Rambler's Top100
Блоги Евгений ЦАРЕВ

SIEM по Массачусетски

  28 апреля 2016 Страница персоны

В Лаборатории Компьютерной Науки и Искусственного Интеллекта, принадлежащей MIT, разработали систему AI2.

Единственная техническая документация, которую мне удалось найти, доступна тут.

Суть системы в поиске, анализе и регистрации всех подозрительных событий. После того, как система провела анализ, администратор может проверить их на предмет наличия признаков атаки. Администратор отмечает события, которые атаками не являются, таким образом обеспечивает обучение системы.

По заверениям разработчиков, система оказывается дешевле и эффективнее классических систем, которые не используют ручную работу администратора.

Система может быть какой угодно, но вот маркетинг у научных работников вполне себе серьезный.

Важное значение имеет достижение баланса между работой человека и искусственного интеллекта. Полное доверие машинному анализу приведет к обнаружению странностей в коде, которые на самом деле не являются попытками взлома. С другой стороны, люди не могут осилить того объема работ, который необходим для обеспечения максимальной безопасности. AI2 является оптимальным сочетанием сотрудничества машины и человека. Даже само имя системы указывает на взаимодействие аналитической интуиции и достоинств искусственного интеллекта.

Работа AI2 помогает компании определить, что уже произошло в сфере кибербезопасности, и какие незамедлительные меры следует предпринять в связи с этим. Система отмечает любые типичные признаки хакерской атаки. Внезапный всплеск попыток входа на коммерческий сайт, например, может означать, что кто-то пытается взломать пароль. Резкие изменения в устройствах, подключенных к одному IP-адресу, предполагает кражу учетных данных.

Есть множество других автоматизированных систем, способных перелопатить гору данных в поисках подозрительной активности. Но только AI2 использует получаемую от аналитиков информацию, чтобы реально сократить объем проверяемых данных. Машинному интеллекту не хватает экспертных знаний для выполнения подобной работы в одиночку.

В исследовании, проведенном Калианом Веерамаханени, говорится: «Системе требуется некоторая контекстуальная информация». Именно в этом и заключается роль аналитиков, способных распознать внешние изменения, ставшие причиной отклонений. Вот пример: компании часто устраивают стресс-тестирование своей системы для оценки ожидаемых изменений в работе. Без человеческого участия искусственному интеллекту будет сложно отличить такой тест от реальной атаки. А система AI2 справится с заданием в течение нескольких недель.

Как человек и машина научились сотрудничать

«В первый день, когда мы только запустили систему, она ничем не отличалась от других подобных», — говорит Веерамаханени. «Но, вместо того, чтобы работать в одиночку, AI2 в течение одного дня указывает экспертам на 200 самых явных отклонений. Аналитики проводят анализ и предоставляют машине свой ответ, выявляя реальные угрозы. Система, в свою очередь, использует полученную от аналитиков информацию, для более точной настройки мониторинга. Чем дальше, тем меньше отклонений находит искусственный интеллект, улучшая свою способность распознавать настоящие атаки».

«В действительности, наибольшая экономия времени и усилий состоит в том, что аналитику приходится иметь дело лишь с 200 или даже 100 подозрительными событиями в день, что составляет лишь крошечный процент от всего, происходящего в системе», — говорит Веерамаханени.

И это не просто слова. Система AI2 оттачивала свои навыки, делая обзор журнала регистрации за трехмесячный период для одной не называемой по имени коммерческой платформы. Объем данных включал в себя 40 миллионов логов в день, всего за 3 месяца – 3,6 миллиардов. После 90 дней работы AI2 смог распознавать 85% атак. Веерамаханени говорит, что этот пожелавший остаться неназванным сайт в течение времени тестирования каждый день подвергался 5-6 реальным атакам. При этом система распознала 4-5 из них.

Конечно, это не идеальный результат, но, по словам Веерамаханени, для достижения 85% уровня распознания в условиях применения только автоматизированной системы, аналитикам пришлось бы вручную оценивать тысячи подозрительных отклонений за день, а не сотни, как при работе с AI2. С другой стороны, при отборе 200 подозрительных отклонений за день без дополнительной оценки аналитиков уровень эффективности составит лишь 7,9%.

AI2 также помогает предотвратить хакерские атаки путем прогнозирования событий. Если хакеры используют один и тот же способ атаки в течение нескольких дней, то компания сможет усилить свою безопасность, введя, скажем, дополнительные способы подтверждения личности при входе в систему от своих клиентов.

И хотя система обладает огромным потенциалом, все же она не сможет полностью заменить собой работу аналитиков. Безопасность исключительно важна, а методов нападения – великое множество. «Атаки продолжают развиваться и совершенствоваться», — говорит  Веерамаханени. «Нам необходимо, чтобы аналитики продолжали выявлять новые типы отклонений, свидетельствующие о попытке взлома. Система не замещает аналитиков, а только дополняет их работу».

Возможно, наука однажды изобретет безупречную систему безопасности. Но до того времени сочетание аккуратности и эффективности является налучшим вариантом. И это означает, что человеку и машине нужно продолжать работать вместе.

Из блога Евгения Царева

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.