ENGШандор Балинт — руководитель отдела защиты прикладных задач компании Balabit
Только когда компания сталкивается с тяжелыми последствиями киберпреступлений, топ-менеджеры задумываются, что для борьбы против продвинутых методов взлома требуется нечто большее, чем человеческая интуиция. Могут ли новые достижения в области машинного обучения и искусственного интеллекта (ИИ) заменить необходимость человеческого вмешательства в процесс идентификации продвинутых угроз? Смогут ли автономные машины бороться с угрозами сами по себе, без человеческого участия?
С помощью ИИ увеличится скорость обнаружения угроз, выявления проблем, атак, алгоритмов и аномалий, на поиск которых он изначально не запрограммирован. Машины можно запрограммировать на обнаружение «неизвестного неизвестного», и это позволит службам безопасности быть на шаг впереди.
Когда дело касается обнаружения реальных угроз, контекст имеет решающее значение: нужно человеческое вмешательство, чтобы прочесть скрытые коммуникации, намерения, причины и мотивы. Этот симбиоз человеческого понимания и возможностей компьютера по обработке и сопоставлению данных дает наилучший эффект, чтобы пролить свет на ранее неизвестные угрозы и на те слабые стороны, которым не придавали значения.
Путь в неизвестное
Управление безопасностью прежде всего подразумевает управление рисками. Нельзя остановить каждую угрозу, но с помощью информации и интеллекта возможно удерживать риски на допустимом уровне. Чтобы этого достичь, нужно выяснить, что происходит в сетевом окружении, происходит ли что-то необычное — и если есть, то что именно, и почему оно не было ранее проанализировано, и несет ли оно риски (и если да, то что с этим делать).
В вопросах безопасности управление рисками — это обработка исходных данных в применимые знания, ссылаясь на которые, можно совершить правильные действия. Только обладая информацией, мы можем узнать, что нам на самом деле угрожает. С одной стороны, можно столкнуться с явными угрозами, например, определенные действиями, которые несут потенциальную опасность (уведомления вируса-вымогателя или известные паттерны вредоносного ПО). Но, с другой стороны, существуют и слепые зоны: с ними мы сталкиваемся, если нет всех необходимых данных, либо эти данные есть, но нет инструментов для анализа и нельзя выявить значимые корреляции. Большая часть вопроса борьбы против киберпреступности — понимание ранее неизвестного, например, непредвиденных изменений, угроз или рисков, которые, как казалось, нас не касаются.
Здесь мы попадаем в мир «неизвестных». Как нам управлять рисками, когда мы не знаем, что собой представляет угроза?
Кроме того, администраторы часто страдают от перегрузки информацией. Площадь атак увеличивается, все больше устройств нуждаются в защите, все больше становится локальных и облачных данных, и мы начинаем использовать больше инструментов безопасности и приложений для сбора информации. ИБ-специалисты могут запутаться в таком объеме данных и сделать неверные выводы, тем самым, порой даже не осознавая этого, они идут на риск.
Человеческий фактор
Прогресс в машинном обучении помогает идентифицировать неизвестные ранее риски и отклонения от нормы. Искусственный интеллект с большей скоростью обрабатывает массивы данных и обнаруживает продвинутые угрозы, используя алгоритмы для прогнозирования поведения. Компьютерные способности больше подходят для выполнения рутинных задач, поскольку люди обладают различным набором навыков, пониманием и эмпатией, могут различать намерения и предвидеть последствия, на что компьютер попросту не способен. Человеческий разум лучше справляется в нестандартных ситуациях.
В этом заключается ключевая разница между компьютером и человеком. Компьютер действует по алгоритмам и способен выявлять причины, только если получил команду. Обладающие навыками люди могут распознать причины и намерения, даже если никогда ранее не сталкивались с алгоритмом, который указывает на злоумышленное поведение. Как сказал Ли Хэдлингтон, профессор, киберпсихолог университета Де Монтфорт, человеческий элемент незаменим в любой компьютерной системе, особенно когда дело касается окончательного решения. Люди чувствуют себя некомфортно, когда решения за них принимает компьютер. Вовсе не обязательно, что люди думают лучше компьютера, но большинство людей все еще тем не доверяет.
Нам предстоит как следует поработать над усилением своих слабых сторон и понять предел возможностей людей и компьютеров. Важные решения должны принимать конкретные сотрудники, в большей степени это касается инцидентов безопасности, значит, компаниям следует инвестировать в навыки персонала, чтобы они лучше справлялись с интерпретацией данных. Нужно использовать изобретательность человека, чтобы улучшить системы и процессы. С помощью креативности людей мы можем более критически относиться к данным, предварительно обработанным компьютером. Нам следует инвестировать в лучшие из доступных инструментов безопасности и автоматизировать то, что должно быть автоматизировано.
В конце концов, компьютер не способен заменить человека в вопросах кибербезопасности, но искусственный интеллект дает возможность сфокусировать ресурсы на действиях, которые имеют значение в борьбе с киберпреступностью.
