Искусственный интеллект в информационной безопасности реферат

Обновлено: 01.07.2024

Комплекс состоит из единого аппаратного модуля и ПЭВМ (Notebook), объединенные по шине USB с раздельным автономным питанием. Аппаратный модуль включает в себя два независимых канала на сверхмалошумящих усилителях в симметричном (дифференциальном) и несимметричном включениях для входного сопротивления 600 Ом и 1 МОм, блоки аналоговой фильтрации промышленных помех и полосовые фильтры, канал… Читать ещё >

Обеспечение информационной безопасности с использованием метода искусственного интеллекта ( реферат , курсовая , диплом , контрольная )

Содержание

Введение
Глава. 1 Использование метода искусственного интеллекта при реализации мероприятий информационной безопасности
- 1. 1. Основные понятия искусственного интеллекта
- 1. 2. Применение метода ИИ в системах защиты информации
- 1. 3. Применение метода ИИ для моделирования угроз ИБ Глава .2 Информационная система предприятия и анализ ее защищенности
- 2. 1. Описание деятельности предприятия
- 2. 2. Анализ информационной системы предприятия
2.3 Анализ существующего ровня защищенности информационной системы Глава.3 Рекомендации по выполнению мероприятий безопасности в информационной системе предприятия с использованием метода искусственного интеллекта

3.1 Разработка концепции информационной безопасности предприятия Административные мероприятия по обеспечению ИБ Организационные мероприятия по обеспечению ИБ Структура системы сетевой безопасности

3.2 Модель угроз информационной безопасности с использованием методов ИИ

Эти данные могут быть представлены в большом количестве цифровых форматов, включая документы, изображения, звуковые и видеофайлы, а также файлы в формате XML. 2. Оценка рисков

Оценка рисков — это процесс, с помощью которого организация определяет риски, связанные со своей деятельностью, и устанавливает приоритеты в их отношении. При планировании соответствия требованиям стандарта PCI DSS основной задачей является определение рисков для данных владельцев банковских карт и установление приоритетов в отношении выявленных угроз.

Управление изменениями — это структурированный процесс, с помощью которого организация оценивает изменения в плане проекта, ИТ-инфраструктуре, развертывании программного обеспечения или других процессах и процедурах. Система управления изменениями способствует определению изменений, оценке воздействия изменений, определению действий, необходимых для реализации изменений, и распространению сведений об изменениях в пределах всей организации. Система также помогает отслеживать происходящие в организации изменения. Все это позволяет сохранять контроль над ИТ-средой организации в процессе ее изменения.

Решения по обеспечению безопасности сети представляют собой широкую категорию решений, направленных на обеспечение безопасности всех составляющих сети организации, включая брандмауэры, серверы, клиенты, маршрутизаторы, коммутаторы и точки доступа. Планирование и контроль системы безопасности сети организации является основным элементом обеспечения соответствия требованиям стандарта PCI DSS. Существует большое количество решений, разработанных для обеспечения сетевой безопасности, и организация, скорее всего, уже использует те или иные элементы защищенной сети. Гораздо более эффективно и рентабельно строить систему безопасности сети на основе уже реализованных решений, а не начинать все заново. 5. Управление узлами

Решения по управлению узлами предназначены для управления операционными системами серверов и рабочих станций. Решения по управлению узлами также предусматривают реализацию рекомендаций по безопасности на всех уровнях операционных систем каждого узла, установку последних обновлений и исправлений и использование безопасных способов выполнения повседневных операций.

