Искусственный интеллект для эффективной системы безопасности
Прикладывая пропуск к считывающему устройству на входе в офисное здание, мы редко задумываемся о том, что в этот же момент через проходную войдет еще десяток человек, что единовременно система контроля управления доступом (СКУД) считывает информацию с каждого пропуска, фиксирует факты перемещения через контрольные точки, разрешает либо отклоняет доступ, обрабатывает сотни запросов.
Однако подчас получают развитие опасные сценарии, от перехвата персональных данных для компрометации или создания клона до уничтожения информации из системы.
Традиционные инструменты защиты
В каждой организации есть множество систем, собирающих и обрабатывающих информацию, – серверы, автоматизированные рабочие места, сетевое оборудование, программное обеспечение с установленными средствами защиты. Специалисты информационной безопасности ежедневно работают с множеством программных и технических инструментов, которые непрерывно собирают логи со всех систем. Среди всего многообразия инструментов для защиты можно выделить следующие классы:
- DLP-системы, предотвращающие утечки информации из внутреннего периметра компании;
- IPS-/IDS-системы для обнаружения и предотвращения вторжений на уровне сети;
- комплексы WAF и межсетевые экраны, сканирующие сетевой трафик веб-приложений и блокирующие нелегитимный трафик;
- антиспам-системы для сканирования почтового трафика и защиты электронной почты от спама и вирусов;
- журналы событий серверов и рабочих станций для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности;
- антивирусное ПО – программы для обнаружения и профилактики вирусов в файловой или операционной системе, а также другие.
В целом эти инструменты справляются с локальными задачами. Но что делать, когда информации слишком много? Вручную поток разнородной информации не обработать, а предотвратить угрозы необходимо. В таком случае обработку данных берут на себя инструменты машинного интеллекта в комплексных системах анализа данных.
Давайте попробуем разобраться, какие методы интеллектуального анализа существуют в информационной безопасности и для чего они применяются.
Методы анализа данных в системе информационной безопасности
Самый простой метод – сопоставление данных, или классификация. К примеру, сотрудникам информационной безопасности необходимо сопоставить количество правильных и неправильных попыток ввода логина и пароля. Зачем? Чтобы сформировать диапазон показателя, считающийся нормой. Впоследствии на основе этого анализа действия пользователей делятся на классы, например, "некритичные", "подозрительные" и "критичные". Этот метод помогает выявлять факты попыток перебора паролей. Инструменты для формирования интеллектуального анализа создать несложно. Вся информация хранится в базах данных, и простой скрипт поможет нам отслеживать подозрительные моменты, зафиксированные системой.
Метод, при котором мы сверяем пару сопоставлений, сложнее и требует глубокого анализа. К примеру, специалистам информационной безопасности необходимо не только определить, сколько раз в сутки каждый сотрудник проходит через контрольную точку, но и провести сравнительный анализ с другими сотрудниками компании, чтобы вычислить среднюю норму по пропускным пунктам. Инструменты для такого анализа тоже несложно построить. В базе хранятся все данные, которые нужно правильно извлечь с помощью специализированного ПО или скриптов в автоматическом режиме. Уровень сложности скриптов растет вместе с требованием более глубокого анализа систем безопасности организации. Соответственно, методы такого анализа тоже пропорционально усложняются. Появляются такие методы, как кластеризация, ассоциация, последовательность, визуализация и др.
Один из самых сложных методов – прогнозная модель – предполагает построение потенциальных сценариев событий информационной безопасности. Прогнозная модель основывается на опыте сотрудников службы информационной безопасности, а инструментом для ее реализации является специализированное ПО. В каких случаях поможет этот метод? Например, для защиты от взлома личных аккаунтов. Каждый понимает, что человек физически не может ввести пароль 10 раз в течение трех секунд, не используя специализированные программы. Система распознает эти действия как попытку компрометации данных и ее блокирует. Однако возможен вариант, когда злоумышленник будет подбирать пароль каждые 15 минут по два раза. В этом случае зафиксировать попытку перебора практически невозможно. Необходим более глубокий анализ для интерпретации события, например, с помощью специализированного ПО, работающего на основе правил корреляций. Это и есть частный случай реализации прогнозных моделей.
