Изображение: recraft
Недостаток кадров — серьезный вызов и для российской, и для мировой кибербезопасности. Компании во всем мире стремятся максимально роботизировать деятельность дефицитных специалистов по ИБ, поэтому обращают внимание на передовые технологии в области автоматизации — машинное обучение (МО или ML — Machine Learning) и искусственный интеллект (ИИ или AI — Artificial Intelligence).
Опрос SANS «2024 SOC Survey» показывает, что в 2024 году почти 23% представителей зарубежного бизнеса уже внедрили во все свои системы решения на основе ML или AI, а 28% внедрили эти решения частично. В отчете IBM «Cost of a Data Breach Report 2024» говорится, что решения на основе ML или AI, наряду с обучением персонала, самым существенным образом помогают сократить ущерб от несанкционированного доступа к данным. Результаты опроса, проведенного авторитетным сайтом Dark Reading, показывают, что только 9% среди ИТ и ИБ-специалистов не увидели пользы от применения технологий ML или AI в SOC-центрах. Компании возлагают большие надежды на новые технологии, поэтому в данной статье мы обсудим, как машинное обучение меняет подход к киберзащите и как можно применять ML или AI в SOC-центрах.
Прежде чем обсуждать, какое прикладное применение можно найти новым технологиям, следует рассмотреть их основные характеристики. Итак, машинное обучение основано на ряде математических алгоритмов для анализа накопленных данных с последующим обучением, поиском закономерностей, предоставлением выводов и прогнозов.
Для обучения ML-моделей используются методы обучения с учителем, обучения без учителя, обучения с частичным привлечением учителя, обучения с подкреплением, а также методы градиентного спуска, методы опорных векторов, байесовские методы и другие.
Для качественного машинного обучения требуются большие наборы данных (дата-сеты) и соответствующие методы обработки Big Data, затраты на предварительное обучение и дообучение (переобучение), подключение разнородных дополнительных источников данных для контекстуализации, непрерывное улучшение методов обучения, а также обеспечение безопасной работы ML и защита обрабатываемых данных (набор практик MLSecOps). Искусственный интеллект — это более широкое понятие, чем ML, подразумевающее возможность ИИ-системы воспроизводить когнитивные функции человека (рассуждение, формирование идей и предположений, создание новых объектов).
ИИ сейчас условно разделяется на генеративный ИИ (Generative AI), который может выполнять лишь определенный набор когнитивных действий после предварительного обучения, и на общий искусственный интеллект (Artificial General Intelligence), который сможет выполнять задачи из самых разных областей, самостоятельно обучаться и адаптироваться к изменениям.
В текущих реалиях ИБ-рынка практически применяются, в основном, технологии ML и некоторые функции генеративного ИИ. В частности, в SOC-центрах технологии ML применяются для улучшения точности детектирования инцидентов и выявления аномалий (за счет поиска слабых корреляций и работы с огромными массивами данных), для быстрого анализа и реагирования на инциденты, снижения числа ложноположительных срабатываний, проактивного выявления киберугроз, формирования отчетности и автоматизации других алгоритмизируемых ручных действий.
Технологии ИИ пока что используются в основном для анализа и создания выжимок из больших текстов, формирования подсказок и помощи специалистам через чат-боты с обработкой запросов на естественном языке (технология «второго пилота», copilot).
Далее опишем, как можно практически применить технологии машинного обучения и некоторые функции генеративного ИИ в рамках современного SOC-центра, в работе MSS-провайдера или в деятельности команды реагирования на киберинциденты. Как мы уже отмечали ранее, с повышением уровня зрелости процессов ИБ растут и возможности по применению всё более продвинутых инструментов автоматизации, включая технологии ML и частично ИИ.
