Машинное обучение и искусственный интеллект – основы будущих систем интеллектуальной защиты

Долгое время лучшим решением для защиты корпоративной инфраструктуры считалось размещение на сетевом периметре пассивных устройств безопасности, срабатывающих при выявлении угроз. Хотя технологии не стояли на месте и совершенствовались, основной принцип оставался прежним, и до сих пор многие компании выбирают именно такой подход.

Однако угрозы за последние годы сильно изменились, стали значительно изощреннее. Начали применяться методы, нацеленные на уход от обнаружения. Угрозы научились скрываться за легальным ПО, маскировать свои данные под легитимный трафик и даже отключать сетевые средства защиты. 

Работа практически любого применяемого сегодня устройства защиты основана на использовании дополнительных данных, получаемых извне. Это могут быть регулярные обновления кода или наборы новых сигнатур, алгоритмы обнаружения или сведения о свежих угрозах. При отсутствии такого канала ценность инструмента быстро теряется, потому что злоумышленники активно изменяют и совершенствуют стратегию и тактику своих атак. Для защиты от угроз уже недостаточно только высокого уровня проработки устройства безопасности. Не менее важны экспертиза команды исследователей, поддерживающих разработку вендора, и предоставляемая ими дополнительная информация, ее полнота и точность.

Согласно отчету Cost of Data Breach Report за 2018 год, подготовленному Ponemon Institute, среднее время обнаружения факта нарушения сетевого периметра составляет 266 дней, среднее время выявления подмены или кражи информации – 197 дней, средняя продолжительность устранения нарушения – 69 дней от момента его выявления. Задержка ответной реакции получается слишком большой, и во многом это объясняется недостаточной экспертизой в отношении возникающих угроз.

Ценность экспертизы зависит от разных факторов. Например, от полноты информации, собираемой поставщиком устройства. Количество установленных датчиков, места их размещения, характер собираемой информации – все это критически важно для получения качественного результата. Большое значение имеет также количество исследователей, вовлеченных в анализ собранных данных или возникшей проблемы. При накоплении больших объемов информации существенную роль играет использование искусственных нейросетей, помогающих ускорить выявление и оценку угроз, которые не попали в поле зрения аналитиков.

В то же время дальновидные руководители понимают, что для обнаружения криминальной активности нельзя полагаться исключительно на данные, предоставляемые вендорами используемых систем защиты. При внутренних расследованиях они задействуют также информацию из других источников. Они понимают, что установленная система защиты и собранные ее производителем данные имеют ограничения, поэтому нельзя обходиться только одним решением. 

Это понимают и вендоры, которые не ограничивают свою стратегию лишь сегодняшним днем. Поэтому, в частности, компания Fortinet вошла в число участников альянса Cyber Threat Alliance. Такой подход гарантирует ее исследователям доступ к различным источникам данных, помогает повысить точность срабатывания применяемого интеллектуального механизма выявления угроз.

Но нельзя фокусироваться только на сборе необработанных данных. Необходимо также обеспечить удобство их предоставления. Идеальный вариант – когда данные можно легко интегрировать в применяемые инструменты защиты. Но обычно прежде, чем полученные данные можно использовать, требуется определенным образом их обработать. Поэтому нужно заранее задуматься о подборе конвертора.

Компаниям не следует ограничиваться только внешней экспертизой вендоров. Важно организовать собственный сбор данных об угрозах, их сопоставление и анализ. Главная трудность на этом пути заключается в том, что большинство используемых средств защиты работают изолированно. Они умеют собирать большие объемы данных в журналах, дают подробные отчеты. Однако обмен этими данными с другими инструментами защиты и сопоставление собранной информации оказывается непростым. 

