На границе сети, или мечтают ли CISO об искусственном интеллекте

В последнее время искусственный интеллект стал самой обсуждаемой темой во всем мире. Нейросети, языковые модели, генераторы изображений, видео, музыки, человеческого голоса и так далее проникают во все сферы нашей жизни, чрезвычайно быстро становясь привычными инструментами, обойтись без которых становится все труднее. Кибербезопасность всегда находится на переднем крае технологий и оперативно внедряет все доступные новшества. Неудивительно, что специалисты сразу же разглядели в искусственном интеллекте огромный потенциал для борьбы с кибератаками.

Анастасия Агафонова, руководитель отдела информационной безопасности в дистрибьюторе Fortis, рассказывает, как искусственный интеллект меняет сферу кибербезопасности прямо сейчас и какие проблемы в этой области способен решить оснащенный им файервол.

Использование ИИ в кибербезопасности

В постоянно меняющемся ландшафте кибербезопасности внедрение искусственного интеллекта стало переломным моментом, открыв революционные способы предотвращения киберугроз, защиты и реагирования. Решения на базе ИИ получили беспрецедентное преимущество перед конкурентными продуктами в выявлении, анализе и нейтрализации киберрисков. Используя сложные алгоритмы и машинное обучение, системы с встроенным ИИ способны обнаружить закономерности, указывающие на вредоносную деятельность, и зачастую выявляют угрозы гораздо быстрее, чем традиционные решения. Это особенно важно в эпоху, когда кибератаки становятся все более изощренными и происходят все чаще.

Способность искусственного интеллекта адаптироваться и учиться на новых угрозах позволяет постоянно совершенствовать стратегии защиты. Это важнейшее преимущество делает ИИ незаменимым союзником в непрерывной борьбе с киберпреступностью. Проблема состоит лишь в том, что злоумышленники, как всегда в нашей сфере, не отстают и с таким же энтузиазмом используют искусственный интеллект в преступных целях.

Опыт и отношение бизнеса к ИИ

Согласно результатам исследования специалистов Check Point Research и агентства маркетинговых исследований Vanson Bourne, более 70% опрошенных ИБ-специалистов в мире уверены в надежности киберзащиты своей организации, однако 89% из них подтвердили, что найти на рынке квалифицированных специалистов по кибербезопасности достаточно сложно. Нехватка опытных кадров значительно снижает эффективность защиты организаций от киберугроз с использованием искусственного интеллекта.

ИИ способен помочь преодолеть этот разрыв. Он позволяет расширить существующие возможности и повысить эффективность киберзащиты, особенно в секторах с высоким спросом на ИБ-специалистов. Результат от внедрения искусственного интеллекта разнится в зависимости от сферы бизнеса. Сильнее всего его преимущества заметны в здравоохранении и финансах. Именно в этих отраслях ИИ и машинное обучение (ML) показывают наибольшую эффективность, значительно сокращая потребность в ручном труде SOC-команды и повышая эффективность реагирования на киберинциденты. По данным совместного исследования Check Point Research и агентства Vanson Bourne, более 30% ИБ-специалистов из организаций в сфере здравоохранения и более 35% из банковской отрасли подтвердили, что ИИ позволяет предотвратить снижение эффективности, вызванное недостатком квалифицированных специалистов, и значительно сократить время реагирования на инциденты.

Несмотря на очевидные плюсы, эксперты по кибербезопасности осознают, что внедрение ИИ и ML принесет с собой новые проблемы и вызовы. Например, оснащенные искусственным интеллектом решения нуждаются в постоянных обновлениях, а регуляторам понадобится много времени для создания нормативных требований и внесения поправок в закон о персональных данных.

Тем не менее, более 90% опрошенных ИБ-директоров из всех сфер бизнеса выразили готовность в ближайшее время выделить бюджет на внедрение ML и ИИ- инструментов.

ИИ в действии

Разобравшись в том, как искусственный интеллект используется в сфере кибербезопасности и каково отношение к нему бизнеса, давайте на конкретном примере рассмотрим, как его можно применять. Для этого мы выбрали файервол, или межсетевой экран, поскольку это неотъемлемая часть любой корпоративной сетевой инфраструктуры и одно из базовых решений для кибербезопасности. Способен ли искусственный интеллект кардинально изменить "правила игры" в обеспечении кибербезопасности энтерпрайз-уровня?

Что такое файервол и для чего он нужен

Если кратко, файервол, или межсетевой экран, — это устройство для обеспечения сетевой безопасности, которое контролирует и фильтрует входящий и исходящий сетевой трафик, обеспечивая соблюдение политики безопасности организации. По сути, это барьер между границами двух сетей для выявления и блокировки угроз, который при этом должен беспрепятственно и без задержек пропускать безопасный трафик.

В правильно сегментированной сети файервол гарантирует политику нулевого доверия, выдавая минимальный привилегированный доступ для пользователей, приложений, IoT-устройств и систем. В его функциональность также входит сегментация для проверки входящего и выходящего трафика в пределах защищенного сегмента сети, между виртуальными машинами в облачных средах и "доверенного" трафика внутри центра обработки данных. Таким образом, трафик проверяется во всех средах, включая локальные, облачные и гибридные.

Возможности файервола со встроенным ИИ

Искусственный интеллект позволяет улучшать различные функции классического межсетевого экрана.

