Искусственный интеллект часто воспринимается как своего рода панацея – технология, способная быстро улучшить любой процесс в компании. Однако это далеко от реальности. По словам директора по инновационным проектам ГК InfoWatch Андрея Арефьева, ИИ действительно полезен, но использовать его необходимо точечно – в тех областях, где это позволит упростить внедрение ПО, автоматизировать рутинные операции, а также сфокусировать внимание специалистов на ключевых проблемах организации и снизить влияние человеческого фактора на результативность работы. Об этом Андрей Арефьев рассказал в авторской колонке специально для портала CISOCLUB.
Норма для ИИ – поведение большинства
Чаще всего ИИ берет на себя максимально трудоемкие функции, которые ранее не могли быть выполнены людьми в полном объеме. В DLP-системах к таким задачам относится работа с большими данными. Тут можно задать себе вопрос о том, способен ли один человек уловить изменения в поведении 10 тысяч сотрудников, причем по более чем 200 параметрам? Сделать это вручную невозможно, а с помощью ИИ – вполне. А дальше уже следует работа специалистов – оценка данных, полученных от алгоритмов, финальный анализ ситуации и принятие управленческих решений.
Именно внимание к деталям является условием успешной работы служб информационной безопасности. Причем значение имеют как очевидные параметры, вроде времени прихода человека на работу, так и специфические вещи: изменение активности служебной переписки, частота использования внешних носителей информации или продолжительность телефонных разговоров.
Сложности определению типового поведения сотрудников добавляет и то, что оно может сильно отличаться в зависимости от отдела и сферы деятельности. Например, если для менеджера по продажам характерна активная переписка с внешними контрагентами, то программисты в большинстве случаев ограничиваются внутренними коммуникациями. Поэтому, если один из них вдруг начнет активно отправлять сообщения на внешние адреса, то система это зафиксирует и подаст сигнал специалисту ИБ.
Разумеется, это не будет автоматически означать, что человек представляет угрозу и, например, сливает какое-то ваше ноу-хау конкурентам. Возможно, он просто подключился к партнерскому проекту и общается по рабочим задачам с представителями другой компании. Причин может быть множество, но такая информация нуждается в дополнительной проверке, поскольку цена бездействия здесь может быть слишком высока. Например, в начале 2024 этого года американская торговая компания Jane Street серьезно пострадала от действий двух своих сотрудников, которые передали информацию о маркетинговой стратегии конкурентам Millennium Management, а затем перешли к ним работать. В результате Jane Street потерпела фиаско на рынке и ее прибыль упала вдвое.
При этом важно, чтобы DLP – система в своей работе была способна адаптироваться к реальной ситуации в компании и действовать нешаблонно. Приведу пример из практики работы нашего модуля InfoWatch Prediction для предиктивной аналитики данных DLP-системы InfoWatch Traffic Monitor. InfoWatch Prediction работает на основе технологий искусственного интеллекта и позволяет специалисту ИБ находить готовящиеся или скрыто протекающие нарушения, уделяя работе с системой всего по 30 минут в день. Это позволяет предотвращать до 70% инцидентов. Решение оценивает поведение пользователей больше чем по двум сотням параметров и предупреждает об угрозах. Для корректного выявления аномалий в качестве эталона система принимает не абстрактные (и чаще всего очень субъективные) представления о поведении человека определенного рода деятельности, а то, как себя в действительности ведет большинство его коллег в конкретном коллективе, как вел себя сотрудник до и как ведет себя сейчас. Как показывает практика, это самый эффективный путь установки отправных точек для анализа, который приносит практический результат сразу же после начала использования.
Универсальность – через адаптацию
Не менее важная задача ИИ – это адаптация стандартного ИБ-решения к работе в организациях, которые работают в разных сферах экономики и могут сильно отличаться друг от друга по специфике документооборота, без понимания которой DLP-система просто не сможет эффективно функционировать. Обычно для настройки ПО к ИБ-специалисту заказчика приходит консультант и спрашивает его о том, какие параметры необходимо отслеживать, а также просит показать примеры типичных документов компании – желательно, содержащих специфические отраслевые термины. Затем он самостоятельно анализирует эту информацию, находит в ней ключевые слова и типичные графические объекты, а на финальном этапе вносит их в систему. Недостаток этого способа состоит в том, что общение с клиентом, обработка информации и ее ручное внесение требуют определенного времени. А когда бизнес-процессы в компании поменяются или изменится формат документов, всю процедуру придется повторять заново. И так нужно будет делать все время, чтобы поддерживать систему безопасности в актуальном состоянии.
Для решения этой задачи в InfoWatch Traffic Monitor мы используем технологию ИИ, которая в автоматическом режиме «ловит» все потоки данных в компании и кластеризует их по смыслу, создавая группы документов – например, «финансовые», «резюме», «чертежи», «фотографии» и т.д. После этого система обучается на тех целевых кластерах, которые нужно контролировать заказчику, и получает возможность отслеживать все относящиеся к ним документы и даже их фрагменты в информационных потоках, в том числе, замаскированные и сфотографированные.
Бизнес – динамичная история, поэтому каждой модели нужно постоянно дообучаться, чтобы отслеживать изменения в процессах компании. В случае ИИ-решения внутри InfoWatch Traffic Monitor модель обновляется самостоятельно и дообучается на основе новых документов, которые она также распределяет по кластерам и учитывает при мониторинге. Еще один плюс подобных решений на базе ИИ – за счет автоматизации заказчику не нужно передавать примеры своих документов для настройки DLP, которые могут содержать конфиденциальную, а в некоторых случаях даже секретную информацию.
Где что лежит
Технологии машинного обучения также удобно использовать для аудита хранения данных и выявления проблем, которые в дальнейшем могут стать причиной утечек информации. На примере модуля InfoWatch Data Discovery работа ИИ-решения выглядит следующим образом: на первом этапе работы он распознает найденные документы и превращает их содержимое в текст, затем на стадии кластеризации содержимое документа интерпретируется системой и происходит оценка легитимности его расположения в той области, где он был найден. Например, если файл находился в той папке хранилища, где его могли найти пользователи без соответствующих прав доступа, система проинформирует офицеров безопасности о необходимости устранения этой проблемы. Без использования ИИ, с помощью ручного труда специалиста, такую работу проделать просто невозможно, особенно если говорить о крупной организации.
Ловить на слове
Если говорить о дальнейших перспективах применения ИИ в ИБ, то стоит обратить внимание на технологии распознавания речи и перевода ее в текстовый формат для дальнейшего анализа DLP-системой наравне с другими материалами. Таким образом офицеры безопасности в скором времени начнут получать предупреждения о появлении слов-маркеров в переговорах персонала, которые могут сигнализировать об опасности возникновения инцидентов. Это позволит предотвращать их на самых ранних стадиях и избегать различных рисков и ущерба.
Мы в InfoWatch следим за трендами и работаем над собственной технологией распознавания речи на базе открытых моделей speech-to-text. Расскажем об этом решении, а также о других актуальных разработках в области ИБ, на технологической сессии ежегодного XVII BIS Summit 2024, который пройдет 19 сентября 2024 года в Москве.
Оригинал публикации на сайте CISOCLUB: "ИИ в информационной безопасности: что можно доверить алгоритмам?".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