Если межсетевой экран нового поколения (Next-Generation Firewall, NGFW) не умеет «общаться» с брандмауэром для интернет-приложений (Web Application Firewall, WAF) или шлюзом безопасности электронной почты (Secure Email Gateway), то от внимания исследователей может ускользнуть важная часть информации, относящаяся к работе этих инструментов. Поэтому часто приходится работать вручную, сверяя файлы журналов и отчеты, предоставленные различными инструментами. В такой ситуации легко не заметить важные детали, свидетельствующие о том или ином риске или нарушении.

Как минимум необходимо добиваться того, чтобы используемые инструменты защиты могли собирать данные об угрозах, обмениваться ими между собой и сопоставлять. Тогда можно быстро выявлять возникающие проблемы и с помощью тех же инструментов скоординированно реагировать на инциденты. Кроме того, должна существовать возможность обмениваться аналитикой и исходными данными, чтобы сопоставлять их с информацией от других сегментов распределенной сети, включая программно определяемые магистральные сети (SD-WAN), периферийные сети на распределенных предприятиях (SD-Branch), мобильных пользователей и IoT-устройства, а также сегменты мультиоблачной среды.

SIEM-инструменты могут играть важную роль для сбора и сопоставления информации об угрозах, получаемой из самых разных источников. Они помогут также координировать меры эффективного противодействия выявленным угрозам. В конечном счете, из всех этих элементов может быть выстроена среда NOC/SOC, которая позволит детально сопоставлять и анализировать сетевую активность для выявления в ней опасных признаков.

Возможности современных систем обеспечения безопасности еще довольно ограниченны. На их место придут системы машинного обучения, которые, получая необходимые исходные данные и проводя по ним обучение, смогут выявлять признаки угроз и предоставлять инструкции для противодействия и защиты. Работая вместе с ИИ, такие системы смогут предугадывать дальнейшие действия злоумышленника и автоматически лишать его возможности делать свое дело. Кроме того, они смогут прогнозировать угрозы и указывать место, откуда может начаться атака, позволяя заранее принять ответные меры.

Такие системы должны отвечать двум требованиям. Во-первых, устройства защиты должны быть способны не только собирать и анализировать данные, но и автономно выполнять необходимые действия. Это позволит своевременно реагировать на атаки. Во-вторых, собранная информация должна быть доступна центральной системе, которая будет осуществлять дополнительный анализ данных для уточнения совершаемых действий и их усиления. Это даст возможность эффективно координировать поступающие предупреждения об угрозах и предпринимать ответные шаги в масштабах всей сети.

Наконец мы дошли до самого важного элемента создаваемой системы защиты, значение которого трудно переоценить. Если мы действительно хотим идти на шаг впереди киберпреступников, нацеленных на разрушение легитимных бизнес-систем, то потребуется организовать обмен информацией, который будет охватывать все существующие уровни – от отдельных предприятий до многовендорных альянсов, таких как Cyber Threat Alliance. 

Экспертизу, накопленную внутри компаний, можно применять не только для защиты корпоративной сети, но и для обеспечения безопасности других сетей, а также для развития экспертизы ИИ и иных механизмов. Поэтому компаниям как минимум следует рассмотреть для себя возможность присоединения, например, к одному из отраслевых или региональных объединений организации Information Sharing and Analysis Center для обмена данными, а также установления обратной связи с вендорами используемых систем защиты, что поможет им совершенствовать свои технологии.

По мере углубления цифровой трансформации будут меняться и бизнес, и сети. Потребуется создать надежную проактивную систему интеллектуальной защиты от угроз безопасности. Она будет формироваться из разных элементов и будет встроена в архитектуру самой сети. Благодаря такому подходу элементы сетевой безопасности будут автоматически реконфигурироваться и динамически реагировать на сиюминутные изменения даже в самых сложных, распределенных сетевых конфигурациях. 

Подготовка к переходу на новое поколение систем сетевой защиты уже началась. Сегодня она связана со строительством глубоко эшелонированной платформы безопасности и интеграцией ее элементов. Она будет работать как единый, бесшовный механизм и придет на смену системе защиты, построенной на базе отдельных физических и виртуальных устройств.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!