Три ключевых приложения искусственного интеллекта для кибербезопасности Чак Брукс и доктор Фредерик Лемье.

Д-р Фредерик Лемье и Чак Брукс

Искусственный интеллект(ИИ), безусловно, является основной технологией, ведущей к интеллектуальной цифровой трансформации нашей 4-й промышленной эпохи. Компьютеры с ИИ предназначены для автоматизации деятельности, включающей распознавание речи, обучение, планирование и решение проблем. Эти технологии могут обеспечить более эффективное принятие решений путем определения приоритетов и действий на основе данных, особенно в больших сетях с большим количеством пользователей и переменных. ИИ является катализатором фундаментальных изменений во многих отраслях, таких как обслуживание клиентов, маркетинг, онлайн-банкинг, здравоохранение, бухгалтерский учет, общественная безопасность, розничная торговля, образование и общественный транспорт.

Искусственный интелект(ИИ) и кибербезопасность

Мы стоим на пороге новой эры интеллектуальных технологий, и кибербезопасность уже является испытательным полигоном. На индустрию кибербезопасности все большее влияние оказывает внедрение решений, поддерживаемых искусственным интеллектом. Согласно исследованию экспертов по кибербезопасности Darktrace, попытка кибератаки во время Олимпийских игр в Токио была предотвращена благодаря помощи искусственного интеллекта (ИИ). Фирма обнаружила попытку атаки за неделю до начала игр с помощью инструментов мониторинга искусственного интеллекта. ИИ нейтрализовал атаку, угрожавшую сорвать Олимпийские игры в Токио.

Основа интеллектуальных возможностей ИИ коренится в его подкомпоненте — машинном обучении(MО). ИИ в основном используется для защиты сетей, а также повышения безопасности данных и конечных точек, согласно данным 850 руководителей высшего звена ИТ-компаний, опрошенных в 2019 году (Statista 2021). Более того, ожидается, что рынок искусственного интеллекта в кибербезопасности будет расти со среднегодовым темпом роста 23,6% с 2020 по 2027 год и достигнет $46,3 млрд к 2027 году (Meticulous Research 2020). Этот прогнозируемый рост, вероятно, увеличится, если учесть все социальные изменения, которые были спровоцированы пандемией Ковид-19 — от толчка цифровой экономики до перемещения миллионов работников, которые теперь работают удаленно. Если добавить экспоненциальный рост числа подключенных устройств в Интернете ( серьезную нехватку квалифицированных сотрудников кибербезопасности и быстро растущую поверхность интернет-атак, то необходимость автоматизации и использования ИИ станет драйвером рынка на долгие годы.

Существуют, в частности, четыре конкретные области, в которых технология ИИ может внести свой вклад в повышение эффективности реагирования кибербезопасности на угрозы:

Концепция искусственного интеллекта, 3d рендеринг, концептуальное изображение.

1) Наблюдение за уязвимостью сети и обнаружение угроз

По словам генерального директора Cybersecurity Ventures Стива Моргана, к 2022 году площадь атаки на человека в интернет пространстве достигнет 6 миллиардов человек, а к 2021 году ежегодный ущерб от киберпреступлений достигнет 6 триллионов долларов. Это большая и дорогостоящая кибер-экосистема, которую необходимо контролировать, защищать и устранять. Нарушение данных и кибератаки имеют тяжелые последствия для компаний, поскольку потеря данных в результате нарушения или атаки-вымогательство может стоить миллионы долларов и привести к банкротству. В 2020 году организации в среднем требовалось двести дней, чтобы обнаружить утечку данных, и еще 80 дней, чтобы локализовать инцидент. Это слишком долго, чтобы успеть эффективно отреагировать и смягчить последствия серьезной утечки.

