ИИ стал единственным кадровым резервом для ИБ
На круглом столе "Искусственный интеллект в ИБ - взгляд с трех сторон баррикад", который прошел в ходе пятой конференции IT IS conf, бизнес-консультант Positive Technologies по информационной безопасности, ведущий блока "Бизнес без опасности" Алексей Лукацкий, сославшись на данные нескольких исследований, назвал ИБ-отрасль той, где проблема дефицита кадров стоит остро, как нигде.
В частности, он привел данные совместного исследования Центра стратегических разработок (ЦСР) и Positive Technologies, согласно которому нехватка специалистов в российской ИБ вырастет в 2027 г. до 52-65 тыс. человек с 50 тыс. в настоящее время, при сокращении дефицита кадров до 29-33% с нынешних 45%. В этих условиях, как подчеркнул Алексей Лукацкий, использование средств продвинутой аналитики, в том числе искусственного интеллекта, остается единственным способом хоть как-то решить данную проблему.
Основатель и генеральный директор ООО "АМ Медиа" Илья Шабанов в аналитическом докладе о ситуации на российском ИБ-рынке назвал нехватку кадров, причем не только ИБ-специалистов, но и ИБ-разработчиков, одной из ключевых сложностей для отрасли на ближайшие годы наряду с макроэкономической ситуацией и, как следствие, с нехваткой бюджетов у потенциальных заказчиков, сворачиванием господдержки, распылением ресурсов отечественных вендоров между схожими решениями для узкого рынка. По мнению эксперта, данную проблему невозможно решить даже в среднесрочной (трех-пяти лет) перспективе, так что единственным резервом остается применение искусственного интеллекта. Илья Шабанов также обратил внимание, что отечественные разработчики заметно отстают от зарубежных в применении ИИ-инструментов.
Министр цифрового развития Свердловской области Михаил Пономарьков назвал внедрение ИИ не веянием моды, а насущной необходимостью в условиях роста атак, притом что ресурсы, которыми располагают ИБ-службы, не увеличиваются. Он анонсировал запуск целого ряда проектов в этой области, хотя никакой конкретики не привел.
Руководитель группы исследований и разработки "Лаборатории Касперского" Владислав Тушканов назвал решаемой для ИИ задачей борьбу с типовыми угрозами, среди которых он выделил спам, фишинг и большую часть вредоносного ПО. Он напомнил, что данные типы угроз если и меняются со временем, то незначительно (например, сам программный зловред остается неизменным в течение нескольких лет, а меняется только упаковщик или адрес сайта при фишинговой атаке, тогда как текст сообщения остается одним и тем же). Но с другой стороны, как отметил Владислав Тушканов, сложные атаки (APT) с использованием нетиповых методов пока ИИ не по зубам. По его мнению, чем выше квалификация специалиста, тем меньше шансов, что его заменит ИИ. Владислав Тушканов сослался на исследование, согласно которому молодой специалист может делегировать ИИ 40% решаемых задач, основной - уже лишь около 10%, а старший специалист - ничего.
Специалист по анализу кода департамента систем безопасности ООО "БСС" (BSS) Иван Рыбников назвал основной точкой приложения для ИИ в ИБ задачи, которые требуют обработки больших объемов данных и обнаружения угроз в реальном времени: "ИИ отлично справляется с задачами по обнаружению аномалий в сетевом трафике и логах. ИИ умеет анализировать поведение пользователей и устройств, выявляя подозрительные действия, которые могут указывать на угрозы. Он также помогает автоматизировать работу со скриптами и в центрах оперативного управления безопасностью, что значительно ускоряет процесс реагирования на инциденты. Кроме того, ИИ может распознавать уязвимости нулевого дня и однодневные уязвимости только по их описаниям, что позволяет оперативно реагировать на новые угрозы. ИИ может анализировать огромные объемы информации намного быстрее и точнее, чем человек, что особенно важно в условиях постоянно растущих объемов данных и сложности современных угроз. Благодаря этому мы уменьшаем вероятность человеческих ошибок, повышая точность и надежность обнаружения угроз. Кроме того, усложнение кибератак требует применения продвинутых технологий для их выявления и предотвращения".
