Новости / март 2019
Рубрики: Информационная безопасность

ИИ поможет ИБ

Юлия Мельникова
© ComNews
20.03.2019

69% компаний считают, что искусственный интеллект поможет закрыть дефицит кадров в сфере информационной безопасности (ИБ). Однако остаются задачи, для решения которых без человеческого ресурса не обойтись. Такие данные приводит компания Trend Micro по результатам исследования.

Trend Micro Incorporated опубликовала итоги опроса, посвященного проблеме дефицита квалифицированных ИБ-кадров. В опросе приняли участие 1125 специалистов из компаний, принимающих решения в сфере ИТ и отвечающих за кибербезопасность в компаниях Великобритании, США, Германии, Испании, Италии, Швеции, Финляндии, Франции, Нидерландов, Польши, Бельгии и Чехии.

Региональный директор Trend Micro в СНГ, Монголии и Грузии Герман Позанков сказал корреспонденту ComNews, что Россия не отличается от остального мира в вопросе нехватки кадров ни в ту, ни в другую сторону значительно. "Дефицит кадров в ИБ существенный, и очевидных "легких и простых" способов его преодоления не видно. ИИ помогает автоматизировать и упростить многие процессы, снизить потребность в ручной обработке больших объемов данных. С этой позиции использование ИИ в информационной безопасности находится на самой начальной стадии", - отметил Герман Позанков.

69% опрошенных считают, что использование искусственного интеллекта (ИИ) снизит влияние нехватки профессионалов на качество обеспечения безопасности.

63% опрошенных заявили, что планируют использовать ИИ-технологии, чтобы автоматизировать процессы поддержания и обеспечения безопасности. "Вместе с тем ИИ не cможет закрыть абсолютно все пробелы. Например, для таких задач, как анализ результатов и управление общей стратегией безопасности, необходимы квалифицированные специалисты по кибербезопасности. Среди прочего, респонденты отметили, что нехватка кадров заставляет их расширять программы обучения и использовать аутсорсинговые услуги для выявления и предотвращения угроз", - отмечается в исследовании.

"Чем более сложными становятся угрозы информационной безопасности, тем выше поднимается планка требований для тех, кто призван защищать свое предприятие. Более продвинутые инструменты защиты зачастую только усугубляют проблему кадрового голода, выявляя нехватку в штате сотрудников, обладающих необходимыми для эффективного использования новейших систем безопасности навыками. Этот вызов требует кардинально пересмотреть подход к созданию средств защиты и обеспечить механизмы ИИ, позволяющие радикально упростить работу подразделения", - прокомментировал технический директор Trend Micro в России и странах СНГ Михаил Кондрашин.

По данным исследования, в 2018 г. рост киберугроз ощутило на себе 64% организаций. "Сегодня организации имеют общую проблему: отделы по ИТ-безопасности не полностью укомплектованы и занимаются широким кругом вопросов. А согласно исследованию Gartner, нехватка квалифицированных специалистов по безопасности стала постоянной проблемой. Ожидается, что спрос на сотрудников по кибербезопасности будет очень быстро расти, и к 2020 г. рынок столкнется с 1,5 млн открытых вакансий", - прогнозируют исследователи.

Герман Позанков отметил плюсы применения искусственного интеллекта: снижение зависимости от человеческого фактора повышает общий уровень кибербезопасности, так как ИИ "не устает", у него не "замыливается глаз" и т.д. "Однако главный недостаток сегодня в том, что ИИ слишком молод и, как любая молодая технология, обладает особенностями, которые пользователи недостаточно изучили. Компании пока не готовы полностью довериться ИИ, так как не всегда понимают, как ИИ принимает решения", - пояснил он.

Ведущий аналитик отдела развития компании "Доктор Веб" Вячеслав Медведев напомнил, что разговор о проблеме квалификации ИТ-специалистов идет много лет и решения ее не видно. "19 из 20 специалистов не способны определить, что такое актуальные угрозы и как от них нужно защищаться. Дикий пример: только единицы знают, для чего они используют антивирус в своих компаниях. Крайне малое количество специалистов умеют сразу после получения образования работать в проектах, управлять ими. Технологии машинного обучения способны решать типичные проблемы. Сейчас не существует истинного ИИ. Есть технологии машинного обучения. Программы натренированы на неких наборах данных - в частности, на примерах действий. И на основе этого обучения способны принимать решения в схожих случаях. То есть уровень качества работы зависит от полноты обучающих данных. И, скажем, данные технологии вполне способны дать совет в случае запроса "у меня шредер мышку засосал". Но решать проблемы все равно придется живому специалисту. ИИ может выдать рекомендации, но не способен во всех случаях их реализовать. И кстати: а вдруг шредер действительно живую мышь измельчил? Это к вопросу недостаточности данных для анализа. И самое главное: готовы ли компании на убытки в случае ошибок ИИ? Машина - не человек, обмануть ее можно. Известен случай, когда ИИ распознавал лица людей как обезьян. А если ИИ ошибется и пропустит злоумышленника на объект?" - размышляет Вячеслав Медведев.

Он сказал, что технологии на базе ИИ на данном этапе развития частично способны заменить живых специалистов по ИБ в типовых задачах обслуживания информационных систем, первоначальной обработке запросов перед передачей их людям. "Например, обращения в техническую поддержку часто не позволяют специалисту понять проблему сразу. И он отправляет типовые вопросы типа "пришлите то-то и то-то для анализа". Такая работа может быть автоматизирована. Мы применяем технологии машинного обучения, поскольку нереально разобрать вручную все образцы вредоносных программ - нам их приходит до миллиона в день", - рассказал Вячеслав Медведев корреспонденту ComNews.

