Дмитрий Костров:. Поговорим об информационной безопасности в общем (кибербезопасности) (часть 4)

Дмитрий Костров, член Правления АРСИБ

Дмитрий Костров, член Правления АРСИБ

Современные подходы к кибербезопасности обычно включают в себя несколько традиционных уровней защиты, включая межсетевые экраны, антивирусы, системы предупреждения вторжения,  управление идентификацией и доступом, а также мониторинг событий (SIEM). Они конечно нужны, но их внедрение не сильно сократило время  обнаружения атаки. А иногда эти актуаторы могут  помочь разобрать как она успешно для злоумышленника атака прошла (что конечно тоже очень важно – можно на будущее шаблон составить). Существуют исследования стоимости утечки данных в 2018 году, проведенные Институтом Ponemon, которые показали, что среднее время, в течение которого организации могут обнаружить взлом -197 дней. Это ужас. Хотя изучив методику, могу сказать , что она спорная.

Данный институт много чего исследует, например  в исследовании прошлого сообщается, что глобальная средняя стоимость взлома данных выросла на 6,4 процента по сравнению с предыдущим годом и составила 3,86 миллиона долларов, а средняя стоимость каждой потерянной или украденной записи, содержащей конфиденциальную и конфиденциальную информацию, также увеличилась на 4,8 процента в годовом исчислении до 148 долларов США.

В принципе многие  (как и я ) уже давно пытались существующими средствами защиты и анализа на заре 21 века создать, что то позволяющее давать обработанную информацию об атаках, «вытаскивая» ее из логов систем защиты (различных). Даже был такой специальный монитор для руководства – «светофор». Если генеральный директор\заместитель по общим вопросам видел красный или желтый, то «легким движением руки» нажимаю на кнопку (drilldown) он получал высокоуровневую информацию, что же там за проблема. Но это больше были разработки не системные и «на коленке». Устанавливая высокий уровень логирования мы получали ворох (и большой) не структурированных данных. И тут ИИ нам помогает с ними разобраться, при правильном выборе модели и алгоритма обработки, с учетом и исторических данных, которые затирались ранее. Средства обеспечения кибербезопасности собирают огромные объемы данных и «бедный» аналитик кибербезопасности буквально тонет в них. Задача состоит в том, чтобы найти среди этого огромного количества данных так называемые IOCS (Indicators of Compromise), которые показывают существование реальной угрозы. Проблема состоит не только в том, чтобы найти что-то ненормальное\необычное, но и в том, чтобы отфильтровать множество ложных срабатываний, которые скрывают реальные угрозы.

Интерес вызывает направления , по которым надо выбрать алгоритм обработки, с учетом задач ИИ (на данное время): применение здравого смысла — человек применяет очень широкий перечень знаний к принятию решений, в то время как системы ИИ, как правило, очень узко сфокусированы и часто пытаются найти ответ на «глупые» с точки зрения человека вопросы;  доверительные выводы — им действительно можно доверять; ответственность за применение данных выводов,  за действия, основанные на выводах системы.

Взглянув на рынок, можно уже отметить существование нескольких продуктов с МО «на борту». ИИ, которое применяется для выявления аномалий. Это конечно полезно для снижения числа ложных срабатываний систем кибербезопасности, но не достаточно.  Эксперту по безопасности необходимы паттерны, которые помогут распознать уже известную атаку или возникающие (может ранее не описанных) атаки, для предотвращения их развития.  «Голубой гигант» утверждает, что их система IBM QRadar Advisor прошла обучение благодаря использованию более 10 миллиардов фрагментов структурированных данных и 1,24 миллиона неструктурированных документов для помощи в расследовании инцидентов безопасности. Анализ помогает составлять шаблоны типовых атак и помогать эксперту вовремя их обнаруживать. Это и делает применимым ИИ  реально.

Многие системы контроля \предотвращения утечек типа DLP также часто используют в своей работе шаблоны и\или обнаружение аномалий. DLP+AI = поможет не только получать сигнал об аномальном поведении подконтрольного, но и позволит просчитать шаги потенциального злоумышленника с возможность предотвратить атаку или понять, то это просто «эникейщик».

Добавить комментарий

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Цифровой девелопмент

Подробнее
Спецпроект

Машиностроительные предприятия инвестируют в ПО

Подробнее


Подпишитесь
на нашу рассылку