Проект "ИТ-Защита"

Артамонов В. А., Артамонова Е. В.

ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ И БЕЗОПАСНОСТЬ: ПРОБЛЕМЫ, ЗАБЛУЖДЕНИЯ, РЕАЛЬНОСТЬ И БУДУЩЕЕ

            Ключевые слова: информационно-коммуникационные технологии (ИКТ), математическая теория вычислений, искусственный интеллект (ИИ), машинное обучение (МО), нейронные сети, большие данные (big data), интернет вещей (IoT), закон Мура, компьютерные шахматы, игра ГО, распознавание речи и образов, технологическая сингулярность, постчеловеческий мир, угрозы ИИ, цифровой колониализм, парадоксы теории множеств, гипотеза континуума, кибербезопасность.

Искусственный интеллект и кибербезопасность

Работа в киберпространстве и отслеживание постоянно возникающих киберугроз требует большого количества высококвалифицированных специалистов. Искусственный интеллект также мог бы взять часть их работы на себя, поскольку значительно быстрее может находить уязвимости и генерировать коды и машинные алгоритмы. Выявление угроз и уязвимостей достигло огромных масштабов и становится проблемой для средств защиты периметров и данных систем ИКТ, контролируемых человеком. Кибератаки становятся намного более сложными и очень разрушительными, а также возрастают риски попадания таких опасных технологий в руки злоумышленников и конкурентов.

В связи с бурным развитием интернета вещей (IoT), «облачных вычислений», центров обработки данных (ЦОД) и соответственно технологий обработки «больших данных» (big data) произошла смена парадигмы информационной безопасности (ИБ) —  от защиты периметра корпоративной сети, «облака» или ЦОДа к защите самих данных. Традиционно для безопасного доступа к ресурсам или объектам информационных технологий используются виртуальные частные сети (VPN) в качестве туннеля на базе криптографических методов защиты информации. Но использование исключительно VPN сопряжено с риском для безопасности.  Проблема заключается в том, что VPN использует подход к безопасности на основе периметра. Пользователи подключаются через VPN-клиент, но оказавшись внутри периметра, они часто получают широкий доступ к информационным ресурсам и управлению объектом. Каждый раз, когда устройство или пользователь автоматически получает такое доверие, это создает угрозу для данных, приложений и интеллектуальной собственности организации. Помимо проблем, связанных с использованием VPN для удаленного доступа, сетевые операторы ищут оптимальный способ защиты приложений. То, что часть приложений размещены в облаке, а часть — локально, затрудняет предоставление общего метода контроля и его применение, особенно когда одни пользователи работают в офисе, а другие — удаленно. Развертывание приложений в облаке создает возможность зондирования со стороны нежелательных субъектов, что существенно повышает риск. Выход из этой ситуации предлагается в использовании новой технологии выхода за пределы VPN — доступ с нулевым доверием (ZTNA), который с использованием ИИ и МО предлагает более эффективное решение для удаленного доступа, которое также решает проблемы, связанные с доступом к приложениям. Термин «нулевое доверие» следует понимать в буквальном смысле. Данная модель обеспечения безопасности предполагает, что ни один пользователь или устройство не считаются надежными, и ни одна транзакция не заслуживает доверия без предварительной проверки авторизации пользователя и устройства. Поскольку ZTNA исходит из идеи, что местоположение не подразумевает никакого уровня доверия, место работы пользователя перестает иметь значение. Этот подход с нулевым доверием применяется независимо от того, где физически находится пользователь или устройство. Поскольку любое устройство потенциально может быть заражено, и любой пользователь способен на вредоносное поведение, политика доступа ZTNA отражает эту реальность. В отличие от традиционного VPN-туннеля с неограниченным доступом, ZTNA предоставляет доступ каждому приложению и рабочему процессу на сеанс только после аутентификации пользователя и/или устройства. Прежде чем получить доступ, пользователи проходят верификацию и аутентификацию для доступа к приложению. Каждое устройство также проверяется при каждом доступе к приложению для обеспечения соответствия требованиям политики доступа к приложению. При авторизации используется различная контекстная информация, такая как роль пользователя, тип устройства, соответствие устройства требованиям, местоположение, время и способ подключения устройства или пользователя к сети или ресурсу.  Если используется технология ZTNA, то после того, как пользователь указал соответствующие учетные данные, необходимые для многофакторной аутентификации и проверки конечной точки, и подключился, ему предоставляется доступ с ограниченными полномочиями. Пользователь может получить доступ только к тем приложениям, которые ему необходимы для эффективного выполнения своей работы, и ни к чему другому. Контроль доступа не заканчивается на точке доступа. ZTNA работает в контексте идентификации, а не защищает участок сети, что позволяет политикам безопасности (ПБ) отслеживать приложения и другие транзакции от начала до конца. Благодаря высокому уровню контроля доступа ZTNA является более эффективным решением для конечных пользователей и обеспечивает применение ПБ везде, где это необходимо. И хотя процесс аутентификации ZTNA предоставляет точки проверки подлинности, в отличие от традиционной VPN, он не определяет, как эта аутентификация происходит. По мере внедрения новых решений аутентификации их можно легко добавлять в стратегию ZTNA. Новые решения проверки подлинности могут помочь устранить проблемы, связанные со слабыми или украденными паролями и учетными данными, решить проблемы, связанные с недостаточной безопасностью некоторых устройств Интернета вещей (IoT), или добавить дополнительные уровни проверки для доступа к конфиденциальной информации или важным ресурсам.

