Кибератаки стали новой реальностью для россиян. Если раньше основной для хакеров была финансовая выгода – они пытались украсть деньги у пользователей или компаний, то теперь часто в атаках на организации на первый план выходит социальная составляющая. Причинить вред пытаются как можно большему количеству людей. Ярким примером стали недавние атаки на транспортные компании, сети магазинов, аптеки, интернет-провайдеров. Над безопасностью российских компаний работают тысячи специалистов, а также искусственный интеллект (ИИ). О том, как нейросети помогают в борьбе с киберугрозами, ЕАН рассказал директор Kaspersky GReAT Игорь Кузнецов.
- Новости про недавние атаки на крупные российские холдинги и компании коснулись, наверное, всех россиян. Все говорят о смене тактик хакеров и их целей. Что вы об этом думаете?
- За последний год наметился вполне конкретный тренд. Я его очень четко характеризую его как смену тактик и поведения группировок в целевых атаках. Было несколько громких инцидентов, которые подтвердили, что группировки, которые раньше занимались исключительно кибершпионажем, сейчас используют тот же самый инструментарий для того, чтобы нанести ущерб бизнесу.
Технически цель – это экономический ущерб компании. Но, конечно, громкая история позволяет заявить о себе, что играет на руку хактивистам, для них важно, чтобы эта новость максимально сильно разошлась.
При этом хактивизм без значительного ущерба деятельности организации не имеет смысла для атакующих. Ровно поэтому они наносят очень большой финансовый ущерб, стараются остановить процессы в организации, часто требуют выкуп и стремятся громко заявить о своем успехе.
- В кибершпионаже угрозы маскируются. Как искусственный интеллект помогает их выявлять?
- С точки зрения защиты, вместо понятия «искусственный интеллект» лучше использовать термин «машинное обучение». Тема ИИ сейчас очень популярна, и она чаще всего подразумевает LLM-систему (Large Language Model, большая языковая модель — это система искусственного интеллекта, которая может распознавать и генерировать контент, - прим. ЕАН). Но если говорить более широко, то это все – машинное обучение, в основе которого лежат немножко другие математические модели. Машинное обучение без привязки к генерации текста в «Лаборатории Касперского» работает уже 20 лет. Оно занимается тем, что обрабатывает входящий поток вредоносных объектов и детектирует очень большую часть из них. Таким образом, оно снимает нагрузку с людей.
Наши разработки помогают снизить нагрузку и на специалистов по информационной безопасности в других компаниях. Например, если у организации нет возможности создать свой центр мониторинга информационной безопасности (SOC), они могут воспользоваться возможностями MDR (Managed Detection and Response). Если очень просто – компания может направить свой поток данных в такой центр в «Лаборатории Касперского», где комплекс защитных решений и эксперты, в том числе с помощью машинного обучения, проанализируют его, отследят аномалии и предотвратят потенциальные кибератаки.
Такое решение возникло, когда коллеги пришли в команду, которая занимается исследованием как раз машинного обучения, и предложили сделать автоматического SOC-аналитика (аналитика центра мониторинга безопасности), который учитывал очень большое количество условий. Было важно учесть очень многое: как определить, например, аналитик правильно сработал или нет, как избежать ложноотрицательных и ложноположительных срабатываний, как не пропустить уведомление об атаке. Поэтому у нас построена очень сложная схема с автоматическим дообучением, и благодаря этому нейросеть правильно принимает решения и снимает 25% нагрузки с аналитиков.
На самом деле процент корректных решений больше, но примерно половина из них возвращается к обычному человеку, перепроверяется – так мы постоянно обеспечиваем обратную связь.
Мы очень гордимся результатами и видим, что машинное обучение на самом деле работает и помогает экспертам снять нагрузку и сократить рутину.
- То есть происходит такое взаимодействие с человеком. Сократилось ли количество специалистов с момента появления нейросети?
- Нейросети лишь снижают нагрузку со специалистов. Речь про сокращение сотрудников ни в коем случае не идет. Наоборот, в области информационной безопасности очень большой дефицит кадров. Искусственный интеллект помогает снижать нагрузку на тех, кто, например, занимается мониторингом угроз. А это значит, что наши сотрудники будут в лучшей форме, когда на самом деле понадобится реагировать на что-то серьезное.
- А как традиционные методы защиты сочетаются именно с искусственным интеллектом?
