Несколько лет назад машинное обучение включилось в соревнование цифровых копья и щита. В многолетнем сражении хакеров и безопасников нейросети помогают и тем, кто взламывает, и тем, кто защищает данные. Спросили у участников прошедшей в ноябре Российской недели кибербезопасности, чем AI помогает им прямо сейчас.
Дмитрий Овчинников
архитектор информационной безопасности и vCISO компании UserGate
— Сейчас в информационной безопасности есть два основных направления, в которых активно используется ИИ — поведенческая аналитика и автоматизация работы с помощью языковых моделей. В первом направлении ИИ обрабатывает большие массивы данных, выстраивает профиль пользователя или компьютера и быстрее находит отклонения от его работы. Такой подход может выявлять более широкий спектр кибератак и даже способен обнаружить атаки нулевого дня, то есть те, с которыми система раньше не сталкивалась. ИИ здесь позволяет лучше выявлять аномалии, но обладает минусом — при неточной модели количество ложноположительных инцидентов может быть очень большим. Устранить это можно хорошим набором данных, на которых учится модель, а также за счет использования нескольких моделей, которые будут проверять результат.
Второе серьезное направление для ИИ — это использование языковых моделей, LLM. Они позволяют оператору общаться с машиной на естественном языке, что значительно ускоряет работу и снимает много рутинных задач. Например, можно попросить цифрового агента сделать отчет, произвести выборку инцидентов, найти похожие инциденты или провести другую трудоемкую операцию с большими объемами информации. LLM здесь выступает в роли опытного секретаря-советчика, который никогда не отвлекается от работы и обладает поистине машинной дотошностью и внимательностью.
Самые подходящие для этого ИИ — это не знакомые нам чат-боты и сервисы, а те модели, которые были обучены профессионалами в области информационной безопасности. Специалисты-безопасники готовят фактуру и передают свой реальный опыт, а специалисты по ИИ настраивают модель для работы. В идеале, если ИИ потом дообучается на основе внутренних данных конечного заказчика — это поможет наиболее точно предсказывать правильные и релевантные результаты.
Естественно, не надо забывать о том, что ИИ — это технология, которую надо обслуживать. Купить один раз, поставить и забыть – такой сценарий использования маловероятен. Поэтому необходимо позаботиться о техническом сопровождении систем, где применяется ИИ.
О технологиях интернет-безопасности в автоиндустрии
Как известно, один из самых привлекательных для взломщиков компонентов любого автомобиля — особенно, электромобиля — это блок IVI (in-vehicle infotainment) – информационно-развлекательная система. Она дает нам возможность слушать музыку, смотреть видео, пользоваться wi-fi, USB, Bluetooth и проекцией на лобовом стекле. Но такое разнообразие функций увеличивает количество точек входа для атак: сейчас блок IVI занимает 1-2 места в рейтингах самых уязвимых компонент мира Automotive. Таким образом IVI становится удобной «дверью» для злоумышленника, который может через развлекательную систему скомпрометировать внутреннюю экосистему автомобиля.
В Атоме мы разработали систему, обеспечивающую дополнительный слой безопасности в автомобиле: Message Level Security. Здесь существует отдельный, независимый от других компьютеров, блок SGW (Security GateWay). Его основная задача — валидировать каждую команду, поступившую в автомобиль, определяя ее отправителя и его права на исполнение данной команды. Этот функционал реализован за счет подписей сообщений приватным ключом асимметричной пары. Каждый асимметричный приватный ключ, подписывающий сообщения, имеет публичный ключ с сертификатом, выпущенным в нашем собственном PKI. При проверке подписи валидируется как сертификат, так и сама подпись.