Человек против ИИ
Наталья Георгиевна, как бы вы охарактеризовали последние тенденции в сфере информационной безопасности?
Сегодня главная мода — применение искусственного интеллекта в средствах защиты информации. ИИ берет на себя аналитику событий в сетевой среде, выделяя те из них, которые организация определяет как инциденты безопасности. При этом для каждой компании понятие «инцидент» индивидуально. Универсальные системы плохо работают — их нужно обучать на данных, характерных именно для конкретной организации. У ИИ, как и у любого нового явления, есть и преимущества, и уязвимости.
Какие именно уязвимости вы имеете в виду?
Сейчас известно около 14 типов атак на системы искусственного интеллекта. Например, можно вмешаться в процесс обучения так, чтобы система «не замечала» нужных злоумышленнику действий. Если атакующий присутствует на этапе обучения, он способен заставить ИИ воспринимать вредоносное поведение как нормальное.
Для этого злоумышленник должен быть сотрудником организации?
Да. Известно, что около 80% инцидентов связаны с инсайдерами и лишь 20% — с внешними хакерами.
Что скрывают «озера данных»
Еще одна важная тема — объемы информации. Сейчас часто говорят об «озерах данных».
Это развитие идеи больших данных. В «озерах» хранятся не только сырые данные из внешней среды, но и промежуточные, обработанные и итоговые результаты. Нужно понимать, какие данные хранить на быстрых носителях, какие — на долговременных, как очищать «озеро» и кто отвечает за удаление устаревшей информации. Кроме того, важно видеть взаимосвязи между фрагментами данных: малозаметное событие может оказаться частью большой атаки. Поэтому необходима серьёзная аналитика. И, конечно, критичен баланс между объемом данных и скоростью их обработки.
Системы, реагирующие на атаку после ее совершения, — прошлый век. Сейчас развиваются подходы упреждающей или проактивной безопасности — прогнозирование угроз и предотвращение их до начала атаки.
Получается, тенденций становится все больше?
Иногда кажется, что их бесконечно много, но часть из них — маркетинговые переименования старых технологий. Я с 1970-х годов отслеживаю историю развития средств защиты и показываю студентам, как старые идеи получают новые названия.
По ту сторону экрана
Межсетевые экраны можно отнести к новациям последних лет?
Отнюдь. Идея межсетевых экранов появилась еще в 1990-х. Первый удобный продукт — Firewall-1 израильской компании CheckPoint. В 1997 году появился Next Generation Firewall от Palo Alto Networks.
Мы в МИФИ сотрудничаем с Palo Alto: компания предоставляет нашим студентам виртуальные стенды, даже несмотря на текущие политические ограничения. Сейчас в рамках курса «Технологии обеспечения информационной безопасности объектов» студенты могут работать с экранами нового поколения.
Есть и отечественные решения. Компания UserGate создала собственный межсетевой экран и целую экосистему продуктов, с ней в МИФИ открыта совместная лаборатория. Подписано соглашение и с компанией Ideco, у которой тоже есть свой Next Generation Firewall.
То есть конкуренция экранов есть даже в учебных аудиториях?
И это хорошо. Мы даём студентам возможность сравнивать разные продукты и понимать их функционал. Наша задача — не продвигать бренды, а формировать осознанных специалистов.
«Злоумышленники всегда на шаг впереди»
Как меняются сами атаки?
Они становятся все изощреннее. Если раньше все сводилось к перехвату паролей, то теперь атакующие используют уязвимости протоколов, ошибки конфигурирования, человеческий фактор. Современные сети открыты, и злоумышленники активно эксплуатируют слабые места на внешнем периметре.
Появились бесфайловые атаки, которые не оставляют следов на диске и работают в оперативной памяти. Такие атаки почти невозможно обнаружить сигнатурными методами. Для систематизации знаний даже создана база MITRE ATT&CK, описывающая этапы атак и применяемые техники.
Кто ведет статистику атак?
Много кто. Но статистика чаще всего ангажирована: она создается под определенные выводы. Независимого органа, который собирал бы объективные данные, не существует. Организации неохотно делятся сведениями о взломах — это удар по репутации. Поэтому я всегда говорю студентам: не верьте цифрам, смотрите на тенденции.
И кто же выигрывает в вечной дуэли «броня против снаряда»?
Увы, злоумышленники. Они знают, как устроены системы защиты, и постоянно ищут обходные пути. Но атака происходит только тогда, когда цель представляет реальный интерес и потенциальная выгода перевешивает затраты.
Управлять безопасностью из единого центра
Над чем сейчас работают в МИФИ?
Я занимаюсь концепцией Центров управления сетевой безопасностью — логическим развитием идеи SOC (Security Operations Center). Первую концепцию SOC предложила Cisco около 20 лет назад: это центры мониторинга. Позже появились SIC — центры интеллектуальной безопасности, с возможностью активного реагирования. Я предложила объединить их с сетевыми операционными центрами (NOC), чтобы IT-специалисты и ИБ-эксперты работали совместно. Так родилась модель центра интеллектуального управления сетевой безопасностью — тема моей диссертации.
Кто в России применяет такую модель?
В числе первых был Сбербанк. Сейчас подобные центры создают многие корпорации. Наши студенты уже работают в таких подразделениях.
Есть и профессиональные площадки вроде SOC-форума, где встречаются специалисты. Лишь недавно в анкете участников появилась графа «Наука и образование». Я долго добивалась этого — ведь знания, полученные на форуме, завтра услышат студенты в аудитории.
«Хороший специалист — это прежде всего мышление»
Нужно ли высшее образование, чтобы стать специалистом по кибербезопасности?
Обязательно. Мы в МИФИ считаем, что бакалавриата недостаточно — специалитет дает фундамент, на который можно «нарастить» любые практические навыки. Нас самих никто специально не учил информационной безопасности — этой науки тогда не было. Но базовая школа кибернетики, логическое мышление и способность учиться позволяют идти в ногу с временем. Именно это делает специалиста настоящим профессионалом.
Ранее мы рассказывали, как и почему люди все чаще пытаются "найти" Бога через инструменты искусственного интеллекта.