- Очень хорошо. Например, есть технология DLL-хайджекинга (DLL-hijacking). Если простыми словами, ее можно описать так: есть очень много легитимных программ, в их составе есть кусочки файлов – библиотеки. Если подложить к хорошей программе вредоносную библиотеку (файл), то она может загрузиться. Это особый класс уязвимости, ее использование позволяет злоумышленникам обходить проверку подписей и некоторые способы защиты.
Рассылка таких наборов из легитимной программы и нелегитимного дополнения, чтобы заражать организации, очень часто используется как раз в целевых атаках.
Поскольку возможное число комбинаций между такими программами и библиотеками легитимными и вредоносными очень велико, его невозможно закодировать механически в одну огромную библиотеку. Мы обучили модель, чтобы она распознавала такие угрозы. Но важно, что она не блокирует, не детектирует, поскольку уверенности 100% в результате нет, а выдает некую вероятность, насколько данная комбинация опасна. А затем уже эксперт, который смотрит на уведомления, сам решает, это действительно срабатывание и его стоит заблокировать или на самом деле это неизвестная ранее, но легитимная комбинация.
Мы очень четко разделяем и понимаем методики определения степени опасности. Ведь если заблокировать что-то хорошее, это может нарушить процессы организации. Поэтому, в зависимости от степени доверия к результату методики, в некоторых случаях мы блокируем, детектируем, а в некоторых - всего лишь уведомляем.
Есть еще, например, методика, которую мы применяем в нашем SIEM‑решении KUMA (SIEM — это система, которая собирает и обрабатывает события безопасности). Оно позволяет регулировать информацию о разных событиях в инфраструктуре организации, но существует проблема холодного запуска. Если вкратце: как только вы установили решение с нуля, оно может начать срабатывать на что-то, что в принципе в мире считается подозрительным, а в данной организации оно типично.
И с помощью машинного обучения мы позволяем как раз предобучить на наборе данных для конкретной организации наше SIEM-решениt, чтобы оно расклассифицировало некоторые действия по степени подозрительности для конкретного клиента. Это тоже очень сильно помогает и очень сильно снижает нагрузку специалистов.
- Вы сказали про нехватку кадров в кибербезе. Сейчас эта тема обсуждается, и есть две противоположных точки зрения. Одни резко критикуют огромное количество IT-курсов и говорят, что сейчас на рынок из-за них выходит большое количество слабых специалистов. Другие поддерживают эти курсы и считают, что базовое обучение можно получить с их помощью. Вы на какой стороне? Какое вхождение в профессию оптимальное?
- Специалисты по кибербезу бывают разные. Это может быть сотрудник SOC (Security Operations Center), ему нужны одни знания. Это может быть специалист по анализу сложных угроз, там требуется очень много опыта.
Во многом от тех, кто приходит из вуза, нам необходимо умение учиться, поскольку опыт набрать не так сложно. Достаточно начать работать. Даже у меня в отделе есть, например, сотрудники, которые до сих пор учатся в университете. И мы прекрасно понимаем, что университетское образование – это фундамент, основа, которая дает некий базовый набор, а затем все остальное человеку нужно учить самому.
Есть хорошие примеры внеинститутских активностей, киберучения в виде игр, где команды соревнуются. Опыт участия в таких мероприятиях очень помогает. У нас есть люди, которые пришли с опытом не анализа вредоносных программ, а соревнований по кибербезопасности. Там команды решают задачи, связанные с поиском уязвимостей и взломом систем, чтобы найти и захватить «флаг» (специальную строку кода) противника, получив за это очки (игры CTF). И эти сотрудники очень быстро включились в процесс. Некоторые до сих пор продолжают соревноваться и занимают призовые места. В общем, мы за сочетание университетского обучение и других активностей для студентов.
- Если подытожить про искусственный интеллект. Какие преимущество он дает борцам с кибератаками?
- Самая положительная модель – это ассистент. Ассистент для человека, который прекрасно понимает, каким должен быть результат, и просто хочет отдать часть рутинной работы, которую не хочет выполнять, которая достаточно простая и может быть обработана, скажем, стажером. Да, он иногда будет ошибаться, но будет ответственно выполнять работу, которую вам очень не хочется делать.
Екатерина Землянская, Татьяна Томас
Как защитить детей от мошенников и других киберугроз – ликбез ЕАН23 сентября в 09:02