Обеспечение доступности объекта защиты является неотъемлемой частью обеспечения ИБ, поэтому системы мониторинга производительности и доступности являются обязательным инструментом при осуществлении мониторинга ИБ в ИТ-системах.
Системы мониторинга производительности могут использоваться как отдельно, так и являться одним из источников событий для системы управления событиями — SIEM (англ. – Security Information Event Management). Такие системы предназначены для отслеживания состояния функционирования разнообразных сервисов сети и ее узлов (серверов, сетевого оборудования, приложений и других), в том числе подсистем ИБ, на основе различных критериев производительности и доступности. В решениях применяются следующие основные методы контроля функционирования с точки зрения обеспечения доступности систем:

  • сбор и агрегация разнообразных данных, показателей и счетчиков об использовании аппаратных ресурсов системы, как правило посредством устанавливаемых агентов на контролируемых узлах или с использованием протокола SNMP (уровень потребления CPU, память, жестких дисков, сетевых адаптеров и других данных);
  • анализ и корреляция собранных данных для определения или упреждения достижения пороговых значений показателей производительности и доступности с целью реагирования или предотвращения нештатных ситуаций функционирования систем;
  • автоматизированное выполнение заранее запрограммированных тестов, выполняющих проверку функционирования различных параметров сервисов по заданному сценарию. Успешное выполнение таких тестовых сценариев позволяет подтверждать доступность сервисов и систем на различных уровнях;
  • автоматизированное реагирование системы в виде выполнения заданных скриптов, программ или задач при выявлении значимых отклонений показателей на этапе корреляции;
  • генерации оповещений (уведомлений) о выявленных отклонениях в производительности и доступности систем. Оповещение может, как выводиться на экран мониторинга интерфейса системы, так и направлено в различные каналы оповещений: по электронной почте, на GSM-шлюз, в системы обмена мгновенными сообщениями (например, jabber) и другие;
  • визуализация собираемых данных в виде диаграмм, помогающих идентифицировать аномалии или значимые отклонения, отличные от стандартного поведения систем. Так же визуализация включает в себя представление данных в виде отчетов;
  • хранение собранных данных в базе данных.

Так как целью нашей статьи является описание методов мониторинга информационной безопасности в части использования ИИ и МО, мы не будем подробно рассматривать данные системы мониторинга с точки зрения их архитектуры и особенностей функционирования.

Ещё одной технологией обеспечения кибербезопасности с широким использованием функций ИИ и МО является DLP. Эта аббревиатура на английском расшифровывается как Data Loss Prevention (предотвращение потери данных) или Data Leakage Prevention (предотвращение утечки данных). Чаще всего для продуктов этого класса используется именно это сокращение. Но встречаются другие. Если вам попадается аббревиатура ILP, ILDP, EPS или CMF, скорее всего речь тоже идет о системе безопасности, обеспечивающей защиту от утечек. DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется. В основе «интеллектуальных функций» DLP лежит технология так называемого контентного анализа, включающая:

   Поиск по ключевым словам и словарям. Предполагает поиск точных совпадений текстовых строк. При этом в текстовых строках могут использоваться спецсимволы, обозначающие группы символов. Не стоит путать поиск по ключевым словам с технологией лингвистического анализа, которая также имеется в DLP и учитывает различные словоформы. Офицер безопасности может создавать собственные словари под конкретные тематики или воспользоваться одним из предустановленных словарей.

