Киберзащитники рекрутируют нейросети

Логотип компании
Киберзащитники рекрутируют нейросети
Как искусственный интеллект изменит подходы к информационной безопасности

Искусственный интеллект может написать диплом, нарисовать картинку, разработать инвестиционную стратегию - и вместе с тем подсказать, как правильно обойти киберзащиту, какой эксплойт использовать в каждом конкретном случае и какие фишинговые письма разослать. Киберпреступники в числе первых поставили себе на службу «цифрового джинна». Защищающая же сторона пока делает в этом направлении первые шаги. И, как ни странно, во многом повторяет опыт “плохих парней”.

Но чем дальше, тем больше будет различий в практике применения ИИ в качестве орудия нападения и средства защиты. Причем если ИИ уже в значительной степени повлиял на рисунок кибератак, то для сил киберобороны решающая трансформация еще впереди. Как нейросети могут повлиять на задачи информационной безопасности, ее бизнес-процессы и на качественный состав ИБ-специалистов читайте в этой статье.

Хождение в народ

2023-й год, вероятно, войдет в историю как момент каскадирования технологии нейросетей из элитарного сегмента в массовый. Вместо анализа массива данных о квазаре за миллионы световых лет от Земли — написанный искусственным интеллектом диплом для обычного студента. Вместо поиска формулы препарата для борьбы с тяжелой болезнью — инвестиционная стратегия для трейдера. Вместо моделирования сложных социальных процессов — конкретные рекомендации по улучшению программного кода. Всё для людей. Как такие технологии могут не нравиться?

Многочисленные истории прикладного применения шлейфом тянутся за ChatGPT версии 3.5. Счастливчики, которые по индивидуальным приглашениям поработали с четвертым поколением нейронки, утверждают: перспективная версия обладает заметно более широкими возможностями по сравнению с релизом 3.5. А пятая версия, которую обещают в конце 2023 года, предстанет перед нами в рамках принципиально новой сущности. Ее принято побаиваться.

ИБ по-новому

Одними из первых, кто поставил нейросети себе на службу, стали киберпреступники. Их многочисленные кейсы подробно изучены. А как будут применять возможности нейросетей защитники цифровых рубежей? На наш взгляд, сам факт использования искусственного интеллекта драматически изменит технологический уклад ИБ как функции, существенно повлияет на процессы противодействия кибератакам, затронет вопрос численность ИБ-команд и аспект компетенций. Трансформация пойдет не самым очевидным образом. И случится она максимум в горизонте 3-4 лет — чертовски быстро. Пристегните ремни.

Технологии

Самое простое — интегрировать преимущества нейронок в технологию киберзащиты. Как специалисты в сфере кибербезопасности могут применять (и уже используют) нейросети «в моменте»?

Противодействие фишингу. Достаточно показать искусственному интеллекту любое письмо и задать прямой вопрос с возможной формулировкой «Этот текст написан нейросетью?» На него искусственный интеллект отвечает четко и практически без ошибок — мы проверяли. Это дает повод повнимательнее присмотреться к письмам, проверить ссылки и вообще изучить механику вредоносных писем. Применить AI для решения подобной задачи можно вообще без подготовки, написания кода или какой-либо интеграции. Достаточно иметь аккаунт в ChatGPT.

Расширение функциональности DLP за счет выявления эпизодов стеганографии, когда запрещенное к «выносу» за пределы ИБ-периметра содержимое маскируется внутри легитимных файлов. Учитывая, что стеганография - одна из самых популярных уловок в арсенале внутренних злоумышленников, точное определение подобных случаев сразу существенно повысит эффективность DLP-систем как класса решений.

Новый подход к SIEM и правилам корреляции, особенно если на стороне защиты используется самописная система, либо решение классом пониже (скажем, лог-менеджер), где применен свой язык разметки и/или отсутствует нормализация данных. Здесь нейросеть сработает идеально. Она быстро научится с этими данными работать безо всякой нормализации и сможет справляться с анализом событий не хуже, чем более совершенные решения.

Вне зависимости от технологического совершенства той или иной SIEM, искусственному интеллекту можно будет доверить самостоятельное составление правил корреляции. Причем, в отличие от актуальных технологий machine learning, нейронка будет учиться не только и не столько на исторических данных, а моделировать ИБ-события сама - подобно тому, как ребенок учится собирать из кубиков конструкции разной конфигурации. Появятся правила корреляции, которые будут эффективны для атак, которые пока не состоялись. Тем самым SIEM смогут стать частью проактивной киберзащиты.