Руководитель отдела развития продуктов ГК InfoWatch Андрей Арефьев сказал, что спрос на высококвалифицированных ИБ-специалистов стабильно высок.

"Технологии все глубже проникают во все сферы нашей жизни, происходит цифровизация различных секторов экономики - а за технологиями всегда следуют угрозы информационной безопасности. Вопрос нехватки кадров стоит достаточно остро, поскольку для обеспечения безопасности постоянно изменяющихся бизнес-процессов в организациях необходимо непрерывно адаптировать правила, по которым работают сложные ИБ-системы (DLP, SIEM). Эта задача требует большого количества кадровых ресурсов, что приводит к увеличению стоимости владения системами безопасности. Именно поэтому внедрение искусственного интеллекта повышает эффективность ИБ-систем, снижает стоимость эксплуатации ИБ-решений, частично решает проблему нехватки кадров и позволяет автоматически решать прикладные задачи организации в этой сфере. Например, модуль DLP-системы InfoWatch Prediction (класса UEBA), используя технологии машинного обучения, может анализировать аккумулированные в ИБ-системах большие данные и на их основе прогнозировать информационные риски для компании в сфере кадровой или финансовой политики, в частности позволяет заранее определить намерение сотрудника уволиться. Таким образом решение способно частично выполнять функции как HR, так и ИБ-специалиста", - прокомментировал Андрей Арефьев. 

Менеджер по развитию бизнеса Group-IB Сергей Золотухин отметил, что для противодействия киберпреступности сегодня уже недостаточно использовать сигнатуры или индикаторы компрометации.

"Современные системы используют данные киберразведки, одну или несколько платформ TI. Без них уже невозможно представить современный SOC. Технологии завтрашнего дня - это использование ИИ в выявлении взаимосвязей злоумышленников, построении графов, раскрывающих их скрытую инфраструктуру. Такие технологии позволяют вывести противодействие на качественно новый уровень. Мы пошли дальше. Например, в нашем продукте Secure Bank - системе раннего обнаружения фрода для платежных систем, которая защищает 70 млн клиентов "Сбербанк Онлайн" и "Сбербанк Бизнес Онлайн", реализован разработанный специалистами Group-IB по DataSience алгоритм Behavior, позволяющий обнаружить мошеннические сессии на основании собранной информации о ранее осуществленных легитимных и мошеннических действиях. Работает это так: мошенники пытаются украсть деньги наиболее удобным, простым и быстрым способом. В процессе перевода они не будут между делом проверять счета за ипотеку, оплачивать услуги ЖКХ или смотреть таргетированную рекламу. А обычный пользователь, наоборот, может просматривать другие страницы, разделы и банеры. То есть система при правильной настройке параметров алгоритма в автоматическом режиме определяет характерную последовательность действий для мошенников и для легитимных пользователей. Кроме алгоритма Behavior, мы используем "комплексную биометрию": анализ клавиатурного почерка пользователя или почерк движения мыши и т.д. Система выявляет вредоносные веб-инъекции, социальную инженерию, фишинг, бот-сети, захват учетной записи, сети нелегального обналичивания денег и другие виды банковского мошенничества", - рассказал Сергей Золотухин. 

Технический директор Eset Russia Виталий Земских подтвердил, что проблема слабой квалификации ИТ-специалистов стоит очень остро. "Проблему квалификации персонала и устранения дефицита кадров можно решить только длительным обучением и практикой. Как следствие, стоимость квалифицированных специалистов на рынке труда достаточно высока, это кандидаты не для всех работодателей. Если в крупных компаниях наличие офицера безопасности - жизненная необходимость, отраженная в фонде оплаты труда, то СМБ просто не может себе позволить такого специалиста. И далее из этого следует не наличие или отсутствие искусственного интеллекта, а сегментация корпоративных продуктов для безопасности. Решения для СМБ требуют минимум усилий для развертывания, управления и работы с отчетностью. В свою очередь, enterprise-решения отличаются продвинутой функциональностью, предполагающей высокую квалификацию ИБ-специалистов, которые с этими продуктами взаимодействуют", - говорит Виталий Земских.

Он уверен, что решить вопрос с нехваткой кадров в ИБ с помощью ИИ нельзя. "Искусственный интеллект и квалификация кадров - разные категории, не связанные друг с другом. Сейчас компании используют искусственный интеллект или, если называть вещи своими именами, технологию машинного обучения, не для замены сотрудников, а для автоматизации ряда процессов. Технологии на базе ИИ не способны на данном этапе заменить человека, но способны немного упростить жизнь офицерам информационной безопасности и повысить точность прогнозирования инцидентов. Плюсом использования ИИ является сокращение временных издержек при корреляции и прогнозировании инцидентов информационной безопасности, помощь офицерам ИБ в оценке и прогнозировании событий. С другой стороны, технологии ИИ и машинного обучения доступны как для разработчиков продуктов для безопасности, так и для создателей вредоносного ПО. Это просто инструменты, которые с легкостью могут быть использованы любой стороной - и для защиты от кибератак, и для их осуществления. Мы применяем технологии ИИ. В частности, они заложены в решениях класса EDR, Sandbox и DLP - ESET Enterprise Inspector, встроенная песочница ESET Dynamic Threat Defense, Офисный контроль и DLP Safetica соответственно", - прокомментировал Виталий Земских