Неизбежный антропоцентризм кибер-защиты 21 века

Информационные технологии все время проходят испытание ажиотажем, сопровождающим каждый этап их развития. Семейство «горячих» ИТ-новинок — искусственный интеллект (AI), Интернет Вещей (IoT), Big Data, блокчейн — переживает сейчас именно эту фазу. В области информационной безопасности (далее — ИБ), disrupt-технологии нашей с вами современности преподносятся как универсальный ответ на все вызовы. Во многом по той причине, что в сумме они будут способны обеспечивать уровень обработки данных, который ни одному человеку просто не доступен. 

Например, AI в новой картине мира отводится роль «сверхпрофессионала», вобравшего в себя опыт лучших инженеров за десятилетия их работы и способного принимать наиболее эффективные решения в масштабах, человеку неподвластных. 

Ожидая какого-то моментального прорыва в области защиты от хакеров, программ-зловредов, различных вымогателей и иных форм нарушения кибер-спокойствия, многие зачастую упускают из вида одно важное обстоятельство. А именно — тот факт, что новое поколение технологий суть всего лишь очередной этап развития инструментов обеспечения безопасности ИТ-инфраструктуры, тогда как существо задачи нисколько не поменялось. 

Важнейший концепт криминалистики — принцип обмена Локарда: предполагается, что каждый злоумышленник меняет ландшафт места преступления, что-то в него привнося и что-то забирая из него с собой. С кибер-преступлениями дело обстоит ровно точно так же, разве что объемы пространства, где разбросаны потенциальные улики, слишком велики для выявления следов преступления с помощью возможностей человеческого мозга.

И здесь AI, блокчейн и Big Data помогают разбить эти массивы на основные блоки, более пригодные для дальнейшего разбора человеком. Эти технологии дают всего лишь расширенный инструментарий и углубленный функционал детекции проблем на основе тщательного анализа огромных объемов данных. Специалист с их помощью получает больше времени на чистый анализ сути ситуации, растет эффективность его действий, повышается качество прогнозирования и оценок динамики развития ситуации. 

Конечно, традиционный вопрос здесь: «Будут ли новые технологии отнимать работу у человека?». Да, многие компании ведут работы по созданию таких AI-продуктов, которые будут принимать самостоятельные решения в рамках установленных политик ИБ. Но человек без работы никак не останется: интуицию и способность людей выявлять неочевидные паттерны для машинного мозга пока еще никто не отменял. 

И не будем забывать главную особенность направления безопасности в ИТ. Кибер-угрозы — это, прежде всего, люди, креативные умы с недобросовестными намерениями, а не написанный код. По другую сторону баррикад человек, использующий те же самые технологии и эксплуатирующий слабые места вашей сети. Для него это не только (и не столько) нудная работа, сколько забава, источник адреналина и вызов. Никакой машинный алгоритм, даже самый продвинутый, не сравнится с человеком в аспекте живости подхода к задаче. Мотивированные хакеры всегда найдут способ обойти любые автоматизированные механизмы обороны.

Задумайтесь: среднее время, в течение которого хакерское проникновение в сеть может оставаться незамеченным (так называемый dwell time), составляет период в оглушительные 7 месяцев! Зависимость пропорциональная – большее количество компонентов сети генерируют большие объемы операционных данных. Пока идет их анализ, проверка и сверка в исторической перспективе, хакеры получают возможность изучить структуру и особенности организации сети, обнаружить уязвимости, установить вредоносный софт и т.д. 

Еще один вызов — разнообразие доступных компонентов для создания корпоративных сетей приводят к огромному количеству вариаций при организации атак. Компании зачастую не понимают, какого рода специалиста им нанимать, поскольку на рынке еще не сформировалось типа компетенций, необходимого для борьбы с возникающими угрозами. Автоматизировать можно лишь ту задачу, которая полностью понятна, таким образом, под автоматизацию подпадают только самые простые процессы. А вот любые чуть более сложные задачи остаются в ведении специалиста, и найти профи с необходимым уровнем опыта и компетенций — огромная проблема. 

Далее, актуальный уровень AI-защитных решений только обещает небывалые возможности анализа SIEM-данных. На практике эффективно справляться с объемами Big Data может далеко не каждый продукт, даже на основе самых современных технологий. Очень много теории и академичного подхода, которые в реальном мире оказываются просто бесполезными. По-настоящему работающие решения можно пересчитать по пальцам.  

Современные решения в области ИБ на базе AI и Big Data генерируют множество эпизодов ложного распознавания угроз, которые отвлекают команду ИБ-специалистов от действительно насущных задач. Во многом это происходит из-за нехватки данных для обучения и контекста, без которых машина любую аномалию распознает как угрозу. 

AI-решения также не могут давать пояснения своим шагам, предоставлять отчет руководству — почему при наступлении сценария Х был задействован путь решения Y, а не, скажем, Z? Без обратной связи совершенствование системы ИБ в целом также затруднено.

Отсюда главная задача для ИБ в перспективе освоения всего disrupt-функционала – создание продуманной и справедливой системы требований для аудиторов и менеджеров автоматизированных компонентов системы безопасности и параллельное повышение квалификации штата для работы с участками сети, где требуется принимать мгновенные гибкие решения на основе данных из множества источников. 

Эффективного ИБ-профессионала сегодня отличает не столько глубина теоретических знаний, сколько объем знаний процедурных и готовность брать на себя ответственность за оперативные решения. Только так инвестиции в автоматизацию систем ИБ с помощью новых технологий получают перспективу окупаемости. 

Такой вот неизбежный антропоцентризм в мире сквозной автоматизации в 21 веке. А что Вы думаете об этом?