6.Защита от вредоносных программ

Решения по классификации и защите данных определяют порядок применения уровней классификации безопасности к данным владельцев банковских карт в процессе их хранения или передачи. Эта категория решений также управляет защитой данных исходя из необходимости сохранения их конфиденциальности и целостности в процессе хранения или передачи. Наиболее распространенным способом организации защиты данных является использование криптографических решений. 10. Проверка подлинности, авторизация и управление доступом

Проверка подлинности — это процесс идентификации пользователя. В ИТ-среде для проверки подлинности, как правило, применяется имя пользователя и пароль. Однако при проверке подлинности могут использоваться дополнительные способы идентификации — смарт-карты, сканирование сетчатки глаза, распознавание голоса или отпечатков пальцев. Авторизация направлена на определение того, разрешен ли прошедшему проверку 11. Идентификация уязвимостей

Решения по идентификации уязвимостей представляют собой средства, которые организация может использовать для проверки своих информационных систем на наличие уязвимостей. Чтобы иметь возможность эффективно устранять уязвимости, ИТ-специалисты организации должны знать, какие уязвимости существуют в системе. Идентификация уязвимостей также дает возможность восстанавливать данные, случайно утраченные вследствие ошибки пользователя.

12.Наблюдение, аудит и создание отчетов

Решения по наблюдению и созданию отчетов предназначены для сбора и аудита журналов, в которых регистрируются данные проверки подлинности и сеансы доступа к системе. Можно разработать собственные решения для сбора конкретной информации в соответствии со стандартом PCI DSS или использовать существующие средства ведения журналов, встроенные в операционные системы и пакеты программного обеспечения. Перечень программных средств для каждой подсистемы защиты приведен в таблице 3.

2. Во многих случаях предпочтение отдается программным продуктам компании Microsoft, так как в банке уже установлен ряд программных продуктов данной компании. При этом отдельный продукт может использоваться в нескольких подсистемах. Таблица 3.2Перечень ПО по подсистемам

Управления документамиMicrosoft Office SharePoint ServerДанный программный продукт уже функционирует в банке

ОценкарисковMicrosoft Systems Management ServerДанный программный продукт уже функционирует в банке

УправленияизменениямиMicrosoft Office SharePoint ServerДанный программный продукт уже функционирует в банке

1.Протокол IPsec и политики ActiveDirectory2. Настройки безопасности WindowsServer3. Брандмауэр MicrosoftWindowsДанная подсистема реализуется настройками стандартных средств операционной системы. УправленияузламиMicrosoft Systems Management ServerЗащиты от вредоносных программKasperskyAntivirus 6.0Данный программный продукт уже функционирует в банке. БезопасностиприложенийMicrosoft Intelligent Application Gateway (IAG) 2007

Выбор обусловлен ценой программного продукта и опытом использования

1.Шифрованние файловой системы Windows (EFS)2.Служба управления правами MicrosoftWindows (RMS)3.Шифрование данных на сервере Microsoft SQL ServerДанная подсистема реализуется настройками стандартных средств операционной системы. Управления удостоверениями

1.Microsoft Active Directory2. Сервер Microsoft SQL ServerДанная подсистема реализуется настройками стандартных средств операционной системы. Проверки подлинности, авторизации и управления доступом

1.MicrosoftActiveDirectory2.Применение устройства eTokenMicrosoftActiveDirectory уже используется в банке. Выбор eToken обусловлен опытом использования. Идентификации уязвимостей

1.Анализатор безопасности MicrosoftBaselineSecurityAnalyzer (MBSA)2.СОА SnortВыбор MBSA обусловлен поставкой данного ПО с MicrosoftWindowsServer. СОА Snort имеет бесплатное распространение. Наблюдения и аудита Используется:

1.MicrosoftSQLServer2.Системные списки управления доступом NTFS3. Microsoft Operations Manager 2007

Частично подсистема реализована средствами ОС и СУБД. MicrosoftOperationsManager 2007 является лучшим среди аналогов по глубине отчетов. Помимо перечня стандартных средств для обеспечения ЗИ в ЛВС рекомендовано использование системы разработки и управления политикой информационной безопасности КОНДОР. КОНДОР — мощная система разработки и управления политикой безопасности информационной системы компании на основе стандарта ISO 17 799. КОНДОР 2006 — это современный инструмент для разработки всех основных положений политики информационной безопасности вашей компании и управления процессом внедрения этих положений на практике. Система КОНДОР:

Система КОНДОР 2006 состоит из практически всех положений стандарта ISO 17 799, сформулированных в виде вопросов, отвечая на которые, Вы получаете полную картинку — какие в вашей системе положения выполняются, а какие нет. У каждого положения стандарта задан по умолчанию вес, который характеризует степень критичности данного положения для поддержания необходимого уровня защищенности. Веса, заданные в системе по умолчанию, разработаны экспертами DigitalSecurity. Учитывая, что универсальные значения весов не могут учесть все особенности различных компаний, в программе предусмотрена возможность изменения весов при работе с положениями стандарта. После того, как даны все ответы, для анализа дальнейших действий в системе КОНДОР 2006 предусмотрен модуль управления рисками. В нем отражаются все невыполненные в вашей компании положения политики безопасности. Причем вы можете задать пороговое значение весов, чтобы отображались только критичные для вас положения стандарта, которые не выполнены.

После задания контрмеры к невыполненному положению вы видите соотношение стоимости данной контрмеры и величины, на которую изменилось значение риска от невыполненных требований. Таким образом, вы можете расставить приоритеты и заранее оценить эффективность планируемых мероприятий при разработке или работе с уже существующей политикой информационной безопасности вашей компании. КОНДОР 2006 содержит также новую версию стандарта — ISO 17 799:

2005, описывающую такие аспекты управления информационной безопасности, как: политика безопасности;

организационные методы обеспечения информационной безопасности;

пользователи информационной системы;

управление коммуникациями и процессами;

приобретение, разработка и сопровождение информационных систем;

управление инцидентами информационной безопасности;

управление непрерывностью ведения бизнеса;

соответствие системы требованиям. КОНДОР 2006 кроме ISO 17 799:

2000 и ISO 17 799:

2005 содержит также стандарт 27 001, по которому сертифицируют системы управления информационной безопасностью. При помощи модуля редактора баз, Вы сможете редактировать базы, включенные в комплект поставки, а также самостоятельно создавать требуемые Вам базы стандартов. КОНДОР 2006 в простой и удобной форме поможет разработать с нуля, проанализировать существующую политику безопасности, разработать и внедрить изменения и дополнения в соответствии с лучшими международными стандартами. Для обеспечения ЗИ от утечки по ТКУИ рекомендовано использовать программно-аппаратный комплекс ГРИФ-АЭ-1001

Программно-аппаратный комплекс предназначен для проведения проверок выполнения норм эффективности защиты речевой информации от утечки по акустическому, виброакустическому каналам, по каналу низкочастотных наводок на линиях коммуникаций, по каналу акустоэлектрических преобразований в линиях технических средств и за счет побочных электромагнитных излучений ТСПИ в звуковом диапазоне. Комплекс внесен в Государственный реестр средств измерений (Рег. № 28 907−05) имеет Сертификат об утверждении типа средств измерений военного назначения (RU.E.

36.018. B) Возможности комплекса:

проведение измерений параметров звукои виброизоляционных свойств помещений, конструкций и инженерных коммуникаций.

проведение исследований характеристик и проверка эффективности систем акустического, виброакустического и электромагнитного зашумления.

проведение специальных исследований ТСПИ. измерение уровней сигналов акустоэлектрических преобразователей.

измерение взаимных наводок от ТСПИ на проводные коммуникации.

измерение характеристик акустических и виброакустических сигналов с использованием октавного и третьоктавного анализа.

использование комплекса в качестве спектроанализатора в заданном диапазоне частот при различных исследованиях.

