Сегодня многие ИБ-компании приходят к идее использования ИИ в работе. Для этого есть много предпосылок. Как минимум, существует море рутинных задач, которые хочется автоматизировать или ускорить. Да и будем откровенны: человеческий фактор не всегда безопасен, так еще и ресурса человека далеко не всегда хватает. ИИ, в свою очередь, готов пахать сутками напролет – лишь бы был источник сети. К тому же, накоплен исторический объем данных, требующий расширенного и подробного анализа.
Большинство современных решений кибербезопасности накапливают огромные объемы информации: логи, скриншоты, видеозаписи. Эти данные можно и нужно анализировать. Использование типовых методик Machine Learning (машинного обучения) зачастую требует существенных предобработок данных, к примеру, приведения к табличному виду. Тут и вступают в игру большие языковые модели (LLM – Large Language Model). Они позволяют упростить, а порой и полностью избежать данного «подготовительного» этапа, потому что могут сразу передавать сырые данные на вход. В зависимости от заданного человеком промпта, результаты используются самыми различными способами: можно выявлять аномалии в данных, обнаружить вторжения (IDS/IPS), запустить антифрод-системы, средства мониторинга активности пользователей и анализ сетевого трафика.
Все это позволяет принимать более точные и быстрые решения на основании больших массивов данных, которые человеку сложно переработать, а еще –снижать ошибки, связанные с человеческим фактором, повышать производительность и быстро находить подозрительную активность. Безусловно, таким щедрым арсеналом мы обязаны развитию технологий в целом, а именно:
- Рост вычислительных мощностей
Более доступные GPU, специализированные чипы (TPU), облачные решения для обучения моделей.
- Прогресс в алгоритмах машинного обучения
Глубокие нейронные сети (Deep Learning), новые архитектуры (CNN, RNN, Transformers), упрощение процесса обучения (AutoML и пр.).
- Big Data
Увеличение объёмов данных из разных источников (сети, сенсоры, логи и т.д.).
- Широкая экосистема открытого ПО
Фреймворки по типу TensorFlow, PyTorch, Scikit-learn способны существенно ускорять разработку и внедрение.
Причем, технологии продолжают развиваться в сторону более автономных систем, способных обучаться на месте (Edge AI), а также систем с «пониманием контекста» (Generative AI), чтобы глубже анализировать ситуацию.
Мы в «АйТи Бастион» тоже пришли к использованию ИИ. Особенно хорошо он «встает» в PAM-платформу (Privileged Access Management) СКДПУ НТ, созданную для контроля привилегированных пользователей, и вот почему:
- Анализ поведенческих паттернов
С помощью ИИ PAM может отслеживать активность пользователей, сервисов, системных процессов и строить «поведенческий профиль» (baseline). Это позволяет выявлять аномалии, выбивающиеся из типичного поведения пользователя. Например, если сотрудник обычно работает с ограниченным набором систем и файлов, но внезапно запрашивает доступ к чувствительным данным за пределами своей зоны ответственности, система поднимает флаг.
- Обнаружение и блокировка угроз в реальном времени
Система может использовать машинное обучение для анализа сетевого трафика, журналов событий, файловых операций. При обнаружении подозрительных паттернов автоматически генерируются «алерты» и запускаются механизмы сдерживания (блокировка, карантин и т.п.).
- Корреляция данных из разных источников
Логи из систем авторизации, сетевой трафик, файлы конфигураций, действия пользователей — все это сводится и обрабатывается ИИ, чтобы находить связи и сигнализировать о потенциальных атаках, которые незаметны при рассмотрении одного источника.
- Прогнозирование и рекомендации
ИИ может рекомендовать, какие политики безопасности нужно ужесточить, где возможны уязвимости. Это нужно для того, чтоб заранее предотвратить ущерб.
Это позволяет отслеживать аномалии в реальном времени. К примеру, сотрудник компании N неожиданно начинает массово скачивать конфиденциальные файлы среди ночи или подключается к нетипичным ресурсам. ИИ быстро выявит это и зафиксирует. Конкретных применений можно придумать много, начиная от прозаичного анализа логов и заканчивая обнаружением 0-Day уязвимостей.
Однако всеми преимуществами ИИ пользуются не только хорошие ребята. Благодаря огромной базе открытого ПО, фреймворкам или, к примеру, проектам по типу DeepSeek — когда код самой прогрессивной на текущий момент нейросети самими авторами выкладывается в публичный доступ — у злоумышленников появляется огромный спектр возможностей испортить жизнь бизнесу с помощью ИИ. Здесь, как и в любой сфере жизни: «Предупрежден – значит, вооружен». Вот, что могут «предложить» силы зла:
- Автоматизированные атаки
Написание зловредного ПО, которое само модифицирует свой код, избегая сигнатур, а еще атаки Brute Force и DDoS с самоадаптирующимся поведением.
- Deepfake и социальная инженерия
Генерация голосовых записей, видео и писем, мимикрирующих под реальных людей (руководителей, партнеров по бизнесу) с целью выманить важные данные или деньги.
- Поиск уязвимостей в режиме «брейншторма»
Злоумышленники обучают модели, чтобы автоматически анализировать открытые репозитории, патчи, исходный код и искать потенциальные бреши.
- Атаки на модели ИИ
Отравление обучающих выборок (data poisoning), подмена данных, эмулирование ложных сигналов. Если ИИ работает на стороне защиты, злоумышленники могут целенаправленно дезориентировать модель, чтобы облегчить вторжение.
Но с этим бороться без человека уже, к сожалению, не выйдет. Причем такого человека, который в курсе актуальных киберугроз. Особенно это актуально для крупного бизнеса. Как бы мы не ругали человеческий фактор, современным решениям мало одного лишь ИИ: необходимо комбинировать его с традиционными методами защиты. Помогут классические методики (сегментация сети, контроль прав доступа, патч-менеджмент, шифрование и далее по списку). Необходимо защищать не только сеть, но и обучающие и тестовые датасеты, чтоб ИИ-модели не были скомпрометированы, а также встраивать механизмы верификации (explainability), чтоб уметь выявлять причины реагирования системы определенным образом – это поможет вовремя заметить несоответствия и возможные «инъекции».
ИИ действительно берет на себя массу рутинных задач. Администратору или аналитику не нужно часами «сидеть в логах» — достаточно смотреть на отчеты и тревоги, которые формирует ИИ. Вместо того, чтобы вручную сопоставлять инциденты, искусственный интеллект дает готовые связки событий и рисков. Но полностью заменить человека, по крайней мере в обозримой перспективе, технология не сможет. Эксперты в области ИБ должны принимать финальные решения, разрабатывать комплексные стратегии защиты, которые не сводятся только к детекции аномалий. Текущая тенденция такова, что количество гибридных систем, где ИИ автоматизирует львиную долю анализа, растет и будет продолжать расти, но более сложными и тонкими вопросами по-прежнему будут заниматься специалисты, что называется, с человеческим лицом.
Людям пока остается ключевая роль в принятии решений и стратегическом планировании. Специалисты по кибербезопасности определяют, какие именно данные собирать, как обучать нейросети и как интерпретировать их результаты. В сущности, успех киберзащиты зависит именно от такого комплексного подхода. По итогу, робот, конечно, может защитить инфраструктуру, но с целым списком оговорок. Пока что.
Реклама.18+.Рекламодатель ООО «АйТи Бастион». ИНН 7717789462,ОГРН 1147746810056
