ИИ в кибербезопасности: необходимость или модный тренд

В России компании и госструктуры год от года все активнее внедряют ИИ-решения для защиты от постоянно усложняющихся киберугроз. Этот тренд характерен для всего мира. Однако существует вопрос: технологии искусственного интеллекта – это реальная необходимость или дань моде? IT Speaker попытался найти ответ.

ИИ как основа проактивной защиты

Важно начать с того, что мировой рынок ИИ в ИБ-сфере измеряется десятками миллиардов долларов. Аналитики прогнозируют продолжение активного роста в геометрической прогрессии, при этом можно выделить отдельные драйверы:

Проактивное обнаружение и реагирование. Системы на базе ИИ, в частности машинного обучения (ML), могут анализировать огромные массивы данных (сетевой трафик, поведение пользователей и т.д.) в режиме реального времени. Это позволяет выявлять аномалии и неизвестные ранее угрозы, которые пропускают традиционные методы защиты.

Автоматизация рутины. ИИ-инструменты берут на себя задачи по первичной сортировке инцидентов, анализу угроз и даже автоматическому реагированию, что позволяет аналитикам-людям сосредоточиться на более сложных и критических задачах.

Управление уязвимостями и анализ рисков. Помимо условно механических задач ИИ используется для предиктивного анализа. Нейросети прогнозируют, какие активы компании с большей вероятностью станут целью атаки, и помогают приоритизировать усилия по их защите.

Чем внедрение ИИ в России отличается от мирового контекста

Главным отличием можно назвать активное вовлечение государства. Об этом говорит федеральная программа «Цифровая экономика» и Национальная стратегия развития искусственного интеллекта до 2030 года.

Чем это вызвано? Вовлечение государства связано как со стремлением к технологическому суверенитету, так и с необходимостью защиты критической информационной инфраструктуры в условиях геополитической напряженности. С каждым годом политически мотивированных атак становится только больше.

В то же время отечественный рынок характеризует относительно сдержанное внедрение ИИ в корпоративном ИБ-секторе. В то время как на глобальном уровне данное направление стало мейнстримом, в российском корпоративном секторе (за исключением крупных технологических и финансовых компаний) наблюдается более осторожный подход. Это может быть связано как с высокой стоимостью зрелых решений, так и с нехваткой квалифицированных кадров для их эксплуатации.

Безопасность насущная

Несмотря на активный маркетинг и порой завышенные ожидания, применение ИИ в кибербезопасности – это однозначно не дань моде, а объективная необходимость, о чем говорят исследования. Причины этого фундаментальны:

Асимметрия атаки и защиты. Хакеры сами успешно используют автоматизацию и ИИ для масштабирования и усложнения атак. Защищаться от подобных угроз без помощи аналогичных по классу технологий крайне сложно. Или даже невозможно.

Объем данных. Современные ИТ-инфраструктуры генерируют колоссальные объемы данных. Человек-аналитик физически не в состоянии обработать этот поток для обнаружения скрытых угроз, поэтому ИИ успешно используется в данном направлении.

Тем не менее, важно сохранять трезвый взгляд на возможности технологии. Их эффективность напрямую зависит от качества данных, на которых он обучается, и от экспертизы специалистов, на чьих плечах лежат задачи по настройке и интерпретации результатов. Аналитики указывают сразу на ряд проблем:

1. Ложные срабатывания (False Positives) ИИ может ошибочно принимать разрешенные действия за угрозу, создавая дополнительную нагрузку на аналитиков.

2. «Отравление» данных (Data Poisoning) Один из векторов атак, в рамках которого злоумышленники целенаправленно «скармливают» ИИ-системе ложные данные, чтобы «ослепить» ее перед реальной атакой.

3. Нехватка прозрачности Некоторые модели машинного обучения работают по принципу «черного ящика», что затрудняет понимание, почему система приняла то или иное решение. Данный принцип подразумевает изучение системы или информации путем анализа ее входа и выхода, не вдаваясь в детали ее внутренней структуры и механизмов.

   Вас может заинтересовать: 

   В сеть утекли 39 млн записей с персданными россиян
   

Что думают представители ИБ-сферы

О своем активном применении ИИ рассказали в ГК «Гарда». Однако в компании уточняют: это не в угоду «современному хайпу, когда все мчатся внедрять в состав своих решений большие языковые модели».

«Как любая технологическая компания, мы используем ИИ, но в рамках так называемого "плато реальной эффективности" – для выявления аномалий в сетевом трафике, разбора большого количества срабатываний детектирующей логики, обхода обфускации вредоносного кода и в иных подобных реально прикладных задачах. К генеративным моделям тоже, тем не менее, присматриваемся, но применять их начнем не ранее, чем поймем место приложения, где они принесут реальную пользу, а не исключительно генерирующую инфоповод», – заявил директор по стратегическим альянсам и взаимодействию с органами государственной власти группы компаний «Гарда» Павел Кузнецов.

Эксперт не отрицает и сложностей: внедрение ИИ требует внимательности и экспертности сотрудников.

«Применять следует лишь проверенные модели, желательно собственной разработки. Как минимум отечественные в полном смысле. Доверять принятие финальных решений в ИБ так называемому искусственному интеллекту на текущий момент преждевременно, а в случае с моделями зарубежной разработки это время едва ли наступит», – подчеркнул Кузнецов.