 Машинное обучение. Собственно самообучающаяся технология DLP построена на основе алгоритма Байеса и метода опорных векторов. В процессе анализа различных документов технология самостоятельно выделяет признаки различных категорий конфиденциальных данных. Чем больше конфиденциальных документов увидит система на этапе обучения, тем выше будет её результативность в ежедневной работе.

 Цифровые отпечатки Docu Prints. Технология основана на сравнении перехваченной информации с образцами  конфиденциальных документов, в том числе оцифрованных документов по их характерным деталям на бланке. Технология особенно эффективна для контроля документов, объём которых значителен, а содержимое при использовании меняется незначительно. При этом DLP устойчива к модификациям исходных документов и максимально точно обнаруживает информацию, полностью или частично совпадающую с заданными конфиденциальными данными.                         

Анализ графических файлов (OCR). Технология распознаёт конфиденциальные данные, содержащиеся в скриншотах, фотографиях, отсканированных, рукописных и других графических документах. Интегрированные в DLP OCR-модули ABBYY FineReader и Google Tesseract извлекают из изображений текст для последующего анализа и проверки соответствия DLP-политикам безопасности.

            Графические отпечатки. Технология применяется для обнаружения таких элементов в графических файлах, как подписи, печати, бланки, а также изображения с определённой структурой, например, сканы паспортов или водительских прав. Искажения цветов, наклон изображения, перекрывающие элементы (например, надписи и фоновая графика на печати) не мешают распознаванию образов. Кроме шаблонов и регулярных выражений DLP обнаруживает передачу структурированной информации — паспортных данных, адресов, номеров кредитных карт, банковских счетов, URL-адресов, номеров телефона и других, а также любых типов данных по заданным регулярным выражениям.

Давайте сопоставим возможности этих двух последних нами рассматриваемых систем SIEM и DLP. Отметим, что одна система при этом не заменяет другую, они решают разные задачи. Простой пример: сотрудник несколько раз ввел неверный пароль. SIEM не только обнаружит эти действия, но и сопоставит факторы — сколько раз пароль введен неверно? в течение какого времени? Система выявит угрозу информационной безопасности — кто-то пытается подобрать пароль к учётным данным — и своевременно оповестит о ней. Тем не менее без глубокого анализа SIEM бесполезен.  DLP в свою очередь позволяет детализировать данные и выяснить подробности инцидента. Такой симбиоз SIEM и DLP в разы повышает уровень информационной защиты организации и упрощает работу службе безопасности.

Сейчас DLP-разработчики активно интегрируют свои решения с популярными SIEM-системами. Процесс только набирает обороты и говорить о конкретных результатах еще рано. Для пользователей интеграция своих данных в SIEM — процесс небыстрый, ведь недостаточно отдать сторонней системе данные, необходимо понять, какие конкретно задачи способна решать такая схема, как именно поможет такой союз. Потребуется еще не одна итерация, чтобы данная связка начала решать прикладные задачи — из всего невообразимого массива данных выбирать нужные и представлять из себя удобный и функциональный инструмент для решения реальных проблем, а не просто конструктор.

Однако в чем основная проблема большинства SIEM-систем и DLP? В том, что мало кто понимает, как использовать огромный массив собранной информации (Big Data). Работа с системой требует специальных знаний и навыков (Data Science), если их нет, то SIEM и DLP превращаются в дорогой и, практически, бесполезный для бизнеса инструмент. Потому задача разработчиков сделать так, чтобы симбиозная система была максимально дружелюбна к  МО и интуитивно понятна ИБ-специалистам.

Полный текст статьи см. в .pdf





Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:

Комментарии

Нет комментариев

Еще нет комментариев.

RSS лента комментариев к этой записи.

Извините, комментирование на данный момент закрыто.