Управление активами
Технологии ML позволяют быстро проанализировать массив информации, собранной из различных источников (логи сетевых устройств, журналы аудита конечных устройств, телеметрия), и найти ранее неучтенные активы, установить связи между устройствами, провести их классификацию на основе множества признаков, которые не всегда очевидны. Например, на основе анализа данных от сетевых устройств (NGFW, IDS/IPS, NTA) можно найти устройства, которые ранее не были учтены, а по количеству сетевых связей актива с другими устройствами можно оценить его важность в ИТ-инфраструктуре.
Анализ массива исторических данных позволит выявить закономерности между изменением различных характеристик инфраструктуры и вероятными дальнейшими последствиями — например, появление новых устойчивых сетевых связей между несколькими устройствами из пользовательской подсети может свидетельствовать о вредоносной активности, поскольку продвинутое ВПО для кибершпионажа может выстраивать в скомпрометированной инфраструктуре скрытую сеть из зараженных устройств, а для эксфильтрации данных использовать прокси-устройство, у которого есть неограниченный доступ в интернет.
Управление уязвимостями и конфигурациями.
Основными вызовами при управлении уязвимостями являются их своевременное обнаружение, приоритизация и устранение. Системы на базе технологий ML позволяют получить и агрегировать информацию о новой уязвимости из различных источников (включая форумы, соцсети, блоги, Телеграм-каналы), а затем на основании этих сведений провести анализ информации о защищаемой инфраструктуре в целях обнаружения уязвимых активов.
Использование машинного обучения позволит упростить приоритизацию уязвимостей на основе информации о логике оценки критичности активов и ранее установленных уровней важности для аналогичных уязвимостей, а также с учетом множества параметров оцениваемых активов. Решения на базе ИИ могут также написать тестовый эксплойт для проверки (пентеста) реальной эксплуатируемости уязвимости, что также важно для приоритизации и планирования дальнейших действий.
Кроме того, на основе анализа накопленных исторических данных ML-решения могут обнаружить аномалии и попытки эксплуатации уязвимостей в текущем потоке событий, а также предсказать вероятные точки возникновения будущих уязвимостей, что позволит проактивно выявлять и предотвращать угрозы. Выявив уязвимость, важно корректно установить патч или изменить конфигурацию актива — решения на базе ML подскажут, какие возможные проблемы и конфликты может повлечь применение обновления или изменение настроек, ориентируясь опять же на историю подобных действий.
Управление событиями ИБ
При работе с SIEM-системами одной из основных задач является разработка правил нормализации и корреляции, и технологии машинного обучения позволяют упростить решение этих задач, обучившись на множестве аналогичных правил. Кроме того, ML может помочь снизить число ложноположительных срабатываний за счет постепенного самообучения SIEM-системы, а генеративный ИИ позволит эффективно обогащать данные по событиям и инцидентам ИБ путем обработки информации от различных внешних источников, включая аналитические сервисы и публичные реестры.
Помимо традиционных методов выявления инцидентов с использованием сигнатур и правил корреляции, интеграция ML в SIEM позволит перейти к обнаружению инцидентов на основе выявления аномалий и подозрительной активности за счет поиска закономерностей (паттернов) в событиях телеметрии, сетевых логах, журналах аудита и построения модели нормального поведения инфраструктуры, отклонения от которого будут считаться нарушением.
Получаемые SIEM-системой события ИБ могут анализироваться с учетом накопленных знаний о схожих событиях и инцидентах, беря за основу, например, вынесенные ранее вердикты ИБ-специалиста L1/L2 (в модели обучения с учителем).
Технология ML в SIEM также поможет приоритизировать сформированный инцидент в соответствии со скоринг-моделью оценки риска инцидента, которая может зависеть от массы различных свойств (например, характеристик атакованного актива, свойств источника атаки, данных об использованной уязвимости, примененных тактиках и техниках, возможного негативного влияния инцидента и т.д.). Технология ИИ поможет оператору SIEM-системы сформировать и выполнить оптимальный поисковый запрос по сохраненным данным, а также сможет в режиме чат-бота ответить на релевантные вопросы и предоставить рекомендации по работе с событиями ИБ.
