![](https://habrastorage.org/getpro/habr/upload_files/41b/4a4/e37/41b4a4e37e31b559f49edec3ec1ef808.jpg)
Количество киберпреступлений постоянно и довольно быстро увеличивается. Так, за прошлый год потери российской экономики от деятельности хакеров составили около 6 трлн рублей. По словам экспертов, злоумышленники часто находятся не на один, а сразу несколько шагов впереди специалистов по информационной безопасности и правоохранителей.
По статистике МВД, каждое четвертое преступление совершается сейчас с использованием IT-технологий. За пять лет число киберпреступлений в России увеличилось в 12,5 раза. За семь лет - так и вообще в 20 раз. Делать с этим, конечно, что-то нужно, так что сфера информационной безопасности тоже развивается. Сейчас приходит на помощь искусственный интеллект - есть несколько важных направлений развития симбиоза "ИИ+ИБ". Давайте сегодня об этом и поговорим.
Важных трендов не так много, но их можно назвать критически важными для всей отрасли.
Обнаружение киберугроз
Машинное обучение (ML) дает возможность обнаруживать киберугрозы в режиме реального времени на основе анализа поступающих из разных источников данных. Алгоритмы машинного обучения постоянно адаптируются и обновляются, чтобы выявлять угрозы для вашей системы до того, как злоумышленники смогут выявить уязвимости в защите сети компании и реализовать угрозы. Алгоритмы "понимают" все нюансы инфраструктуры и сети организации, а также возможные сценарии атак.
![](https://habrastorage.org/getpro/habr/upload_files/1f0/fb1/8c4/1f0fb18c41c20748ed3be5e29fc34228.jpg)
Благодаря обучению, анализу данных и пониманию моделей поведения алгоритмы могут обнаруживать аномалии в системе и предотвращать их до того, как будет совершена полноценная атака.
ИИ служит вспомогательным, но весьма надежным инструментом для специалиста по кибербезопасности. С течением времени направление обнаружения киберугроз постепенно развивается, поскольку, как и говорилось выше, киберпреступники тоже не сидят на месте.
Анализ сетевой безопасности
Во многих случаях сетевая безопасность базируется на двух основных аспектах:
Разработка политики безопасности. Она дает возможость выявлять легальные и не очень сетевые подключения. Если компания не особо большая, то проблем с анализом данных немного. Но вот для средних и крупных компаний все усложняется, ведь создавать, управлять и поддерживать политику безопасности для огромной инфраструктуры сложно. Поэтому ИИ становится надежным и эффективным инструментом решения таких проблем. Он помогает предприятиям отслеживать и применять правила и нормативы, а также контролировать соответствие сложных сетей установленным нормам. В случае ИИ все это происходит гораздо эффективнее, чем в случае "ручного" труда, т.е. задействования специалистов без ИИ-инструментов.
Анализ сетевой среды. У большого количества компаний нет достаточно четкой системы мониторинга разных рабочих нагрузок. ИБ-отделу, соответственно, приходится тратить много времени и энергии на определение того, какая группа рабочих нагрузок каким приложениям принадлежит. ИИ способен оптимизировать выполнение этой задачи, здесь машина справляется лучше человека.
Поведенческий анализ
![](https://habrastorage.org/getpro/habr/upload_files/cca/94e/474/cca94e474700ae9772bb62b874e47cdf.png)
Речь идет о мониторинге действий пользователей в режиме реального времени. При обнаружении аномалий система срабатывает, задействуя один из сценариев защиты. Любая аномалия помечается, как подозрительная, так что угрозу с высокой степенью вероятности выявляют.
Алгоритмы работают с самой разной информацией, включая, рабочие часы сотрудников (если кто-то заходит из непривычного места, действие помечается как подозрительное), географическое местоположение, используемое для входа в сеть, идентификаторы устройств, шаблоны ввода и т. д.
Для того, чтобы алгоритмы действовали эффективно, команде по информационной безопасности необходимо загружать в систему эталонные данные, по которым и проводится сверка.
Безопасность облачной инфраструктуры
И здесь ИИ приходит на помощь. Дело в том, что кибербезопасность сложнее обеспечивать по мере перехода компаний в "облако". Решения, предназначенные для локальных сетей, не особо хорошо справляются с этой задачей.
А вот гибридные решения с использованием ИИ, которые дают возможность отслеживать и анализировать данные в самых разных средах, работают весьма эффективно. Все больше организаций применяют специализированный подход, когда корпоративные данные извлекаются из разных архитектур, компилируются и анализируются программной платформой. Гибридные системы способны без устали вести мониторинг происходящего.
Обнаружение фрода
Многие пользователи банковских услуг сталкивались с неудобствами при попытке банка защитить средства клиента. Блокируются счета, пользователи не могут использовать приложение банка, находясь за границей - подобных случаев много. Все потому, что некоторые организации используют достаточно жесткий алгоритм распознавания подозрительных операций. Чуть что не так - и все блокируется.
ИИ действует более гибко. Ложных срабатываний при интеграции решений искусственного интеллекта становится гораздо меньше. Более того, ИИ оперативно обнаруживает источник проблемы, так что правоохранители вовремя получают необходимые данные.
![](https://habrastorage.org/getpro/habr/upload_files/5d9/369/a1c/5d9369a1c59b84018d3d22acf42b5b3d.jpg)
Без дополнительных, комплексных решений бизнесу крайне сложно противодействовать слаженным действиям злоумышленников. По прогнозам специалистов, в 2022 году киберепреступники начнут формировать новые группы, которые станут представлять собой еще более значительную угрозу, чем "инфраструктура" злоумышленников, действующая сейчас.
ИИ-технологии продолжат развиваться в русле информационной безопасности. В конечном итоге искусственный интеллект может произвести настоящую революцию в мире кибербезопасности - после того, как количественные изменения перейдут в качественные.
Комментарии (3)
r0crew
15.01.2022 20:25Это хорошо, что у нас есть «киберкопы», плохо что законодательной базы толковой нету :). Хотя когда она была нормальной в нашей стране…
Shaman_RSHU
Можете привести хотя бы по одному работающему продукту из каждой категории?
pentestit-team
Используем ML в Nemesida WAF для выявления атак - по сравнению с сигнатурным анализом снизили до 0.01% ложные срабатывания, повысили до 99.99% точность выявления. Технические подробности можно почитать здесь:
Я твой WAF payload шатал (https://habr.com/ru/company/pentestit/blog/540188/)
Машинное обучение vs сигнатурный анализ при обнаружении атак на веб-приложение (https://habr.com/ru/company/pentestit/blog/427577/)
Принцип применения ML для анализа HTTP-запросов (https://waf.pentestit.ru/about/4578)