Робот-хакер. Как применять искусственный интеллект в кибербезопасности
Тема применения искусственного интеллекта сегодня активно «греется» во всех отраслях. И чаще всего внимание заслуженно — в некоторых областях потенциал ИИ огромен. Специалисты по информационной безопасности же в эту тему погружаться не спешат. Главным образом, потому, что применение ИИ напрямую в информационной безопасности не дает такого эффекта, как в некоторых других областях. И уж точно подобные технологии не станут «серебряной пулей» в сфере защиты информации.
Существующие технологии ИИ напрямую плохо вписываются в большинство задач ИБ. Однако, есть ряд направлений, в которых применение умных инструментов может дать (и уже дает на практике) впечатляющие результаты. В частности, речь идет об обнаружении уязвимостей определенных классов, а также поведенческих аномалий пользователей и других возможных проблем.
Наглядные аналогии
Один из самых защищенных аэропортов в мире Бен Гурион славится своей многоуровневой системой безопасности, при этом в самом аэропорту сложно встретить вооруженную охрану. При подъезде на первом и единственном внешнем пункте досмотра водитель с пассажирами вынужден снизить скорость почти до нуля, попадая под объективы видеокамер. А далее дорога делает многокилометровый вираж до терминала. Это сделано явно намеренно.
За время, пока машина преодолеет путь от пункта досмотра до терминала, система безопасности успеет проанализировать личности пассажиров и — в случае обнаружения признаков опасности — они будут остановлены до входа в здание аэропорта, не причинив никому вреда. Похожим образом работает система поведенческого анализа аномалий в компьютерной системе на основе искусственного интеллекта. После успешного проникновения злоумышленник не может моментально нанести ущерб — ему нужно время, чтобы разобраться в системе и понять, как она устроена.
Он будет запускать определенные команды, транзакции, пытаться устанавливать специализированный софт и т.п., то есть его поведение будет отличаться от поведения обычного пользователя, а значит, за это время система поведенческого анализа на основе ИИ будет способна обнаружить вторжение и предотвратить его до нанесения ущерба. В этих направлениях мы действительно ждем прорыва. И результаты работы таких систем позволяют рассчитывать на то, что он уже начался.
В частности, мы после двух лет работы в этой области реализовали алгоритмы ИИ на практике в нашем софте, обеспечивающем безопасность SAP и убедились, что искусственный интеллект здесь реально работает. Другое дело, что все это лишь небольшая часть системы информационной безопасности, поэтому о массовом применении ИИ области защиты информации говорить пока не приходится. Главная проблема — точность полученных результатов: никого не устроит 50–60%, этого крайне мало для защиты. Но ведь ИБ — это не только защита, но еще и нападение. А там совсем иной расклад, и иногда даже 10% вероятности успеха — мечта многих причастных.
Искусственный интеллект для кибервзломщиков
К сожалению, ИИ может помочь и нападающему. Зато мы можем проанализировать в чем и знать — что ждать. Пока не будем говорить о применении умного инструментария для исследования ПО и поиска в нем уязвимостей — это отдельное достаточно технически сложное направление. Коснемся более «приземленных» вещей.
Социальная инженерия. Мы уже привыкли к разным более или менее изощренным атакам, связанным с массовыми рассылками мейлов или смс по различным каналам, к телефонным звонкам и т.д. Чего стоит один популярный ранее нигерийский спам! Интересно, что вероятность успеха таких действий относительно невелика. Даже при изощренных сценариях массовых атак речь может идти в лучшем случае о десятых долях процента и редко приближается к половине процента, что, кстати, является неплохим показателем. И именно здесь искусственный интеллект практически идеально может быть использован злоумышленниками совместно с методами социальной инженерии. Если при массовой атаке поднять вероятность успеха на несколько процентов (вплоть до 5-10%, как показывают некоторые эксперименты) — результат будет потрясающий.
И именно здесь становится очевидной польза от ИИ, поскольку такой инструментарий позволяет автоматизировать атаки, выводя их сложность на невиданный до этого уровень и резко увеличивая шансы на успех. При этом, автоматизировать и повышать эффективность различных сценариев можно до бесконечности — здесь все ограничивается лишь фантазией и квалификацией кибермошенника. Эксперименты показали, что даже простой бот-попрошайка с минимальным интеллектом может легко достичь невероятной ранее планки в 5%. Что же говорить о возможностях гораздо более сложных ботов? Для них и 10% далеко не предел. Что это означает на практике? Многомиллиардный ущерб для пользователей от реализации одной массовой атаки. И это наше ближайшее будущее.
Киберпреступникам нужно только на должном уровне освоить инструменты искусственного интеллекта, а уж фантазии в выдумывании изощренных схем добывания денег из пользователей им не занимать. Тем более, стоимость реализации таких атак, с учетом возможностей полной автоматизации, минимальна. Не нужно больших усилий, никаких преступных колл-центров. Можно просто запустить самообучающуюся программу и смотреть, как пополняются счета. Конечно, стоит оговориться, что ИИ имеет смысл использовать только на больших числах — то есть не при целевых, а при массовых атаках. Но ведь никто не хочет, чтобы за сутки были ограблены 10% всех пользователей популярного мобильного оператора. А это вполне реальный сценарий уже в самом ближайшем будущем. Общество совсем скоро столкнется с этой угрозой, нужно быть к этому готовыми.
Защита и нападение
Хотя искусственный интеллект в сфере защиты информационных систем делает только первые шаги, нас ждет немало интересных новостей. Еще год назад на эту тему можно было рассуждать лишь с изрядной долей скепсиса, что мы и делали. Когда начинали работы в этой сфере по анализу уязвимостей и аномалий в нашей лаборатории перспективных исследований, то не ждали никаких особых сюрпризов. Однако, сегодня результаты исследований и перенос разработок в коммерческие продукты наглядно показывают, что ИИ реально работает.
Это справедливо как с точки зрения защиты, так и с позиции нападения. ИИ в руках грамотного специалиста представляет собой страшную силу. И киберпреступников точно не стоит недооценивать, ибо за прошедшие годы только в РФ они аккумулировали огромные суммы денежные суммы (речь уже о миллиардах долларов): потери российских компаний от кибератак в 2017 году оцениваются в 116 млрд рублей, согласно данным Национального агентства финансовых исследований (НАФИ). Часть из них вложили в перспективные исследования. При этом, можно быть уверенными, что повсеместное увлечение криптовалютами облегчит автоматизацию различных преступных сценариев. Но прогресс на месте не стоит, а потому будущие пандемии массовых атак на пользователей с применением развитого ИИ, вероятнее всего, приведут к появлению нового класса систем защиты, также основанных на искусственном интеллекте.