Роль ИИ в обнаружении киберугроз

1. Введение#

Глобальный ландшафт киберугроз претерпевает двойную эволюцию: угрозы становятся не только более частыми, но и значительно более сложными, чем раньше. В подтверждение: второй квартал 2024 года ознаменовался поразительным увеличением числа кибератак по всему миру на 30 %, при этом на организацию совершалось в среднем 1636 атак каждую неделю. Кроме того, согласно Отчету об угрозах Webroot за 2020 год, 93,6 % атак вредоносного ПО в 2019 году имели полиморфный характер, то есть они содержали самонастраивающийся код, чтобы избежать обнаружения. По мере эскалации этих проблем роль искусственного интеллекта (ИИ) становится незаменимой в аналитике угроз.

2. Появление ИИ в кибербезопасности#

Искусственный интеллект по своей сути позволяет машинам имитировать человеческий интеллект (нашу способность рассуждать, принимать решения и распознавать закономерности). В кибербезопасности это означает, что ИИ может не только воспроизводить когнитивные функции аналитиков, но и превосходить человеческие возможности в вычислениях и скорости. Одно из подмножеств ИИ, которое делает все это более эффективным, — машинное обучение (ML). ML позволяет машинам (в данном случае системам кибербезопасности на базе ИИ) обучаться и развиваться «на лету» без необходимости постоянного программирования человеком. В системы загружаются большие объемы данных, чтобы научиться замечать закономерности, прогнозировать поведение и понимать отклонения. Машинное обучение можно разделить на три типа:

1. Обучение с учителем (Supervised Learning): система обучается с использованием размеченных данных. Это требует помощи человека и лучше всего подходит для того, чтобы алгоритмы понимали связь между входами и выходами.
2. Обучение без учителя (Unsupervised Learning): система обучается с использованием неразмеченных данных. Это не контролируется человеком и помогает выявить закономерности, которые еще не были обнаружены. Лучше всего подходит для обнаружения новых рисков.
3. Обучение с подкреплением (Reinforcement Learning): при этом типе обучения алгоритм обучается методом проб и ошибок, где он получает вознаграждение за правильные действия, в то время как за неправильные налагается штраф.

3. Преимущества использования ИИ для обнаружения киберугроз#

Ниже приведены четыре основных преимущества внедрения искусственного интеллекта для обнаружения киберугроз:

1. Повышенная точность выявления угроз с меньшим количеством ложных срабатываний. ИИ максимизирует продуктивность команд безопасности, мгновенно интегрируя множество источников данных для понимания контекста оповещения. Это уменьшает количество ненужных предупреждений и помогает сосредоточиться на реальных угрозах, которые могут нанести потенциальный ущерб организации. Например, ИИ может быстро отличить легитимную попытку входа в систему от подозрительной, проанализировав прошлое поведение пользователя и его местоположение.

2. Скорость и эффективность в обработке и анализе больших объемов данных. По сравнению с традиционным обнаружением угроз, когда аналитики тратили целую вечность на сбор и интерпретацию данных, ИИ производит революцию в кибербезопасности. Он может собирать данные о безопасности из различных источников, очищать и стандартизировать их, а также анализировать как количественные, так и качественные данные с невообразимой скоростью. Эта сверхчеловеческая эффективность предоставляет командам безопасности содержательную информацию о текущем состоянии системы без лишних хлопот.

3. Проактивное обнаружение угроз посредством предиктивной аналитики. Предиктивная аналитика — набор технологий, использующих текущие и исторические данные для прогнозирования будущих показателей — меняет правила игры в обнаружении киберугроз. Организации теперь могут оценивать, какие уязвимости с наибольшей вероятностью станут мишенью, выявлять новые вредоносные программы путем анализа существующих штаммов, а также точно обнаруживать аномалии, чтобы отмечать подозрительную или вредоносную активность.

4. Масштабируемость для адаптации к развивающимся киберугрозам. Системы обнаружения киберугроз, использующие модели машинного обучения, могут эффективно развиваться в процессе работы по мере того, как они противостоят большему числу угроз и получают больше данных для обучения. Этот динамичный подход позволяет системам автоматически совершенствовать свои возможности обнаружения и адаптироваться к изменяющемуся и более сложному ландшафту киберугроз.

4. Применение ИИ в обнаружении киберугроз#

Давайте разберем роль ИИ в обнаружении киберугроз на более практическом уровне:

4.1 Сетевая безопасность#

ИИ повышает сетевую безопасность в основном за счет выявления аномалий в сетевом трафике и создания микросегментов для уменьшения поверхности атаки, а также автоматизации мониторинга сети и инфраструктуры. Давайте рассмотрим это подробнее.

