защите персональных данных граждан и резидентов Евросоюза (GDPR, General Data Protection Regulation) и использовании этой информации в ML-моделях кибербезопасности. В частности, GDPR предполагает наличие у пользователя возможности «быть забытым», если он не дает согласия на сбор своих персональных данных или решил его отозвать. Это требование может нарушаться, если какая-то ML-модель автоматически анализирует поведение пользователя (cookies, данные об устройстве, браузере и т.д.) для предупреждения угроз, явно не сообщая об этом клиенту [7]. Подробнее о том, что такое GDPR и как он связан с персональными данными, мы рассказывали здесь.
Таким образом, пока машинное обучение не может заменить ранее существовавшие методы cybersecurity, но уже значительно дополняет и расширяет их. В частности, ML-модели повышают точность сигнатурного анализа, который быстро обрабатывает запросы и не требует длительного периода обучения. Таким образом, можно использовать сигнатурный анализ для выявления запросов с явными признаками атаки, а машинное обучение – для анализа остальных запросов. В результате такого сочетания разных методов достигается высокая скорость работы антивирусного ПО с минимальным количеством ложных срабатываний и пропусков атак [8].
В следующей статье мы поговорим о техниках управления требованиями, системного и бизнес-анализа, которые используются в информационной безопасности для выявления и предупреждения рисков. А о том, как защитить свои большие данные на практике, вы узнаете на наших образовательных курсах в лицензированном учебном центре обучения и повышения квалификации ИТ-специалистов (менеджеров, архитекторов, инженеров, администраторов, Data Scientist’ов и аналитиков Big Data) в Москве:
Источники
- https://www.securitylab.ru/blog/personal/tsarev/339164.php
- https://ru.bmstu.wiki/Sqrrl
- https://builtin.com/artificial-intelligence/machine-learning-cybersecurity
- https://www.kaspersky.ru/enterprise-security/wiki-section/products/machine-learning-in-cybersecurity
- https://www.anti-malware.ru/analytics/Technology_Analysis/machine-learning-and-artificial-intelligence-in-is
- https://www.it-world.ru/cionews/manage_secure/141988.html
- https://www.varonis.com/blog/ai-vs-ml-in-cybersecurity/
- https://ib-bank.ru/bisjournal/post/822