проведение статистических расчетов измерений в соответствии с действующими методиками Гостехкомиссии России. Технические особенности комплекса:

Комплекс состоит из единого аппаратного модуля и ПЭВМ (Notebook), объединенные по шине USB с раздельным автономным питанием. Аппаратный модуль включает в себя два независимых канала на сверхмалошумящих усилителях в симметричном (дифференциальном) и несимметричном включениях для входного сопротивления 600 Ом и 1 МОм, блоки аналоговой фильтрации промышленных помех и полосовые фильтры, канал усиления от микрофона и вибродатчика, управляемый тональный генератор и генератор шума, телефонный усилитель для слухового контроля и аналогово-цифровой преобразователь для связи с персональным компьютером. Опционально планируется укомплектовывать комплекс радиоканалом для получения сигналов в цифровом коде от различных датчиков, а также для дистанционного управления усилителем акустической системы. Органы управления прибора сведены к минимуму (кнопка общего включения питания и регулятор громкости телефонного усилителя).Управление всеми режимами работы прибора осуществляется с использованием специального программного обеспечения по шине USB. Предусмотрена система автоматического контроля состояния аккумуляторов с индикацией светодиодами на передней панели аналогового модуля. Имеется режим калибровки прибора по амплитуде измеряемых сигналов измерений с применением встроенного поверяемого калибратора. Специальное программное обеспечение состоит из двух частей — первая обеспечивает работу комплекса в режимах временного и частотного анализа для сигналов, снимаемых с различных входных устройств, в параллельном режиме измерения звукового давления тест-сигнала или других акустических и виброакустических сигналов с использованием октавного или третьоктавного анализа, управляет всеми модулями в различных режимах работы и накапливает результаты измерений; вторая часть программы — расчетная (поставляется отдельно), позволяющая соотнести результаты измерений к нормам ФСТЭК России. Вывод: Построение системы сетевой безопасности осуществляется в основном настройкой имеющихся программных средств, в связи с чем повышается экономическая эффективность проекта. Дополнительно необходимо установить следующие программные средства: MicrosoftIntelligentApplicationGateway (IAG) 2007, устройство eToken, MicrosoftBaselineSecurityAnalyzer (MBSA), Snort и MicrosoftOperationsManager 2007.

3.2 Модель угроз информационной безопасности с использованием методов ИИМодель угроз ИБ должна представлять собой официально принятый нормативный документ, которым должен руководствоваться специалист по ИБ. Модель угроз должна включать:

полный реестр типов возможных программных закладок;

описание наиболее технологически уязвимых мест компьютерных систем (с точки зрения важности и наличия условий для скрытого внедрения программных закладок);описание мест и технологические карты разработки программных средств, а также критических этапов, при которых наиболее вероятно скрытое внедрение программных закладок;

реконструкцию замысла структур, имеющих своей целью внедрение в ПО заданного типа (класса, вида) программных закладок диверсионного типа;

Список литературы

Конституция Российской Федерации. Принята 12.

10.97″ // Собрание законодательства Российской Федерации. 1997. № 41. Ст. 4673

Систем, 2003;Венда В. Ф. Системы гибридного интеллекта — М.: Машиностроение, 2000

Романец Ю.В., Тимофеев П. А. , Шаньгин В. Ф. Защита информации в компьютерных системах и сетях. Под ред. В. Ф. Шаньгина . ;

2-е изд., перераб. и доп. — М.: Радио и связь, 2001. — 376 с.: ил. Теория и практика информационной безопасности", под ред.

Москва, 16−18 октября 2001 г. С.70−74Девянин П.Н., Михальский О. О. , Правиков Д. И. , Щербаков А. Ю. Теоретические основы компьютерной безопасности: Учебное пособие для ВУЗов. — М.: Радио и связь, 2000. -

Мельников В. В. Безопасность информации в автоматизированных системах. — М.: Финансы и статистика, 2003. — 368с. Мельников В. В. , Клейменов С. А. , Петраков А. М. Информационная безопасность. -

Ярочкин В. И. Информационная безопасность. — М.: Гаудеамус, 2004. — 544с. Приложение 1Доля банка на рынке

Пример готовой дипломной работы по предмету: Информационные технологии

Содержание

Глава.1 Использование метода искусственного интеллекта при реализации мероприятий информационной безопасности

