Информация о том, что элементы искусственного интеллекта (AI), если уже не вошли в арсенал киберпреступников, то находятся в активной стадии R&D, постепенно наполняет информационное пространство. Например, «Лаборатория Касперского» в публикации «Троянские часы» изучила возможности киберфизического перехвата критически важных персональных данных при помощи носимых устройств — умных часов и фитнес-трекеров — благодаря встроенным в них акселерометрам и гироскопам.

Но что может дать киберкриминалу такое знание о поведении пользователя? На самом деле не так уж и мало. Можно определить, когда он приходит на работу, вводит пароль доступа от корпоративного компьютера, разблокирует телефон. Сопоставив данные о перемещении человека с координатами, можно определить моменты посещения банка и ввода PIN-кода на клавиатуре банкомата. В совокупности с интеллектуальными методами обработки этих данных, преступность вполне может получить мощный инструмент прогнозирования условий атак и разработки методов молниеносных высокотехнологичных преступлений.

Это все должно насторожить службы ИБ финансовых организаций. Но, зная их понятную закрытость, воссоздать картину их соответствующей активности довольно сложно. Но можно. Обратимся к данным аналитиков.

Пока не доказан эффект

Довольно большую известность получило исследование «The benefits and limitations of AI in cybersecurity» компании Osterman Research, опубликованное в декабре 2018 года. Оно посвящено применению решений на основе AI в области ИБ. В нем указывается, что 73% опрошенных компаний уже внедрили хотя бы один продукт, использующий ML. 60% организаций отмечают, что благодаря инструментам машинного обучения расследование различных оповещений стало быстрее и эффективнее. При этом 46% считают, что реализация и внедрение правил AI чрезвычайно обременительны, а 25% респондентов не планируют внедрять никакие AI-решения в будущем.

Сопоставив данные о перемещении человека с координатами, можно определить моменты посещения банка и ввода PIN-кода на клавиатуре банкомата

«В банковской сфере можно ожидать более консервативных цифр, чем приведены в данном исследовании», — комментирует эти данные Артем Гавриченков, технический директор компании Qrator Labs. Пока не доказан эффект от некоторых перспективных разработок.

А где уже целесообразно применение AI в ИБ финансовой сферы? Эксперт на основе собственного опыта и опросов рынка полагает: «ML стоит применять в тех областях, где на текущий момент нет других возможностей решить необходимую задачу. Если простые статистические методы, корреляция и эвристики не работают, а задача при этом является критически важной и активно влияет на бизнес-процессы, то действительно нужно начинать развертывание алгоритмов машинного обучения. Стоит, однако, учесть, что процесс это долгий, и заниматься им нужно очень серьезно. ML может быть успешно там, где нужна, например, подстройка под действия пользователя или где имеется большой накопленный объем данных для обучения и необходимо произвести определенную их классификацию. Также AI может использоваться для классификации событий. Например, можно обучать систему, убирая “паразитные” оповещения об атаках: если атака простая, то можно со временем обучить систему оповещения не реагировать на простые “безвредные” атаки».

В целом, основная сфера применения машинного обучения — это обработка большого числа событий, работа в серверной, корпоративной инфраструктуре, сталкивающейся с большим объемом данных, в том числе «паразитных» и «мусорных». Именно в этих сферах и находится основное применение систем AI по сей день.

Евгений Куртуков, руководитель отдела поддержки и развития продаж компании Axoft, дополняет мнение коллеги: «Искусственный интеллект — слишком широкое понятие. Я бы в данном случае говорил об использовании в безопасности прикладных вещей, таких как машинное обучение, машинное зрение, большие данные. Эти инструменты повсеместно внедряются в нашу жизнь, и безопасность не является исключением. Более того, машинное зрение, например, сейчас получает наибольшее распространение именно в безопасности».

Основная сфера применения машинного обучения — это обработка большого числа событий, работа в серверной, корпоративной инфраструктуре, сталкивающейся с большим объемом данных, в том числе «паразитных» и «мусорных»

ML действительно используется большинством разработчиков средств ИБ для выявления аномалий в функционировании приложений, поведении пользователей и тем самым позволяет достаточно эффективно защищаться от APT-атак (развитой устойчивой угрозы) и ранее неизвестных угроз. Безусловно, оно не дает 100%-ной защиты, но уже сейчас на больших объемах данных может показывать хорошие результаты — не хуже, чем обученные команды людей.

«Если говорить о факторах, которые тормозят массовое внедрение инструментов AI в безопасности, то ситуация будет аналогична той¸ что происходит в автомобильной отрасли. Даже если в одном из миллиона случаев произойдет сбой, потери будут слишком серьезными, чтобы целиком доверить машине, например, управление системой защиты критичной инфраструктуры. Поэтому инструменты AI приходится дублировать человеческими ресурсами, что значительно увеличивает стоимость использования и снижает эффективность. Тем не менее инструменты на основе машинного зрения и ML от года к году показывают серьезный прогресс и так или иначе заменят людей, но в каком процентном соотношении, сказать пока сложно. На большой выборке случаев это даст большую эффективность защиты и меньшую стоимость эксплуатации. А за человеком останутся проектирование правильной архитектуры и выборочный контроль инцидентов. При таком подходе даже в самой крупной компании контролировать безопасность смогут всего лишь один-два высококвалифицированных сотрудника», — заключает представитель компании Axoft.

А где же ручки настройки?

Но вот вопрос: насколько готовы финансисты, привыкшие вручную что-то подкручивать и настраивать, полностью довериться решениям, где за них все делает AI?

Артем Гавриченков делится опытом, полученным экспертами Qrator Labs: «Клиенты, которые привыкли вручную “подкручивать” определенные функции в системе, при внедрении решений на основе искусственного интеллекта через некоторое время понимают, что здесь зачастую другой порядок сложностей настройки. В нашей индустрии среди IT-специалистов есть много энтузиастов, готовых к внедрению “новинок”, однако часто, когда дело доходит до этапа развертывания, начинаются основные проблемы. “На бумаге” такие решения работают полностью в автоматическом режиме, в реальности же обнаруживается, что систему приходится активно поддерживать. То есть вмешательство человека в работу системы с элементами AI обычно все же требуется, если не на начальном этапе настройки, то в дальнейшем — для внесения изменений в код уже работающей системы».

Каков же вывод? Многие эксперты полагают, что сейчас наблюдается этап некоего паритета в использовании AI между ИБ-вендорами и киберпреступностью. Успехи есть у обеих сторон. Но не всегда и не везде.

«Итоги нашего исследования показывают, что AI все еще находится на ранней стадии своей эволюции, и мы еще не осознаем его подлинного потенциала, — утверждает Майкл Остерман, главный аналитик компании Osterman Research. — Но ИБ-решения на основе AI предлагают рынку значительные перспективы для повышения скорости обработки предупреждений, а также могут по крайней мере стать “серебряной пулей” в решении проблемы нехватки навыков и специалистов в сфере кибербезопасности».