Управление инцидентами ИБ, данными киберразведки, проактивным поиском киберугроз
Интеграция технологий ML и ИИ в решения классов SOAR помогает выполнить оптимальные действия по реагированию на киберинциденты, а в пределе — добиться полностью автономного реагирования на угрозы без участия человека. Обучаясь на закрытых ранее инцидентах и их свойствах, SOAR-системы с использованием машинного обучения либо предлагают ИБ-специалисту оптимальные действия по реагированию, либо выполняют часть действий автоматически — пока что, как правило, это некритичные действия, например, по обогащению инцидентов и рассылке уведомлений.
Важное свойство ML-систем — самообучение — может выгодно использоваться для непрерывной адаптации плейбуков реагирования к изменяющимся техникам и процедурам атакующих, а предиктивная аналитика ML-систем поможет предупредить возможные кибератаки в будущем. Для управления данными киберразведки (Threat Intelligence) используются решения класса TIP, в которых также применяются технологии ML для эффективной работы с аналитикой киберугроз — индикаторами компрометации и индикаторами атак (включая их скоринг, дедупликацию, очистку). Использование генеративного ИИ поможет обрабатывать аналитические отчеты, бюллетени безопасности, посты в соцсетях, на форумах, в блогах и Телеграм-каналах для проактивного поиска новых аналитических данных, которые пока не поступили в TIP-решение от классических TI-фидов.
При проведении проактивного поиска киберугроз (Threat Hunting) технологии ML и ИИ помогут специалистам сформировать наиболее вероятные гипотезы для поиска признаков активности злоумышленников и возможных артефактов. Анализ больших объемов исторических данных улучшает возможность формирования предположений о потенциальной вредоносной активности и способах поиска её следов. При использовании технологий ML и ИИ в системах SOAR и TIP специалисты имеют возможность использовать естественный язык для формирования поисковых запросов, а также могут получать подсказки и рекомендации от встроенного чат-бота.
Отметим, что еще летом 2024 года продукты нашей платформы Security Vision первыми в своих классах прошли экспертную проверку и были признаны системами, оснащенными искусственным интеллектом, с соответствующей отметкой в реестре российского ПО. В части технологий ML и ИИ мы активно применяем нейросети, алгоритмы решающих деревьев, методы градиентного спуска, методы опорных векторов и ряд других. Кроме того, в наших решениях применяются алгоритмы централизованного управления моделями ML и ИИ, включая автоматическое переобучение моделей на данных в конкретных инфраструктурах, а также автоматический подбор параметров моделей для более качественной их адаптации к инфраструктуре внедрения. Среди наших продуктов, в которых мы применяем технологии ML и ИИ, можно отметить решения SOAR/NG SOAR, TIP, UEBA, SGRC, которые высоко востребованы Заказчиками из самых разных отраслей, включая SOC-центры и MSS-провайдеров.
В настоящее время технологии ML и ИИ всё шире внедряются в различные СЗИ — в решения классов EDR/NDR/XDR, в системы выявления фишинга и анализа ВПО, в сетевые СЗИ (IDS/IPS, NTA), в платформы SIEM, SOAR, TIP, BAS, DLP, DAG/DCAP и т.д. Интеграция элементов ML и ИИ помогает автоматизировать действия дефицитных ИБ-специалистов, снять с них рутинную нагрузку, снизить влияние человеческого фактора, ускорить реагирование на киберугрозы и повысить возможность принятия объективных риск- и дата-ориентированных решений.
Однако, данные технологии пока не являются полноценной заменой «живых» сотрудников, а помогают им быть более продуктивными, условно — выполнять больше работы с меньшими усилиями. Финальное решение всё равно пока что принимает человек, критически оценивая рекомендации и подсказки продвинутых систем на основе своего опыта и экспертизы.
Автор: Руслан Рахметов, СЕО Security Vision.
Оригинал публикации на сайте CISOCLUB: "Гиперавтоматизация SOC: как машинное обучение меняет подход к киберзащите".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
