Приоритизировать киберугрозы поможет искусственный интеллект

1 февраля 2021 года

В условиях нехватки экспертов в области информационной безопасности наилучшим решением является обучение практикующих специалистов на реальных сценариях атак. Эффективнее реагировать на инциденты ИБ-командам в частности могут помочь технологии искусственного интеллекта (ИИ) для приоритизации реальных угроз.

Использование ИИ в сфере информационной безопасности во многом похоже на медицину, считает старший технический директор компании IBM Срини Туммалапента (Srini Tummalapenta). В медицине процесс изучения и диагностики пациента хорошо структурирован, но отличается в зависимости от области медицины. Подобно врачам, досконально знающим симптомы и признаки большинства заболеваний, ИБ-эксперты хорошо осведомлены о механизмах осуществления кибератак. Однако в отличие от врачей, у которых в большинстве случаев есть достаточно времени на установление очередности оказания медицинской помощи пациентам, ИБ-эксперты «тонут» в больших массивах данных, мешающих приоритизировать угрозы.

В связи с этим специалисты в области искусственного интеллекта ищут новые способы использования технологий ИИ и инструментов машинного обучения для построения моделей, способных эффективно приоритизировать угрозы. Как отметил Туммалапента, на сегодняшний день в поведенческом анализе угроз с помощью ИИ существует огромный пробел.

Одним из основных препятствий для ИИ при выявлении угроз является объем и типы обучающих данных. Для получения хороших результатов системам глубокого обучения требуется большой объем данных. В случае приоритизации угроз для принятия разумных решений системы глубокого обучения должны направляться людьми. Дело в том, что многие из этих решений по своей природе все еще являются суждениями. Многие принимаемые в процессе приоритизации угроз решения определяются контекстом и историей, поэтому обучать ИИ должны люди, объяснив, как принимать эти решения.

Как научить ИИ приоритизировать угрозы

Системы моделирования кибератак могут помочь создать больше обучающих данных для обеспечения эффективной работы ИИ. Для этого нужно:

Настроить тестовую производственную среду с оборудованием, программным обеспечением и сетевыми активами, а также средствами контроля безопасности;

Поставить в очередь большой объем проверенных реальных сценариев атак для противостояния им;

Предоставить людям индикаторы компрометации или содержимое системных оповещений об угрозах;

Рассортировать индикаторы компрометации и системные оповещения по категориям: безопасные, потенциально вредоносные и подтвержденные вредоносные.

Такая система позволит ускорить обучение без необходимости получать оповещения в реальном времени. Создавая больший объем помеченных людьми предупреждений, можно предоставлять ИИ данные в 10-20 раз быстрее, чем при использовании органических данных. Что не менее важно, кибератаки, как правило, происходят одинаково. Например, в настоящее время очень много атак с применением вымогательского ПО. В прошлом было больше взломов баз данных или попыток взлома цепочки поставок. Получаемые в реальном времени данные не отображают всей картины. Таким образом, использование реальных атак для обучения моделей ИИ поможет охватить более широкий спектр типов атак.