Заместитель технического директора Positive Technologies Ильяс Киреев среди задач, которые реально решает ИИ, назвал анализ разного рода аномалий в сетевом трафике. В 2023 г. Positive Technologies, по его оценке, смогла выявить как минимум 10 атак с помощью такого рода инструментов. Также Ильяс Киреев назвал ИИ полезным средством, которое позволяет разгрузить сотрудников первой линии SOC. Обратной стороной, по мнению представителя Positive Technologies, является риск ошибок из-за "отравления" данных, которые применяются для обучения ИИ.
Руководитель проекта "Продукты информационной безопасности и коммерческий SOC" АО "ЭР-Телеком Холдинг" Андрей Телицын поделился опытом использования ИИ для автоматического выявления индикаторов компрометации в инфраструктуре заказчиков. Также в SOC "ЭР-Телеком Холдинга", по его словам, активно применяют генеративный ИИ для составления рекомендаций заказчикам SOC, у которых обнаружены признаки проникновения в ИТ-инфраструктуру.
"ML-модели являются отличным вспомогательным инструментом в работе аналитиков. С одной стороны, они позволяют расширить возможности по детектированию активности злоумышленников, с другой - автоматизировать часть процессов и высвободить ресурсы для задач, требующих участия человека", - отметил заместитель директора Angara SOC по развитию бизнеса Артем Грибков.
Заместитель генерального директора ООО "Уральский центр систем безопасности" (УЦСБ) Николай Домуховский назвал генеративный ИИ полезным инструментом для анализа журналов событий (логов), поиска уязвимостей, а также для задач технической поддержки. Также, по его оценке, ИИ позволяет выявлять ложные срабатывания. Но Николай Домуховский предупредил, что многие популярные зарубежные инструменты не работают в России, причем происходит это не сразу. Так, Chat GPT перестал работать в УЦСБ после третьего запуска.
Более серьезной проблемой, как отметил Николай Домуховский, является проблема качества датасетов для обучения ИИ. Он посетовал, что собрать качественные наборы данных могут лишь крупные игроки ИБ-рынка или компании, которые аффилированы с большими цифровыми платформами. Наборы данных, которые можно найти в открытом доступе, представитель УЦСБ назвал не иначе как "мусорными".
По мнению Ивана Рыбникова, интеграция ИИ с существующими системами ИБ может быть сложной задачей, требующей значительных ресурсов и времени: "Ложные срабатывания, как ложные позитивные, так и ложные негативные, могут снижать доверие к ИИ-системам. Кроме того, для эффективного использования ИИ нужны большие объемы качественных данных, что иногда трудно обеспечить. Также необходимо учитывать сложности в адаптации ИИ к постоянно меняющимся типам кибератак и угроз".
Руководитель отдела продвижения продуктов ООО "Код безопасности" Павел Коростелев назвал задачей, решение которой очень серьезно упрощает генеративный ИИ, "перевод" исходных текстов ПО с одного языка программирования на другой. Он обратил внимание, что в условиях дефицита разработчиков она возникает все чаще из-за того, что имеющиеся разработчики просто не знают язык, на котором изначально написано то или иное приложение.
Обратной стороной, как предупредил Павел Коростелев, является риск утечек данных, с чем уже столкнулись некоторые корпорации - в частности, Samsung. В результате, по его оценке, развитие больших языковых моделей породило дискуссию о технологическом суверенитете в ЕС и Индии на фоне возможных утечек технологических секретов в США или Китай. Вместе с тем Павел Коростелев выразил опасение, что ИИ увеличит нагрузку на ИБ-специалистов, поскольку снижение рутины позволит высвободить их для решения задач, до которых раньше просто не доходили руки.