• Предотвращение угроз. ИИ повышает способность файерволов нового поколения (NGFW) выявлять неочевидные, сложные и масштабные кибератаки. В результате межсетевые экраны на базе искусственного интеллекта гораздо эффективнее предотвращают киберугрозы с 1 по 7 уровень по модели OSI, значительно снижая риск успешной атаки на организацию.
• Эффективное управление файерволом. Искусственный интеллект используется не только для защиты от киберугроз, но также и для управления самим межсетевым экраном. Автоматическая балансировка нагрузки, "умная" кластеризация и другие подобные функции позволяют обеспечить отказоустойчивость и повысить эффективность работу файервола.
• Централизация менеджмента кибербезопасности. Межсетевой экран с поддержкой ИИ работает эффективнее всего, если он включен в единую инфраструктуру кибербезопасности. Интеграция искусственного интеллекта в унифицированную систему позволяет улучшить взаимодействие между несколькими решениями для обеспечения кибербезопасности, гарантируя более быстрое и точное реагирование на киберугрозы.

Отличия файервола с ИИ от NGFW

Межсетевые экраны используются в корпоративных ИТ-инфраструктурах с 1980-х годов. С тех пор, естественно, технологии постоянно развивались и решения совершенствовались. Файервол с расширенными функциями, главная из которых — способность фильтрации трафика на уровне приложений, принято называть межсетевым экраном нового поколения (NGFW). Даже сейчас далеко не у каждого российского вендора есть решение, которое не только называется "по-новому", но и в действительности обладает всеми характеристиками NGFW.

Файервол на базе искусственного интеллекта, как правило, — это дополнительно усовершенствованный NGFW. Основное отличие одного от другого заключается в том, как именно они выявляют и реагируют на потенциальные киберугрозы. NGFW работает по заранее заданным правилам, поэтому его возможности обнаружить угрозу нулевого дня ограничены. Внедрение ИИ позволяет файерволу обнаруживать и блокировать неизвестные угрозы с помощью адаптивного обучения и других возможностей, о которых пойдет речь далее.

Преимущества файервола с ИИ

Межсетевой экран, оснащенный искусственным интеллектом, имеет ряд преимуществ, которые отличают его от традиционных NGFW:

• Более эффективное обнаружение угроз. Файервол с ИИ способен выявлять аномалии и едва заметные подозрительные паттерны в сетевом трафике. Это позволяет обнаружить и заблокировать потенциальную киберугрозу, которую скорее всего пропустил бы обычный межсетевой экран.
• Аналитика для борьбы с угрозами нулевого дня. Киберугрозы нулевого дня трудно выявить и предотвратить из-за отсутствия известных сигнатур и индикаторов компрометации (IoC). Искусственный интеллект дополнительно анализирует входящий трафик и осуществляет более глубокую проверку пакетов и файлов на всех сетевых уровнях. Это позволяет оценить, представляют ли они реальную угрозу для корпоративных систем, и эффективнее выявлять и бороться как с известными киберугрозами, так и с угрозами нулевого дня.
• Адаптивное обучение. ИИ-системы продолжают обучаться даже после развертывания — прямо в процессе работы. Способность к адаптивному обучению позволяет успешнее выявлять потенциальные киберриски в потоке легитимного трафика.
• Ускоренная реакция на киберинциденты. Обнаружив угрозу, межсетевой экран на базе ИИ позволяет устранить ее последствия гораздо быстрее, чем NGFW. Если кибератаку не удалось предотвратить, искусственный интеллект и автоматизация задействуются в решении проблемы, позволяя свести ущерб для бизнеса к минимуму.
• Оптимизация. Межсетевой экран на базе ИИ может интегрироваться с остальными элементами ИБ-архитектуры компании, образуя единую унифицированную платформу для управления кибербезопасностью. В этом случае повышается эффективность всей системы, появляется возможность реагировать на угрозы в автоматическом режиме, тем самым снижая нагрузку на специалистов SOC.
• Автоматизация отчетности. Помимо того, что искусственный интеллект в целом сокращает число киберинцидентов, о которых необходимо сообщать регуляторам, он также может частично автоматизировать и упростить отчетность по каждому случаю. Кроме того, ИИ обеспечивает дополнительную видимость и упрощает работу ИБ-специалистам.

С повсеместным внедрением искусственного интеллекта мир, который мы знали, изменился до неузнаваемости. Мы еще не знаем, в каких сферах он применяется временно и в какой-то момент трансформируется или исчезнет навсегда, а какие технологии через пять лет мы не сможем представить без него. Но на сегодняшний день можно с уверенностью сказать: интеграция ИИ в кибербезопасность оказалась настолько успешной и эффективной, что совсем скоро бизнес, не успевший вовремя его внедрить, окажется далеко позади. По данным отчета Check Point Software Technologies за 2024 год, злоумышленники уже активно применяют для кибератак незарегистрированные и незащищенные инструменты и движки, оснащенные искусственным интеллектом. При этом их использование пока что никак не регулируется и не попадает ни под какие законы и правила. Решения для кибербезопасности, оснащенные адаптивным искусственным интеллектом, способны им противостоять, но, как мы неоднократно убеждались, борьба ИБ-специалистов с киберугрозами бесконечна, как погоня Ахиллеса за черепахой в апории Зенона. Именно поэтому бизнесу необходимо не упустить момент и вовремя задуматься об искусственном интеллекте.