Сегодня поговорим об одной из самых востребованных и одновременно сложных тем в сфере кибербезопасности — применении искусственного интеллекта (ИИ). Почему этот вопрос столь актуален? Потому что, несмотря на огромный хайп вокруг ИИ, многие компании и эксперты отмечают серьёзные проблемы с практическим внедрением ИИ в защиту информационных систем. И именно об этом поговорим подробно.
Почему ИИ в кибербезопасности — не просто тренд, а необходимость
Искусственный интеллект давно перестал быть фантастикой и перекочевал в реальные рабочие процессы. Сегодня ИИ активно используется в самых разных областях, однако в информационной безопасности его внедрение идёт с заметным отставанием. На «тёмной стороне» — у злоумышленников — ИИ уже применяется достаточно активно, а «белым» защитникам не всегда хватает ресурсов и технологий, чтобы держать руку на пульсе.
Основная причина — отсутствие качественных датасетов, на которых можно обучать модели ИИ. Для работы любой модели нужны огромные объёмы данных, и у большинства российских компаний и разработчиков таких данных нет. В отличие от крупных игроков, вроде «Касперского» или операторов связи, которые имеют доступ к масштабным массивам информации о вредоносных атаках, мелкие и средние предприятия оказались в сложном положении.
Проблема датасетов и доверия к моделям ИИ
Без большого и качественного датасета невозможно построить надёжную модель, которая будет эффективно обнаруживать и анализировать киберугрозы. Однако задача сбора таких данных осложняется ещё и тем, что киберугрозы постоянно эволюционируют. Если в медицине снимки 100-летней давности и современные не сильно отличаются, то в кибербезопасности атаки меняются из месяца в месяц.
С большими языковыми моделями (Large Language Models, LLM) ситуация чуть проще — их можно взять из открытых источников и развернуть для своих задач. Но тут возникает другой вопрос: на чём была обучена эта модель и можно ли ей доверять? Как узнать, не «пропускает» ли она определённые атаки или не даёт ли слишком спорных рекомендаций? Полная прозрачность и контроль остаются недостижимыми.
Как решать проблему датасетов?
К сожалению, универсального рецепта нет. Лучшим выходом является создание и развитие собственных датасетов внутри компании, которая затем использует их как своего рода коммерческое ноу-хау и преимущество.
Вот несколько идей, которые помогают продвигаться вперёд:
- Использовать готовые корпуса по анализу текстов, в частности на русском языке, что актуально для борьбы с утечками и DLP-защитой.
- Собирать данные своими силами: например, делать снимки экранов под разными углами и с разных устройств для распознавания факта съёмки.
- Развивать сотрудничество внутри отрасли, чтобы создать более объёмные и разнообразные датасеты.
При этом даже если датасеты станут «commodity» — товаром, их полноценно поделиться просто так никто не захочет, так как они дают серьёзное конкурентное преимущество. Государство же пока оставляет вопрос обмена данными на усмотрение бизнеса, ограничиваясь лишь общей регуляторикой.
Разрыв между защитой и атаками — стоит ли бояться?
Страх, что в ближайшие годы атаки станут настолько мощными, что среднестатистическая компания перестанет справляться с ними, — распространён. Но ситуация не так однозначна.
Злоумышленники тоже сталкиваются с проблемой недостатка качественных данных для обучения своих моделей. Хотя у них уже появляются продвинутые инструменты для генерации фишинга и фейков с помощью ИИ, полноценного автономного ИИ-хакера, способного творчески создавать атаки, пока нет.
Сейчас в хакерских атаках ИИ в основном применяется для:
- Генерации персонализированного фишинга и поддельных материалов;
- Автоматизации рутинных задач, например, подбора паролей или создания инфраструктуры для атаки;
- Использования фреймворков, которые объединяют разных агентов-ботов с узкой специализацией.
Одновременно защитники компенсируют отсутствие полноценных ИИ решений традиционными технологиями — DNS- и next-gen фаерволами, системами обнаружения вредоносного поведения, обязательно с элементами ИИ для фильтрации и анализа.
Перспективы и риски появления «армии» ИИ-агентов
Будущее, в котором появятся целые автономные «кибер-армии» из ИИ-агентов, остаётся не за горами. Уже сейчас разрабатываются и тестируются комплексные системы из множества специализированных агентов, которые совместно готовят, осуществляют и анализируют атаки.
Однако пока это не редкие и высокотворческие хакеры, а скорее «джуны» и автоматизированные системы для массовых операций. При этом подобные технологии могут быть успешно использованы и для обороны.
Через пару лет, возможно, мы увидим кардинальные изменения в динамике киберпротивостояния благодаря таким системам, и здесь роль государства и крупных игроков будет решающей. Государственные структуры уже обладают большими ресурсами для обучения ИИ на масштабных данных.
Маркетинг или реальность? Что сейчас реально в ИИ для кибербезопасности?
Сейчас на рынке много маркетингового шума вокруг ИИ и суперпродуктов на его основе. Но за красивыми словами не всегда стоят действительно работающие решения.
Чтобы отличить настоящее от пустых фраз, стоит задать разработчику или поставщику конкретные вопросы:
- Какая архитектура модели используется?
- На каких данных она обучена?
- Можно ли адаптировать модель под ваши собственные датасеты?
Отдельные продукты действительно используют десятки моделей ИИ в комплексе для выявления сложных угроз, а не одну универсальную модель, которой без полного и качественного датасета не обойтись.
Нужна ли регуляторика в области ИИ в кибербезопасности?
Сейчас ситуация с законодательством вокруг ИИ неоднозначна. С одной стороны, государство пытается выработать стратегию развития искусственного интеллекта, но с другой — вводит ограничения, которые могут тормозить инновации.
Многие эксперты склоняются к тому, что регулировать ИИ в кибербезопасности нужно аккуратно и не спешить с жёсткими рамками, а дать технологиям и рынку время для естественного развития минимум на несколько лет.
При этом существующие законы предусмотрели механизм обмена обезличенными данными между госструктурами и бизнесом, но бюрократия и секретность зачастую мешают эффективному взаимодействию.
Итоги: что важно понимать и делать уже сейчас
- Наличие качественных датасетов — ключевое условие для успешного внедрения ИИ в кибербезопасность.
- ИИ уже в работе, но далеко не всегда с максимальной эффективностью, и между защитой и атакой сохраняется паритет проблем и вызовов.
- Следует внимательно подходить к выбору ИИ-решений, задавать правильные вопросы и не верить на слово маркетинговым заявлениям.
- Государство играет важную роль в развитии и регулировании рынка ИИ, но спешка с законами может навредить инновациям.
- Автоматизация и появление ИИ-агентов — это ближайшее будущее, и специалистам по безопасности важно быть готовыми к новым вызовам.
В заключение хочется подчеркнуть: искусственный интеллект — это мощный инструмент, но он не панацея. Настоящая безопасность строится на грамотном сочетании технологий, знаний и опыта. Будьте в курсе, задавайте вопросы и не позволяйте хайпу заслонить здравый смысл.