Positive Technologies: в 55% защитных мер от киберугроз возможно применение ИИ

Искусственный интеллект может использоваться в средствах защиты информации для покрытия всех этапов атаки: предупреждения, обнаружения, реагирования

Positive Technologies провела исследование об основных областях применения искусственного интеллекта (ИИ) в кибербезопасности¹. Согласно отчету, более чем в половине техник и тактик киберзащиты, представленных в матрице MITRE D3FEND², возможно использование ИИ. Сегодня 28% защитных мер уже могут осуществляться с помощью данной технологии, а в 27% подобные решения находятся на разной стадии разработки.

С помощью искусственного интеллекта сторона защиты может заранее определять, прогнозировать и предупреждать актуальные киберугрозы. Например, ИИ помогает защищаться от потенциальных утечек конфиденциальных данных, распознавая чувствительную информацию в документах и гибко корректируя их содержимое в зависимости от задачи и уровня допуска пользователя. Кроме того, технологии искусственного интеллекта могут быть применены для автоматического тестирования защищенности: например, в PT Dephaze генеративный ИИ помогает подбирать наиболее вероятные пароли для конкретной цели, анализировать текстовые файлы и формировать итоговый отчет.

Сегодня наиболее активно искусственный интеллект используется при обнаружении киберугроз, например, для анализа пользовательского поведения, сетевого трафика и данных об исполняемых файлах. Эксперты ожидают, что в будущем ИИ будет помогать в сборе информации о сети, поиске и учете сервисов и ПО, неизвестных ИТ- и ИБ-подразделениям. А поддерживать данные об ИТ-инфраструктуре в актуальном состоянии компаниям уже сейчас позволяют продукты для управления уязвимостями (MaxPatrol VM). Планируется, что ИИ сможет, например, более реалистично имитировать работу пользователя или системы и генерировать другие ловушки для злоумышленников, а также вести постоянную «биометрическую аутентификацию», то есть удостоверяться, что за компьютером работает конкретный человек.

Одно из главных преимуществ искусственного интеллекта в кибербезопасности — возможность выявлять ранее неизвестные угрозы. Так, средство поведенческого анализа в PT Sandbox и ML-помощник BAD (Behavioral Anomaly Detection) в MaxPatrol SIEM неоднократно демонстрировали такую способность. Анализируя появление аномалий и потенциально опасных паттернов действий, ML помогает обнаруживать эксплуатацию уязвимостей нулевого дня и работу неизвестного ВПО.

Также ИИ значительно ускоряет принятие решений по инцидентам, предоставляя специалистам дополнительный контекст: объясняет сработки систем безопасности и дает советы. Кроме того, система автоматически формирует сценарий реагирования, предоставляя возможность быстро остановить атаку с различными вариантами участия и контроля со стороны эксперта. Такой подход используется в работе метапродукта MaxPatrol O2.

Тем не менее применение искусственного интеллекта в кибербезопасности встречает и ряд сложностей, нуждается в качественных обучающих данных и работе высококлассных экспертов. Внедряемые ИИ-модули не только помогают защищаться от киберпреступников, но и сами представляют потенциальную цель для атак злоумышленников. Рекомендуем ответственно подходить к разработке и внедрению новых технологий, учитывая риски и угрозы, и помнить об общих рекомендациях для обеспечения личной и корпоративной кибербезопасности.

1. Цель исследования — оценить покрытие средств информационной безопасности технологией искусственного интеллекта (и технологиями машинного обучения, в частности). Для этого эксперты Positive Technologies проанализировали матрицу MITRE D3FEND и на тепловой карте выделили, в каких тактиках и техниках защиты уже применяется или может применяться в будущем ИИ.
2. MITRE D3FEND — это граф знаний, поддерживаемый корпорацией MITRE и разработанный для систематизации защитных методов в кибербезопасности.