• Обнаружение аномалий: ИИ собирает данные о сетевом трафике, систем журналов и взаимодействиях пользователей, чтобы заложить базовый уровень типичной сетевой активности. Любые отклонения от этой нормы будут означать потенциальные угрозы и проблемы безопасности.

• Микросегментация сети: автоматические рекомендации на основе идентификации, группировка пользователей и безопасность с нулевым доверием (zero-trust) — это некоторые способы разбиения крупных сетей на управляемые сегменты и уменьшения общей поверхности атаки.
• Автоматизированный мониторинг и управление сетевой безопасностью: организации могут внедрять детекторы угроз на базе ИИ, которые автоматически контролируют сетевую безопасность в режиме реального времени, обнаруживают сбои, отслеживают несоблюдение требований и даже реагируют на определенные угрозы.

4.2 Безопасность конечных точек#

Рост числа моделей удаленной/гибридной работы и политик использования собственных устройств (BYOD) требует усиления безопасности конечных точек. Именно здесь антивирус следующего поколения (Next-Generation Antivirus, NGAV) предстает как действительно передовое решение для защиты конечных точек в сети. Сочетание ИИ, ML и поведенческой аналитики с другими инструментами безопасности конечных точек, такими как MacKeeper, помогает блокировать как существующие, так и новые угрозы на устройствах пользователей. Что наиболее важно, NGAV имеет облачную архитектуру, которая не только позволяет организациям развертывать его почти мгновенно и удаленно, но и предоставляет аналитику угроз в реальном времени. Для более глубокого ознакомления с одним из ведущих решений NGAV посмотрите обзор Bitdefender от Cybernews, чтобы узнать, как он обеспечивает надежную защиту конечных точек. Помимо NGAV, обнаружение и реагирование на конечных точках (Endpoint Detection and Response, EDR) также можно интегрировать с ИИ для отметки и устранения угроз на конечных точках сети с использованием центрального узла управления.

4.3 Обнаружение мошенничества#

Машинное обучение стало мощным инструментом для обнаружения и предотвращения мошенничества. Оно работает путем анализа больших объемов транзакционных и поведенческих данных в различных точках взаимодействия с клиентами — таких как шаблоны входа в систему, покупательское поведение и методы оплаты. Со временем модели ML узнают, как выглядит «нормальная» транзакция для данного пользователя или системы.
Как только эти закономерности установлены, модели могут быстро отмечать необычную активность — например, внезапные изменения местоположения, неожиданные всплески расходов или нерегулярные попытки входа в систему — как потенциально мошенническую. Одной из новых угроз в этой сфере является подмена голоса с помощью ИИ (voice spoofing), когда злоумышленники используют синтетические голоса, чтобы выдать себя за реальных людей. Для решения этой проблемы модели ML можно обучить с использованием различных образцов голоса для обнаружения поддельного звука. Такие инструменты, как бесплатный генератор голоса с ИИ, могут предоставить реалистичные примеры, которые помогут модели уловить тонкие различия между подлинными и синтетическими голосами. Этот дополнительный уровень голосовой верификации становится все более важным для защиты голосовых транзакций и проверок личности.

4.4 Поведенческая аналитика (BA)#

ИИ играет определяющую роль в поведенческой аналитике — будь то пользователь, сущность или система. На основе объекта анализа BA можно разделить на следующие три категории:

• Аналитика поведения пользователей и сущностей (UEBA): организации, использующие UEBA, могут отслеживать и анализировать поведение пользователя или сущности (устройства, приложения) для поиска вредоносной активности. Например, UEBA может помочь отличить необычный вход в систему от подозрительной попытки входа. Это особенно актуально во время разработки приложений, так как является важной частью безопасности.

Если вам интересно, что делает веб-разработчик в этом контексте — это включает в себя интеграцию инструментов поведенческой аналитики и обеспечение устойчивости приложения к угрозам, таким как перехват сеанса или несанкционированный доступ.

• Аналитика поведения в сети: анализируя сетевой трафик, ИИ может отмечать сетевые паттерны, отклоняющиеся от стандарта. Например, он может предупредить службы безопасности, когда кто-то пытается экспортировать неоправданно большой объем данных (скажем, изображений) получателю, неизвестному в сети.

• Аналитика поведения внутренних угроз (ITBA): она помогает организациям выявлять пользователей, которые могут злоупотреблять своими привилегиями, что указывает на потенциальные внутренние угрозы. В результате вы можете узнать, получает ли кто-то незаконный доступ к конфиденциальной информации, допускает ли утечку данных, устанавливает ли неизвестное программное обеспечение, удаляет ли критически важные системные файлы и т. д.

