Изображение: recraft
Искусственный интеллект — уникальный multi-tool в руках современного человека, который может как улучшать качество жизни, так и использоваться в кибератаках на критические бизнес-системы. ИИ может предотвращать утечки посредством алгоритмов машинного обучения, заточенных на выявление нелегитимных действий по выявленным паттернам, а может служить источником утечки данных, поскольку обучается на сведениях, составляющих коммерческую тайну.
Как ИИ может усовершенствовать актуальные средства предотвращения утечек данных?
Обсудим варианты, как будем бороться с инсайдером.
Популярный класс решений для снижения рисков утечек со стороны инсайдера — DLP-система. Такие вендоры, как «Стахановец», ГК Infowatch (Person & Traffic Monitor), ГК «Солар» (Dozor) и «СёрчИнформ» («СерчИнформ КИБ»), разрабатывают и внедряют в России DLP-системы, обеспечивающие масштабируемый мониторинг и превентивную защиту по каналам утечек данных. Архитектура подобных систем предполагает алгоритмы машинного обучения для агрегации отчётов по заданным критериям. Недостатки систем сводятся к минимальному контентному анализу. «Старая гвардия» DLP-систем делает упор на фильтрацию контента по регулярным выражениям и подсчёту количества вхождений определённых слов, что теряет смысл в ряде нетиповых действий со стороны пользователей.
Искать инсайдера может помочь и корректная настройка алертов SOC в SIEM. Например, можно выстроить цепочку действий: избыточный исходящий трафик с хоста (эксфильтрация?), время доступа к корпоративной сети во внерабочее время и попытка подключения к нетипичным ресурсам, запрещённым в корпоративной сети. Визуализация этих шагов позволит сформировать картину, но резолюции потребуется коррелировать с контекстным анализом, который проводится на основании данных из DLP-систем.
Защищённые веб-шлюзы (SWG), которые блокируют на уровне прокси избыточный трафик с локальных машин, аналогично выполняют функцию превентивной защиты. Зачастую это простейшие механизмы блокировок аномального потока трафика по правилам, и они могут блокировать эксфильтрацию по протоколам.
Как же будем искать инсайдера комплексно, не перегружая аналитиков SOC? На помощь приходят инструменты расширенной аналитики событий, которые обрабатывают действия с учётных записей пользователей с применением машинного обучения и алгоритмов искусственного интеллекта. В данном случае ИИ поможет провести ретроанализ всех действий сотрудников и сформировать общую картину отклонений лучше, нежели online-потоковое отслеживание действий сотрудника. Это снизит нагрузку на аналитика DLP/SOC, которым придётся вручную писать запросы и читать логи, формируя отчёт с ретроанализом событий. Формат упреждающего мониторинга от ИИ позволит своевременно прислать уведомление руководителю потенциального инсайдера и ограничить сотруднику доступы к чувствительной информации, если будет заподозрена нелегитимная активность. Всё это произойдёт без нарушений бизнес-процессов.
Подобный класс продуктов, расширяющих стандартный инструментарий DLP, называется UEBA (User and entity behavioral analytics, или Поведенческий анализ). Использование big data и обработки поступающих данных с помощью статистических анализаторов, разработанных по типовым сценариям утечек информации, может повысить качественно-количественные показатели детектирования, снизить вероятность человеческой ошибки при поиске аномалий и увеличить вероятность применения правил эффективной превентивной защиты. Подобный класс решений в РФ разрабатывает «Газинформсервис» (Ankey ASAP). R-Vision разворачивает альтернативное предложение — R-Vision UEBA.
Как будем противодействовать внешнему злоумышленнику?
Помимо правил корреляции с использованием SIEM, немалую роль играет IDS/IPS-технологии, которые открывают фронт информационных систем компаний и закрывают их от потенциальных атак и последующих утечек данных. IDS/IPS позволяют предотвратить векторы атак на основе исторических данных, упреждая утечки через уязвимости в API, успешные brute-force-атаки, и пресекают массовый импорт данных из корпоративной сети вовне. Кроме того, IPS/IDS могут анализировать трафик на пакетном уровне, а не только на прикладном уровне, как это делает большинство DLP-систем. Современные модели систем выявления и предотвращения вторжений работают с встроенными элементами ИИ, располагая в работе не только пассивными правилами защиты, но и эвристическими моделями, обнаруживая воздействие от атак через zero-day-уязвимости. Сквозная бесшовная интеграция с SIEM позволяет расширить картину данных, что происходит на границах корпоративной сети, и обеспечить картину отражённых атак на периметре. Не допустить вторжение злоумышленника для последующей эксфильтрации — это задача IDS/IPS с возможностями контекстного анализа, построенного на основе алгоритмов машинного обучения.
