ИИ для обеспечения информационной безопасности в бизнесе
В современном мире информация стала одним из самых ценных ресурсов, поэтому обеспечение ее безопасности – приоритетная задача для бизнеса. Стремительное развитие технологий и увеличение объемов данных требуют применения инновационных решений для защиты от киберугроз.
Искусственный интеллект открывает новые горизонты в сфере информационной безопасности, обеспечивая возможность быстрого анализа данных, выявления аномалий и автоматизации процессов. В статье системного интегратора по информационной безопасности «Бастион» рассмотрим, как ИИ трансформирует подходы к защите информации в бизнесе и в чем основные преимущества его использования.
Основные преимущества использования ИИ для обеспечения информационной безопасности в бизнесе
ИИ – широкое понятие, включающее различные технологии машинного обучения. Это не только нашумевшие языковые модели, но и компьютерное зрение, рекомендательные системы, разнообразные аналитические алгоритмы.
Нейронные сети используются для обнаружения фишинговых писем, анализа аномалий в действиях пользователей (например, пользователей баз данных) и предварительного анализа событий безопасности. Даже такое узкое применение делает DAM, DBF, SIEM-системы значительно эффективнее.
Основные преимущества применения подобных алгоритмов:
- быстрое обнаружение угроз;
- анализ больших объемов данных;
- автоматизация рутинных задач.
Сочетание человеческого опыта и возможностей ИИ дает наилучшие результаты. Например, в шахматах сильнейшим игроком становится человек в паре с ИИ. Здесь объединяются стратегическое видение человека и тактические возможности машины. Подобное происходит и в ИБ.
Какие типы угроз помогает обнаружить и предотвратить ИИ
Фишинг и поиск потенциально опасных аномалий – достаточно популярные применения. Кроме того, инструменты на базе искусственного интеллекта могут быть полезны для анализа кода программ на уязвимости, а также частичной автоматизации пентестов. Существуют исследовательские команды, которые пытаются реализовать такое применение, но мы находимся в начале пути.
ИИ также помогает автоматизировать процессы обнаружения и реагирования на кибератаки. Например:
Мониторинг в реальном времени. ИИ может непрерывно мониторить сетевой трафик и системы, выявляя аномалии и подозрительную активность.
Анализ логов и событий. ИИ способен быстро анализировать большие объемы логов и событий, выделяя из них потенциально опасные инциденты.
Автоматизированное реагирование на инциденты. ИИ может автоматически запускать процессы реагирования на инциденты, такие как изоляция зараженных устройств или блокировка подозрительных учетных записей.
Больше материалов на эту тему читайте в Компас CIO
Может ли сам ИИ стать угрозой для кибербезопасности в бизнесе
Основные трудности безопасности, которые есть здесь и сейчас, связаны с данными. Возникают вопросы: можно ли вводить конфиденциальную информацию в публичные ИИ-системы? Как это проконтролировать? Вероятно, решением станут локальные ИИ-модели, развернутые в инфраструктуре компаний.
Следующий уровень беспокойства связан с использованием генеративного ИИ в процессе разработки ПО. Многие разработчики применяют, например, Microsoft Copilot, но насколько это безопасно? С одной стороны, в результате снижается порог вхождения в профессию, а профессионалы могут работать значительно быстрее и эффективнее. С другой стороны, LLM часто ошибаются – созданный с их помощью код нужно проверять. Если делать это досконально, прирост в производительности во многом теряется. Этот выбор между производительностью труда и безопасностью кода – не новая дилемма, но LLM делают проблему более острой.
В то время, как безопасники внедряют ИИ для защиты, злоумышленники учатся использовать его в атаках. Уже существуют примеры достаточно сложных социоинженерных атак с использованием дипфейков, созданных при помощи генеративных нейросетей. Существует значительный риск автоматизации фишинга при помощи чат-ботов с искусственным интеллектом.
Вирусные аналитики уже давно сталкиваются с сетевыми червями, которые эксплуатируют уязвимости и распространяются автоматически. ИИ может значительно расширить их возможности по сравнению с обычными червями, обладающими достаточно примитивной логикой работы. Они просто сканируют, получают доступ, используя ограниченный набор техник, и переходят к следующей цели при наличии возможности. Будущие черви станут более гибкими в своих действиях. Этот прогноз отчасти футурология, но уже не фантастика.
Если продолжать прогнозирование, то можно предположить, что «хороший» и «плохой» ИИ в итоге будут уравновешивать друг друга. Однако в переходный период чаша весов будет склоняться то в одну, то в другую сторону.
Наиболее распространенные ошибки при внедрении ИИ в системы информационной безопасности
Неправильная настройка и управление ИИ в системах мониторинга могут приводить к ложным срабатываниям или пропуску реальных угроз. Включение ИИ в такие продукты и внедрение самих систем в организациях обычно происходит аккуратно – это нельзя назвать острой проблемой. Повышенное внимание к языковым моделям вызывает опасения по поводу их поспешного внедрения без достаточной проработки модели угроз.
В инженерии существует понятие «дырявой абстракции»: создавая что-то, мы формируем уровень абстракции, скрывающий сложность. Работая только с новым слоем, не понимая, что под ним, легко допустить ошибки.
Например, если LLM дает рекомендации по противодействию атакам, это может превратиться в механическое действие. В такой ситуации оператор не знает, откуда берутся эти рекомендации, и на чем они основаны.
Это создает два риска:
- Действия ИБ-специалиста становятся предсказуемыми для злоумышленника.
- Большие языковые модели, которым мы все больше доверяем, можно перехитрить, подавая на вход структурированные определенным образом данные.
Это особенно интересно, потому что LLM могут использоваться в разных сферах: общении с клиентами, управлении продажами, настройке фильтров безопасности и во многих других задачах, которые сегодня выполняют люди. По сути, можно нарушить логику работы любой из этих систем довольно коварными способами.
Примеры успешного использования ИИ для обеспечения информационной безопасности в бизнесе
Пока что ИИ используется в основном в составе спам-фильтров и систем защиты от DDOS, DAM /DBF, SIEM и других продуктах. Однако высока вероятность, что скоро такие продвинутые алгоритмы будут использоваться повсеместно. Важно понимать, что участие человека в контроле и проверке работы ИИ – ключевой момент успешного внедрения технологий в любую сферу жизни, в том числе в ИБ.
Специалисты по кибербезопасности должны интерпретировать результаты работы ИИ, корректировать настройки и обучающие данные, а также принимать окончательные решения в сложных ситуациях, где требуется экспертное мнение. На текущем этапе развития технологии ИИ может значительно повысить эффективность и скорость работы, но не способен полностью заменить людей в обеспечении безопасности.