ИИ может обеспечить более быстрое обнаружение и идентификацию киберугроз. Компании, занимающиеся кибербезопасностью, разработали программное обеспечение и платформы на базе ИИ, которые в режиме реального времени отслеживают действия в сети, сканируют данные и файлы, чтобы распознать попытки несанкционированной связи, несанкционированные подключения, аномальное/вредоносное использование учетных данных, попытки входа в систему грубой силой, необычное перемещение данных и утечку данных. Это позволяет компаниям делать статистические выводы и защищаться от аномалий еще до того, как о них станет известно и они будут исправлены.

Инструменты поиска угроз с помощью ИИ могут охватывать облака, центры обработки данных, корпоративные сети и другие устройства . Инструменты ИИ позволяют автоматически обновлять и проверять на угрозы уровни системы защиты (сеть, сервер, полезная нагрузка, конечная точка, брандмауэры и антивирусы), а также проводить диагностику и криминалистический анализ для обеспечения кибербезопасности.

В более детальном смысле для аналитики ИИ улучшает средства сетевого наблюдения и обнаружения угроз, чтобы поддержать специалистов по кибербезопасности путем снижения уровня шума, обеспечения приоритетных предупреждений, использования контекстных данных, подкрепленных доказательствами, и автоматизированного анализа на основе индексов корреляции из отчетов разведки киберугроз. Такая описательная аналитика является ключевой для более точной диагностики инцидентов и успешного реагирования. В последнее время программы ИИ с глубоким обучением способны обнаруживать более продвинутые угрозы и не зависят от известных шаблонов атак. Вместо этого эти программы изучают сетевую активность и могут распознавать подозрительные действия, которые могут указывать на присутствие плохих игроков или вредоносного ПО.

2) Диагностика и реагирование на инциденты

В то время как описательная аналитика, предоставляемая инструментами сетевого наблюдения и обнаружения угроз, может ответить на вопрос «что произошло», аналитика диагностики инцидентов позволяет ответить на вопрос «почему и как это произошло». Чтобы ответить на эти вопросы, программные приложения и платформы на базе ИИ могут изучить прошлые наборы данных, чтобы найти первопричины инцидента путем анализа изменений и аномалий в сетевой деятельности. Если в ходе анализа инцидента обнаруживается уязвимость системы (а не злоумышленная эксплуатация), предиктивный анализ может дать представление о последствиях такого воздействия. После выявления причин инцидента предписывающая аналитика может быть использована для реагирования на инцидент на основе рекомендаций по локализации и окончательному устранению причин инцидента. Эти рекомендации могут охватывать широкий спектр приложений, начиная от принятия конкретных мер, изменения стратегии и заканчивая внедрением новых процедур или процессов. Эти рекомендации могут также включать необходимость сбора более качественных разведданных о киберугрозах, проходя полный круг — от разведданных к наблюдению и обнаружению, диагностике/реагированию и снова к разведданным (рис. 1).

Интегрированный подход к интеллектуальной кибербезопасности.

3) Отчеты о киберугрозах

Каждый день и без того недоукомплектованные специалисты по кибербезопасности регулярно сталкиваются с тысячами атак на свои системы, а вредоносное ПО продолжает расти в темпе, количестве и сложности. Эта киберреальность породила перегрузку информацией, которую сложно собирать, систематизировать и анализировать. Для поддержки аналитиков киберугроз и решения проблемы перегрузки информацией и текущими данными были внедрены решения на основе ИИ. Эти решения включают в себя инструменты сбора информации с открытым исходным кодом на основе ИИ, которые собирают данные о конкретных киберугрозах или уязвимостях в Интернете. Эта информация может быть собрана и обобщена или даже стать предметом отчета, полностью написанного программой ИИ с помощью обработки естественного языка. В современном мире различные коммерческие отрасли используют подобные инструменты ИИ для написания новостных статей, постов в социальных сетях, юридических сводок и банковских отчетов. Индустрия кибербезопасности также использует подобные инструменты для создания автоматизированных отчетов об анализе киберугроз (CTI). Отчеты об анализе киберугроз обеспечивают индикаторы и раннее предупреждение, необходимые для лучшего мониторинга необычной деятельности в данной сети и более быстрого обнаружения киберугроз.