5. Проблемы и ограничения#

Однако аналитика киберугроз на базе ИИ имеет свои пределы. Ниже приведены четыре основные проблемы, связанные с использованием ИИ для обнаружения киберугроз:

5.1 Качество данных и предвзятость#

Математика проста: если модели ML обучаются на предвзятых данных для обнаружения киберугроз, система будет только усиливать это предубеждение в своей работе. Например, если система обучается на прошлых моделях сетевого трафика, когда 99 % пользователей работали в Windows, она непреднамеренно отметит попытку входа с устройства на базе Linux как потенциальную угрозу.

5.2 Состязательные атаки (Adversarial Attacks)#

Еще одной серьезной проблемой внедрения ИИ в обнаружение киберугроз является растущий объем состязательных атак. Злоумышленники используют эти атаки для нарушения входных данных, на которых обучаются алгоритмы ML, так что выходные данные (решения или прогнозы, сделанные ИИ) также становятся неверными.

5.3 Интерпретируемость#

Сложные алгоритмы машинного обучения, известные как проблема «черного ящика», страдают от недостатка прозрачности. Это означает, что невозможно понять, как модель приняла конкретное решение, что, в свою очередь, затрудняет исправление таких систем, когда они отклоняются от ожидаемого функционирования. В результате аналитикам может быть сложно понять и отреагировать на отмеченные угрозы, если причины их обнаружения неясны.

5.4 Этические проблемы и проблемы конфиденциальности#

Мониторинг и обнаружение киберугроз на базе ИИ включает сбор данных, который может невольно проложить путь к многочисленным этическим проблемам и проблемам конфиденциальности. К ним относятся чрезмерная слежка за людьми и их личной информацией, сбор большего количества данных, чем необходимо для анализа, и сбор данных пользователей без их согласия.

6. Заключение#

Благодаря таким решениям кибербезопасности, как предиктивная аналитика, поведенческая аналитика и обнаружение аномалий в реальном времени, искусственный интеллект продолжает переосмысливать аналитику киберугроз. Однако проактивная адаптация и инновации в системах кибербезопасности на базе ИИ необходимы, чтобы по-настоящему бороться с динамичным ландшафтом угроз. В то же время организации должны научиться балансировать технологические достижения с этической ответственностью, чтобы построить более безопасный цифровой мир.

Об авторе:
Пратик Арора — специалист по контент-маркетингу на thestartupinc.com, где он углубляется в темы B2B и SaaS, которые превращают посетителей веб-сайта в платящих клиентов. Увлеченный изучением инновационных маркетинговых стратегий, Пратик получает удовольствие от исследований и создания контента, который находит отклик у целевой аудитории. В свободное время он любит ездить по городу и общаться с друзьями, находя вдохновение в ярком городском пейзаже.

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →

Часто задаваемые вопросы#

Как ИИ снижает количество ложных срабатываний при обнаружении киберугроз?#

ИИ снижает количество ложных срабатываний, интегрируя множество источников данных для понимания контекста каждого оповещения. Например, он отличает легитимный вход в систему от подозрительного, анализируя прошлое поведение пользователя и его местоположение, концентрируя внимание службы безопасности на реальных угрозах, а не на шуме.

В чем разница между UEBA и ITBA в поведенческой аналитике на базе ИИ?#

Аналитика поведения пользователей и сущностей (UEBA) отслеживает как пользователей, так и устройства, например приложения, для обнаружения вредоносной активности, включая подозрительные попытки входа в систему. Аналитика поведения внутренних угроз (ITBA) специально выявляет пользователей, злоупотребляющих своими привилегиями, отмечая несанкционированный доступ к данным, утечку данных или установку неизвестного программного обеспечения.

Как состязательные атаки подрывают обнаружение киберугроз на базе ИИ?#

Состязательные атаки намеренно манипулируют входными данными, на которых обучаются алгоритмы машинного обучения, из-за чего прогнозы и решения модели становятся неверными. Злоумышленники используют это для ослепления систем обнаружения, заставляя вредоносную активность выглядеть легитимной и обходя средства безопасности на основе ИИ.

Чем антивирус следующего поколения лучше традиционного антивируса для безопасности конечных точек?#

Антивирус следующего поколения (NGAV) сочетает в себе ИИ, машинное обучение и поведенческую аналитику с облачной архитектурой, что обеспечивает практически мгновенное удаленное развертывание и аналитику угроз в реальном времени. В отличие от традиционного антивируса, NGAV блокирует как известные, так и новые угрозы на устройствах пользователей, что делает его особенно эффективным в условиях удаленной работы и BYOD.