Ограничение современных решений ИИ в контексте анализа и предотвращения утечек информации
Современные решения ИИ для анализа и предотвращения утечек информации обладают рядом ограничений. Эти проблемы обусловлены преимущественно техническими и этическими факторами, которые могут препятствовать их эффективности в борьбе с утечками данных.
Основные ограничения ИИ при построении моделей предотвращения утечек информации:
- Риски утраты конфиденциальности данных. Системам ИИ требуются значительные объёмы данных для обучения, что увеличивает риск раскрытия конфиденциальной информации. Инструменты машинного обучения и ИИ, разработанные вендорами, демонстрируют отсутствие прозрачности в том, как собираются и используются данные системами ИИ, особенно на базе open-source-компонентов и фреймворков.
- Недостаток качественных данных для обнаружения утечек. Модели ИИ могут не обнаруживать утечки, зависящие от контекста, из-за искажений в обучающих данных или ограничений в понимании сложного человеческого языка. Проблема сокрыта в нерепрезентативных размеченных данных.
- Ложноотрицательные результаты. Системы класса UEBA часто испытывают проблемы с точностью, пропуская фактические утечки (ложные отрицательные результаты), или выдавая избыточное количество ложноположительных заключений.
- Проблемы масштабируемости. Объём и сложность данных увеличиваются во всех организациях ежедневно, что затрудняет эффективное масштабирование существующих решений в области ИИ без значительных вычислительных ресурсов.
- Ограничения по стоимости и ресурсам. Разработка надёжных систем ИИ требует значительных затрат времени, опыта и инфраструктуры. Многие компании отдают предпочтение быстрому выводу на рынок, а не функциям безопасности и гарантированной стабильности работы, что приводит к пробелам в защите, в частности с позиции утраты логов из целевых систем.
- Отсутствие экспертов в сфере ИИ и машинного обучения. Аналитики, которые разворачивают системы с внедрённым машинным обучением и ИИ, могут иметь сложности с интерпретацией результатов из «чёрной коробки». Эффективное использование ИИ требует редких междисциплинарных компетенций.
Для устранения этих ограничений требуется комплексный подход, который будет включать в себя интеграцию и расширение функционала DLP, IDS/IPS для опоры на контекст; инвестиции в обучение специалистов и развитие междисциплинарных компетенций для эффективного внедрения ИИ в ИБ; качественное обучение моделей, основанное на репрезентативных и размеченных данных; также постоянная проверка корректности моделей, переобучение и адаптация к новым угрозам. Доступ к моделям ИИ и редактуре их компонентов должен быть обеспечен с учётом разграничения доступа и шифрования: во избежание отравления выдачи данных.
Бесспорно, современные решения на основе ИИ являются мощными инструментами борьбы с утечками информации, но их существующие ограничения требуют сбалансированного подхода.
Вендоры, предоставляющие услуги по защите информации, располагающие инструментами защиты от утечек информации с технологиями ИИ
В России лидерами в использовании ИИ для обнаружения утечек информации являются несколько компаний, которые активно разрабатывают и внедряют решения на основе искусственного интеллекта. Вот некоторые из ключевых игроков:
«Лаборатория Касперского»
Компания активно использует ИИ в своих решениях для обнаружения и предотвращения киберугроз, включая утечки данных.
InfoWatch
Специализируется на DLP-решениях, которые используют ИИ-модули превентивной аналитики для обнаружения и предотвращения утечек конфиденциальной информации. Системы компании, такие как InfoWatch Traffic Monitor, широко используются для защиты данных.
«Газинформсервис»
Компания, входящая в число крупнейших ИБ-компаний России, также активно использует ИИ в своих решениях для повышения безопасности и защиты данных.
Эти компании лидируют в разработке и внедрении ИИ-решений для защиты данных и предотвращения утечек информации на российском рынке.
Статью подготовила инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева.
Оригинал публикации на сайте CISOCLUB: "Искусственный интеллект против утечек данных: возможности и ограничения современных решений".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.