1.1 Основные понятия искусственного интеллекта

1.2. Применение метода ИИ в системах защиты информации

1.3. Применение метода ИИ для моделирования угроз ИБ

Глава.2 Информационная система предприятия и анализ ее защищенности

2.1 Описание деятельности предприятия

2.2 Анализ информационной системы предприятия

2.3 Анализ существующего ровня защищенности информационной системы

Глава.3 Рекомендации по выполнению мероприятий безопасности в информационной системе предприятия с использованием метода искусственного интеллекта

3.1 Разработка концепции информационной безопасности предприятия

Административные мероприятия по обеспечению ИБ

Организационные мероприятия по обеспечению ИБ

Структура системы сетевой безопасности

3.2 Модель угроз информационной безопасности с использованием методов ИИ

Выдержка из текста
- Выявить угрозы информационной безопасности предприятия и описать возможный ущерб от их реализации.- Проанализировать систему обеспечения информационной безопасности и выбрать методы ее модернизации.
Несмотря на наличие работ в вышеперечисленных областях, теоретические прикладные исследования по созданию интеллектуальных информационных систем предприятий находятся на стадии становления и общепринятых подходов к решению представленных проблем до настоящего времени не сформированы. Все изложенное подтверждает актуальность исследований по теме выпускной квалификационной работы.

Методологическую основу исследования составляет набор методов, что обусловлено междисциплинарным характером работы. Так, использовался сравнительно-исторический метод, описательно-сравнительный метод, позволяющий предлагать собственные позиции на основе взглядов разных исследователей на рассматриваемые проблемы. Применялись также общенаучные методы – анализ, синтез, дедукция, обобщение, аналогия и т.д.

Цель данной работы — изучить основы организации информационной безопасности предприятия и предложить меры по ее повышению. Охарактеризовать методы обеспечения информационной безопасности. Проанализировать систему обеспечения информационной безопасности и выбрать методы ее модернизации.
- выявить основные принципы формирования системы информационной безопасности в РФ;По литературным данным изучена значимость информационной безопасности на всех уровнях: от локального до федерального.
Однако, в данном случае надо сосредоточить внимание на чисто экономическом аспекте информационной безопасности, исходя из того, что такая информация — результат интеллектуального труда, т.

В рамках работы над проектом был проведен анализ экономической составляющей защиты информации. Показано, что проектирование архитектуры защиты информации должно начинаться с оценки стоимости информационных активов, на основании которой проводится выбор проектных решений в области информационной безопасности.

Теоретико-методологические основы исследования составили труду таких авторов в сфере информационной безопасности, как Беспалько А.А., Власков А.С., Гапоненко В.Ф., Мак-Мак В.П., Нежданов И.Ю., Попов Ю.П., Ярочкин В.И. и др.

По этой причине она не может обеспечивать необходимую скорость и качество таможенного контроля, а также таможенное оформление без использования информационных технологий. Главное управление информационных технологий отвечает за оснащение абсолютно всех подразделений Федеральной таможенной службы России всеми средствами технического контроля, начиная от самых простых (зеркала, щупы, анализаторы подлинности валют, анализаторы содержания драгметаллов) и заканчивая сложными программными комплексами, автоматизированными системами, а также за их внедрение и эффективность использования всеми подразделениями Федеральной таможенной службы.

Теоретико-методологические основы исследования составили труду таких авторов в сфере информационной безопасности, как Беспалько А.А., Власков А.С., Гапоненко В.Ф., Мак-Мак В.П., Нежданов И.Ю., Попов Ю.П., Ярочкин В.И. и др.

В связи с этим информационная безопасность приобретает все большую значимость в общей системе обеспечения национальной безопасности Российской Федерации в целом.Задачи развития правового регулирования в области обеспечения информационной безопасности и направления его развития определены в Концепции национальной безопасности Российской Федерации, в Доктрине информационной безопасности Российской Федерации, в Основных направлениях нормативного правового обеспечения информационной безопасности.