Описанные методы вместе с другими инструментами используются в комплексных системах аналитики, например, SIEM-системах (Security Information and Event Management), которые агрегируют данные из всех ИБ-инструментов в организации и, таким образом, могут охватить наиболее уязвимые, незащищенные места в ПО – там, где заканчивается работа одного локального инструмента и начинается работа другого.
Как устроена умная комплексная защита
Когда SIEM-система получает данные из всех источников, она переводит их с языка машины на "человеческий" для последующего анализа и написания правил, учитывающих более глубокую проработку инцидентов. При срабатывании таких правил система моментально оповестит специалиста, и он сможет оперативно среагировать на инциденты информационной безопасности, а в будущем выстроить новые взаимосвязи между показателями. Так интеллектуальный машинный анализ помогает находить уникальную пользу в данных, которые производятся десятками различных систем защиты информации.
Можно сказать, что SIEM-система является средством интеллектуального анализа данных, которое позволяет агрегировать и анализировать данные, предоставлять консолидированные отчеты и статистику службе информационной безопасности, а также помогает выстраивать индивидуальную систему информационной безопасности в соответствии с особенностями организации и ее требованиями. Система интегрируется с инфраструктурой безопасности и позволяет сформировать единый центр оперативного гибкого реагирования на инциденты. Она дает возможность эффективно координировать поступающие предупреждения об угрозах, анализировать трафик со всех систем методами когнитивной аналитики и давать возможность специалистам предпринимать ответные шаги в масштабах всей сети при помощи единой консоли.
Необходимость ввести в эксплуатацию SIEM-систему определяется не количеством данных, генерируемых в организации, и даже не количеством сотрудников информационной безопасности, которые могут быть перегружены работой, а скорее экономической целесообразностью покупки такой системы. Прежде чем принимать решение, необходимо оценить потенциальный ущерб от угроз ИБ, которые можно устранить с помощью технологий интеллектуального анализа данных. Если высоки риски получить большие убытки или репутационные потери, инвестиции в SIEM оправданны. Кроме того, не стоит забывать, что система не даст результата без грамотного специалиста, умеющего с ней работать и хорошо знающего угрозы ИБ для компании. Поэтому закладывайте в бюджет дополнительные расходы. SIEM – это сильный инструмент, но важно сразу понимать, какую реальную пользу он может принести каждой конкретной организации.
Специалисты по информационной безопасности уже не нужны?
Интеллектуальный анализ востребован в системах безопасности отдельных предприятий, крупных транспортных узлов (в аэропортах, на вокзалах), а также в городских комплексных ИТ-системах. Но о полном переносе ИБ-задач с человека на искусственный интеллект и не может идти речи. Главной остается профессиональная экспертиза сотрудников. Без грамотной экспертной работы не получится составить даже самые примитивные скрипты и правила для анализа, не говоря уже о том, что после обработки машинным интеллектом их необходимо изучать и принимать решения. А этого не умеет делать ни одна машина. И если у вас нет высококлассных специалистов, покупку SIEM-системы можно считать неудачной инвестиций. Когда компания приобретает SIEM-систему, она должна не только понимать, для чего она ее приобретает, но и знать, как ее грамотно настроить.
Кроме того, правильно сформировать критерии для успешного решения проблем, стоящих перед организацией, не удастся сразу во время тестирования. Специфические параметры будут окончательно настроены только в процессе ежедневной эксплуатации.
Даже если вам кажется, что вы максимально точно настроили систему информационной безопасности, и ваша инфраструктура защищена на все 100%, не стоит думать, что это единовременная необходимость. Условия меняются как внутри компании, так и вовне, появляется множество новых угроз. Информационная безопасность – это не разовая акция, а продолжительный процесс, который должен идти в ногу со всей организацией.
Источник: Журнал Connect