Прямо сейчас самообучающующуюся SIEM получить затруднительно. Однако как только вендорам позволят встраивать нейронки в свои решения, эта фича станет практически обязательной. Без нее SIEM вряд ли будет кому-то нужна.

Торжество эвристического анализа в антивирусах, SOAR, IPS/IDS. С интеграцией нейросетей в СЗИ эвристика окончательно победит сигнатуры в плане выявления угроз. Скорость обучения возрастет в разы. Соответственно, вырастет точность определения атак и усовершенствуются процедуры противодействия им. Многообещающим выглядит механизм противодействия автоматизированным атакам, когда искусственный интеллект анализирует атакующие скрипты. Слишком правильный код - сигнал к тому, что скрипт написан машиной.

Процессы

Как раз здесь нейросети сулят отделу ИБ максимальный качественный рост и наиболее многообещающие перспективы.

Минимальный зазор между регуляторными новеллами и актуальным состоянием ИБ. Чем сильнее будет зарегулирована отрасль кибербезопасности, тем лучше для компаний, взявших нейросети на вооружение. Нейронки смогут не только давать конкретные рекомендации по изменению набора СЗИ и процессов, но и готовить отчетную и внутреннюю документацию, причем делать это буквально в день выхода очередного обязательного к исполнению документа.

Аудит ИБ. Мы в компании считаем этот сервис своей киллер-фичей, поэтому с особым пристрастием испытали компетенции искусственного интеллекта, предложив ему проанализировать совокупность бизнес-процессов и модель угроз. И к своему удивлению получили весьма дельные рекомендации, которых будет достаточно для первого шага в направлении обеспечения киберустойчивости любой компании. Другое дело, что модель угроз и описание бизнес-процессов должны быть кем-то составлены. Но если у вас работают профи, которые потянут подготовку и одного, и второго, — нейронка подготовит вам своеобразный starter pack, который можно будет раскатывать на компанию.

Читайте также
Правила формирования промптов немного отличаются от одной нейросети к другой, в том числе в зависимости от их специализации, например на определенных типах контента, однако имеют множество общих черт. О них и поговорим сегодня, приблизившись на пару шагов к идеальному промпту

Расследование инцидентов. Здесь раскроется вся мощь ИИ. Скорость обработки данных позволит определять вектор атаки, оценивать ущерб, выбирать способ локализации и называть виновного практически в режиме реального времени.

Подготовка обучающих курсов. Функция, которая до недавнего времени почти наверняка предусматривала наличие отдельного специалиста, скорее всего, тоже будет отдана в ведение нейросетей. ИИ по работе с текстами подготовит методические рекомендации для сотрудников, а графические нейронки нарисуют иллюстрации, схемы, диаграммы, и даже составят по сценарию визуализацию тех или иных процессов, а то и вовсе создадут готовые анимационные фильмы быстрее и дешевле, чем это было раньше.

Заключение

Итак, сколько времени потребуется, чтобы построить прекрасный кибербез будущего? Я бы отвел процессу фундаментальной трансформации к целевому состоянию от двух до четырех лет. Буквально на годик-другой от флагмана рынка OpenAI отстанут индусы и китайцы, решениями которых, судя по всему, предстоит пользоваться российским компаниям. В Поднебесной, скажем, компартия возвела развитие ИИ в ранг национального проекта. Поэтому даже с учетом этой “поправкой на ветер” нас ждет принципиально иной ИБ-ландшафт максимум через четыре года.

Кого возьмут в это светлое будущее? Этим вопросом задаются CISO и обычные менеджеры корпоративных департаментов кибербезопасности. Очевидно, личный состав ИБ-команд будет пересобран. Я бы сказал, что автоматизация, которую обеспечивают нейросети, сократит потребность в рабочих руках примерно на 20-25%. Так что потребность страны в кибербезопасниках в горизонте 4-5 лет может быть существенно ниже, чем это представляется сейчас.

Способствует ли грядущий тренд падению уровня ИБ-специалистов? Скорее нет. Нейросети — это один из инструментов для обеспечения работы функции кибербезопасности. Начало их эксплуатации можно приравнять к распространению высокоуровневых языков программирования, на которые знатоки ассемблера в свое время смотрели свысока: “Это не настоящее программирование!”. Однако индустрия разработки быстро расставила все по своим местам. Да и в отношении нейросетей далеко не всё сводится к правильному написанию так называемых промптов — запросов искусственному интеллекту. В конце концов, результат “умственного труда” нейронки еще надо уметь контролировать. А в этом деле без компетенций никуда.

Опубликовано 02.05.2023

Похожие статьи