Нейросети учатся генерировать системы защиты от цифровых угроз, становясь незаменимыми помощниками аналитиков.
Искусственный интеллект в самых разных формах и проявлениях всё активнее закрепляется в российских компаниях и государственных институтах. Ему охотно доверяют внутренние бизнес–процессы: документооборот, чат–боты, тестирование инвестиционных стратегий. А глава Минцифры Максим Шадаев недавно заявил журналистам, что на базе "Госуслуг" планируется создать ИИ–агента: программу, которая может выполнять определённый набор действий, а не просто генерировать картинки или код.
Однако всё новые и новые функции, которые предоставляют нейросетям, не всегда служат хорошим целям. Исследователи "Кибердома" выяснили, что 14% специалистов по киберзащите сталкиваются с тем, что хакеры используют ИИ–инструменты. Параллельно с этим новые модели и решения внедряются в сферу кибербезопасности. Четверть участников опроса "Кибердома" посчитали, что ИИ способен частично или полностью заменить службу безопасности в далёком будущем.
Из инструмента — в участника
На практике алгоритмы машинного обучения уже интегрируются в экосистемы SIEM (сбор логов и подозрительных событий), SOAR (алгоритмы защиты при атаке) и NDR (анализирует сетевую активность). Это инструменты, которые собирают и интерпретируют огромные объёмы данных. Искусственный интеллект помогает этим системам снижать количество ложных тревог, ранжировать инциденты по приоритету и автоматически реагировать на простые угрозы без участия человека. Это высвобождает ресурсы аналитиков, концентрируя внимание на действительно сложных или уникальных атаках.
Руководитель R&D–направления Центра технологий кибербезопасности ГК "Солар" Максим Бузинов сравнивает работу специалиста и ИИ–системы с ручными вычислениями и калькулятором. ИИ практически мгновенно анализирует сотни тысяч сообщений и событий безопасности из самых разных систем — таких как DLP (защита данных), EDR (защита устройств), XDR (системная защита сети), SIEM–систем. Он собирает все события и позволяет увидеть полную картину инцидента.
“
"В результате расследования проводятся быстрее, а картина атаки на выходе более полная, чем та, которую мог бы составить человек", — отмечает Бузинов.
Современные системы кибербезопасности всё чаще переходят от реактивных решений к превентивной защите, где ключевую роль играет как раз искусственный интеллект. Руководитель группы исследований и разработки технологий машинного обучения "Лаборатории Касперского" Владислав Тушканов отмечает, что ИИ позволяет сделать подход к киберзащите более проактивным.
“
"Речь не просто о распознавании угроз, а о способности действовать автономно, анализировать большие объёмы данных в реальном времени и прогнозировать потенциальные атаки", — поясняет он.
По словам эксперта, преимущества таких инструментов будут особенно заметны, когда ИИ–агенты "подрастут". То есть научатся не только обнаруживать подозрительную активность, но и автоматически предпринимать контрмеры: блокировать вредоносный трафик, обновлять политику доступа или уведомлять аналитика о критических событиях.
Если классические решения зависят от заранее определённых алгоритмов, то ИИ способен улавливать аномалии в поведении пользователей, систем и сетевого трафика.
Например, подчёркивает Тушканов, в SIEM– и XDR–системах ИИ может обнаруживать нестандартные загрузки компонентов, характерные для продвинутых атак типа DLL hijacking (подмена нормальной библиотеки на вредоносную).
ИИ успешно распознаёт фишинговые веб–страницы и спам–письма даже в тех случаях, когда они не совпадают с известными шаблонами. А в центрах обеспечения безопасности ИИ помогает обрабатывать потоки событий, связывать их по контексту и обращать внимание специалиста на отдельные случаи.
Результаты можно видеть уже сейчас: в Kaspersky MDR внедрение ИИ для автоматического обнаружения "не представляющих угрозы событий" на 25% снижает объём работы аналитиков и освобождает их для выполнения более приоритетных задач.
Специалисты "Солар" сообщили, что с помощью ИИ перехватили на 80% уязвимостей больше, чем "ручным" трудом.
“
"ИИ способен группировать и объединять множественные разрозненные проявления и делать вывод, что это не отдельные инциденты, а одна комплексная подозрительная атака", — отмечает Бузинов.
Задача на пятилетку
Согласно исследованию Т1 "Пульс цифровизации", в прошлом году банки и страховые вложили в ИИ–инструменты рекордные 56,8 млрд рублей. В основном эти деньги пошли на биометрию и распознавание клиентов или на чат–ботов и документооборот. Сколько было потрачено конкретно на ИИ–инструменты в сфере безопасности, неясно: не все компании готовы афишировать эти данные.
По словам Бузинова, ИИ–решения могут закрыть базовые потребности в защите, не требуя огромного штата и бюджета. В дальнейшем на рынке будут появляться специализированные продукты именно для этого сегмента. Внедрение и развитие этих доступных инструментов могут стать приоритетными задачами для российского бизнеса в следующие 5 лет.
При этом важно следить не только за внешними угрозами. Специалисты Kaspersky отмечают, что использование "теневого ИИ" или не разрешённого отделом безопасности программного обеспечения ведёт к рискам утечек персональных данных и коммерческой тайны. Поэтому, акцентирует внимание Тушканов, очень важным является разумный контроль над этим явлением — как технический (например, с помощью CASB–решений), так и с точки зрения осведомлённости за счёт обучающих курсов.
У искусственного интеллекта, как сотрудника отдела безопасности, есть и свои слабые стороны. ИИ–системы традиционно подвержены так называемым "состязательным" атакам — когда данные для обучения моделей заведомо искажаются, нарушая работу модели.
Существует много этапов, где может произойти утечка данных или где может быть неправильно произведена настройка модели и её параметров.
“
"В системах ИИ есть очень много “ручек”, которые можно немного неверно повернуть и в результате модель начнёт галлюцинировать — выдавать некорректный результат. Для сферы кибербезопасности, где точность критически важна, это серьёзный риск", — также подчеркнул Бузинов.
В поиске сеньора
Помимо этого, перед сферой кибербезопасности сейчас стоит серьёзный вызов в виде нехватки кадров: 91% российских банков отмечали трудности с наймом senior–сотрудников в сферах машинного обучения и data science.
“
"Поток киберинцидентов растёт, специалистов SOC– и ИБ–команд уже не хватает для их оперативной обработки", — отмечает Тушканов.
“
"Если говорить о российских реалиях, то один из главных вызовов — это техническая составляющая, — добавляет Бузинов. — Внедрение действительно эффективных, больших моделей оставляет желать лучшего с точки зрения доступности ресурсов. Чтобы такие модели работали эффективно, приходится затрачивать достаточно большие средства на обеспечение серверных мощностей. В первую очередь это требует развёртывания серверов с графическими процессорами, а в современных реалиях достать их на рынке не так–то просто и дешёво".
