Николай Домуховский, УЦСБ: Мы давно живем в мире «сети без границ»

Какие технологии ИИ способны стать драйверами развития решений в сфере информационной безопасности?

Любая новая технология — повод рассмотреть возможность ее применения для различных задач. Другое дело, что сфера ИБ остается достаточно консервативной и новые технологии в привычные решения проникают крайне медленно. Сейчас в арсенале ИИ есть достаточно методов, которые легко внедряются и приносят ощутимую пользу в смежных сферах — скорее всего, постепенно они будут проникать и в сферу ИБ.

Например, в задачах контроля утечек информации сегодня можно использовать всю мощь нейронных сетей для классификации информации, современные алгоритмы распознавания текста для анализа всевозможных видов графических файлов (в том числе, где текст присутствует в рукописном виде).

Классические задачи управления доступом (которые довольно сложно решать в крупной организации) могут использовать механизмы Process mining, а также методы кластеризации данных, чтобы выявить сложившиеся в организации бизнес-роли и соответствующие им наборы прав.

Методы выявления аномалий и предиктивной аналитики позволяют находить поведенческие отклонения пользователей и иных сущностей (собственно, это направление активно развивается сегодня).

Обучение с подкреплением и автономные агенты сейчас активно применяется для разработки решений класса BAS, но в скором времени такие агенты начнут заменять и операторов первой линии SOC.

Еще одно направление, которое развивается параллельно с языковыми моделями — онтологии — позволит создать алгоритмы, обладающие пониманием того, что есть ИБ, как устроен объект защиты, какие действия в нем являются нормальными, а какие следует рассматривать как инцидент ИБ и пр.

Станет ли генеративный ИИ заменителем CISO?

Генеративный ИИ — это очень развитый вариант «китайской комнаты». Нельзя ждать от такого ИИ принятия решений в условиях неопределенности, переноса знания из одной предметной области в другую, анализа рисков (явного или неявного) — т.е. все те действия, что любой руководитель выполняет ежедневно генеративному ИИ не под силу. 

Можно пытаться поручать генеративным ИИ более простые задачи — например, разработку организационно-распорядительной документации. Современные большие языковые модели могут очень хорошо формировать достаточно сложные тексты, однако тут возникает желание, чтобы такой ИИ знал специфику конкретной организации, чтобы ОРД были ценнее шаблона, скачанного из интернета — с этим пока еще проблема. Никто не готов предложить большую языковую модель, которая сможет самостоятельно изучить особенности конкретной организации и превратиться в персонального помощника.

Оправдана ли парадигма «сделать недопустимые события невозможными» и есть ли у крупного бизнеса допустимые события в сфере ИБ?

От парадигмы создания принципиально неуязвимых систем отошли уже давно — это утопия. А значит какие-то неблагоприятные события будут происходить и дальше, вопрос уже не только (и не столько) в области ответственности ИБ — сам бизнес должен быть устойчив. Уже много лет крупные предприятия реализуют подходы, обеспечивающие, так называемую, непрерывность бизнеса — это как раз о том, чтобы неприятное событие не привело к недопустимым последствиям. Одна из крупных отечественных компаний в сфере ИБ в свое время пережила крупный пожар в своем офисе — было потеряно, казалось бы, вообще все. Но в компании были реализованы меры, которые позволили даже в таких условиях продолжить работу, восстановить все утраченное, а потом еще и предлагать другим компаниям услугу по обеспечению такой непрерывности бизнеса.

Могли ли они сделать что-то, что исключило бы саму возможность пожара в офисе? Сомнительно — это невозможно.

Могли ли они сделать что-то, что позволило бы продолжить работу после пожара и со временем все восстановить? Могли и сделали — и это правильный метод работы с тем, что сейчас называют «недопустимыми событиями».

Важно ли понять, куда направится злоумышленник, если он уже находится внутри системы («за забором»), и как это сделать безошибочно?

Важно понять, что у современных систем нет забора. Мы давно уже живем в мире «сети без границ». Сотрудники предприятия могут использовать любые устройства для доступа, часть сервисов и данных организации может храниться в публичных облаках. Рабочие места давно уже расположены не в офисах, а везде, где сотрудник имеет подключение к сети Интернет. Из этого следует, что действия злоумышленника реально заметить только когда он уже достиг ресурсов компании — так как невозможно обнести «забором» современную ИТ-инфраструктуру предприятия.      

Но, как мы знаем, первичный доступ — это лишь начало цепочки атаки, дальше будет еще много фаз, прежде чем злоумышленник нанесет ущерб предприятию. И именно в это время злоумышленника нужно обнаружить и нейтрализовать. А вот тут уже важно понимать и текущую стадию атаки, и потенциальные вектора ее развития — ответ должен быть максимально точечным, чтобы не парализовать работу системы. 

Чтобы обнаруживать и предсказывать действий нарушителя, нужно иметь специализированные решения, способные правдоподобно моделировать действия злоумышленника для конкретной защищаемой системы. Конкретной — это значит, что решение должно иметь информацию о составе программных и аппаратных средств системы, о ее архитектуре, об используемых средствах защиты информации и их ключевых параметрах, о привилегиях учетных записей и пр. Сегодня таких систем еще очень мало — многие сильно упрощают задачу, что снижает точность обнаружения действий нарушителя, но подобные системы активно развиваются и в ближайшие годы на рынке их станет появляться все больше.

Позволяют ли ложные цели («приманки») в инфраструктуре повысить выявляемость инцидентов информационной безопасности?

Все зависит от того, насколько эта приманка похожа на реальную цель. Если речь идет о нецелевой атаке, которая реализуется зачастую автоматическими сценариями, то обнаружить ее несложно и безо всяких хитрых приманок.

А если речь идет о направленной атаке, проводимой квалифицированным злоумышленником, то сымитировать реальные объекты системы будет очень сложно — скорее всего, злоумышленник распознает приманки и не попадется в их сети.

Поможет ли автоматизированное обнаружение и реагирование на угрозы преодолеть кадровый голод на рынке ИБ?

Безусловно. Другого выхода попросту нет — потребность в специалистах растет значительно быстрее, чем образовательная сфера успевает готовить таких специалистов. И это при том, что число выпускников также растет ежегодно. Проблема в том, что темпы цифровизации очень высоки, сложность систем растет и потребность в ИТ и ИБ-персонале начинает расти не линейно, а уже ближе к экспоненте. При такой кривой роста потребности в кадрах ИТ не сможет развиваться, поэтому будет развиваться автоматизация (и даже автономизация) процессов, связанных с обслуживанием ИТ или обеспечением ИБ. Подобные случаи уже неоднократно были в других сферах, один из близких примеров — телефонная связь. Если бы не появились автоматические коммутаторы для телефонных станций, то примерно к 80-м годам прошлого века потребность в телефонистах была бы столь огромной, что это попросту остановило бы телефонизацию во всем мире.