Ограничения и угрозы искусственного интеллекта

Как и у каждой технологии, у приложений и угроз есть свои пределы. Решения по кибербезопасности на базе ИИ, безусловно, обеспечивают высокую степень точности и производительности, но некоторые уровни погрешности все же существуют, и технология ИИ может давать ложные положительные или ложные отрицательные результаты, когда приходит время обнаружить наличие угроз в сети.

Кроме того, ИИ может быть обоюдоострым мечом, поскольку им можно манипулировать в неблаговидных целях. Недавнее глобальное исследование показало, что более 40 процентов руководителей компаний испытывают «крайнюю» или «серьезную» обеспокоенность по поводу угроз ИИ, связанных с уязвимостью кибербезопасности. Эксперты по безопасности прогнозируют глобальную кибератаку, связанную с ИИ, до конца года.

Хакеры могут использовать ИИ в качестве инструмента, чтобы направить программу или приложение в ложном направлении и заставить их думать, что действия, связанные с угрозой, являются нормальными, хотя это не так. Хакеры делают это с помощью адверсивного машинного обучения — метода, используемого для эксплуатации четырех критических уязвимостей безопасности: (1) Атака отравления — введение отравленных данных в набор обучающих данных, чтобы нарушить процесс обучения ИИ. (2) Атака уклонения — создание данных, которые злонамеренно выглядят нормально для человека, но могут быть неправильно классифицированы ИИ (например, изменение пикселей на фотографии, чтобы кошка выглядела как собака). (3) Атака TrojAI — в отличие от более широкой атаки отравления данных, которая нарушает все с самого начала, TrojAI вставляет триггер (вредоносное ПО), который изменяет поведение программы только при определенных обстоятельствах (например, только когда в сети происходит определенная активность). (4) Атака с инверсией модели — хакеры могут восстановить обучающие данные, выяснив параметры модели, чтобы раскрыть конфиденциальную информацию и личность.

Хакеры также могут использовать ИИ для своей собственной деятельности. В отчете Forrester Research «Использование ИИ во зло: руководство о том, как киберпреступники будут использовать ИИ для атак на ваш бизнес» отмечается, что «уже есть примеры использования угрожающими субъектами и хакерами технологий ИИ для усиления своих атак и вредоносного ПО». Искусственный интеллект (ИИ) в кибербезопасности 2021 | Datamation

Государственные или криминальные структуры могут использовать искусственный интеллект для скрытия вредоносных программ в обычных загружаемых приложениях. После загрузки вредоносная программа запускается под воздействием одного или нескольких факторов через определенное время. Такие отложенные самоисполняющиеся атаки дают возможность собирать информацию о пользователях (процесс аутентификации / функции управления идентификацией). Вредоносный ИИ также может поддерживать интеллектуальное обучение вредоносного ПО на основе неудачных и успешных атак (Deep Exploit). После этого интеллектуальное вредоносное ПО может самораспространяться, обнаруживая и используя уязвимости системы, и адаптироваться к мерам по смягчению последствий, предпринимая попытки новых типов атак. Вредоносный ИИ также может запускать скрытые атаки, обучаясь на основе обслуживания системы и вписываясь в среду безопасности организации. Такие очень сложные атаки с использованием ИИ пока не распространены, но со временем их число, безусловно, возрастет. Однако преступники в сфере кибербезопасности уже автоматизируют свои собственные атаки. Они систематически обмениваются инструментами, доступными в «темной паутине», и теперь с помощью ИИ их атаки становятся быстрее, расчетливее и смертоноснее.

ИИ как инструмент обеспечения кибербезопасности имеет множество применений. Мы выделили три области, которые особенно актуальны для современной экосистемы киберугроз. Поскольку вычислительные возможности и цифровая сложность глобальных предприятий продолжают расти, инструменты на базе ИИ и средства автоматизации будут играть все более важную и неотъемлемую роль в обеспечении нашей кибербезопасности.

Оставьте комментарий