Данный документ описывает объект защиты, его состав и схему, информационные потоки, категоризирует пользователей системы, описывает потенциальные угрозы и предлагает меры и порядок действий по недопущению возникновения ситуаций нарушающих целостность, доступность и конфиденциальность данных.Организации, участвующие в обеспечении информационной безопасности:

Административно правовые аспекты обеспечения информационной безопасности и роль ФСБ в ее осуществлении

Важнейшим условием реализации этих целей является обеспечение необходимого и достаточного уровня информационной безопасности (ИБ) организаций БС РФ, их активов (в т. В связи с этим Банк России является сторонником регулярной оценки уровня ИБ в организациях БС РФ, оценки риска нарушения ИБ и принятия мер, необходимых для управления этим риском.СОИБ — система обеспечения информационной безопасности;

Список литературы

1.Конституция Российской Федерации. Принята 12.12.1993 года;

2. июля 2006 г. Принят Государственной Думой 8 июля 2006 года. Одобрен Советом Федерации

1. июля 2006 года.

2. июля 2006 года № 152-ФЗ (Москва, Кремль

2. июля 2006 года № 152-ФЗ).

Н., Вайткявичус Г.Г. Нейроинтеллект: от нейрона к нейрокомпьютеру – М.: Наука, 2004;
- 10.Цыганков В. Д. Нейрокомпьютер и его применение – М.: СолСистем, 2003;
- 11.Венда В.
Ф. Системы гибридного интеллекта – М.: Машиностроение, 2000.

12.Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. Под ред. В.Ф. Шаньгина. — 2-е изд., перераб. и доп. — М.: Радио и связь, 2001. — 376 с.: ил.

14.Теренин А.А. Информационные уязвимости интернет-проектов электронной торговли. Доклады международной конференции “Информационные средства и технологии”, том 2, г. Москва, 16-18 октября 2001 г. С.70-74

15.Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности: Учебное пособие для ВУЗов. – М.: Радио и связь, 2000. – 192с.

17.Мельников В.В. Безопасность информации в автоматизированных системах. – М.: Финансы и статистика, 2003. – 368с.

18.Мельников В.В., Клейменов С.А., Петраков А.М. Информационная безопасность. – М.: Академия, 2005. – 336с.

19.Назаров С.В. Локальные вычислительные сети. Книга

20.Хореев П.Б. Методы и средства защиты информации в компьютерных системах. — М.: Академия, 2005.

21.Ярочкин В.И. Информационная безопасность. – М.: Гаудеамус, 2004. – 544с.

Скорость развития и изменения киберпространства в последние 3-5 лет поражает воображение уже не только неискушенных пользователей, но и маститых специалистов в области ИТ и ИБ. Происходит экспоненциальное развитие даже не объема обрабатываемых данных, количества подключенных к интернету устройств или приложений/сервисов, но и самих концепций и технологий, а всеобъемлющая цифровизация и переход большинства бизнесов в онлайн в связи с пандемией лишь ускорили данный тренд.

Разговоры о практическом применении искусственного интеллекта, в том числе и в информационной безопасности, ведутся уже давно, но на рынок данные инструменты вышли тогда, когда зрелость таких продуктов позволила применять их в корпоративных средах, точность работы стала оправдывать их стоимость, а возможности злоумышленников стали широки настолько, что эффективно и оперативно противостоять им стало возможно только с применением данной технологии.

С тех пор наука значительно продвинулась в вопросах создания искусственного интеллекта: знаковыми событиями можно назвать шахматную победу суперкомпьютера IBM Deep Blue над гроссмейстером Гарри Каспаровым в 1997 году и победу в игре го программы AlphaGo разработки Google DeepMind над профессиональным игроком Ли Седолем в 2016 году. При этом первая победа была достигнута в хорошо алгоритмизируемой шахматной игре, где для выигрыша достаточно знать все возможные комбинации и ходы, а вторая - за счет машинного обучения, который применялся AlphaGo для самообучения игре в го.

Итак, давайте дадим современные определения нескольким терминам, связанным с искусственным интеллектом (ИИ).

Искусственный интеллект (англ. Artificial intelligence, AI) предполагает выполнение информационными системами задач принятия решений и обучения, по аналогии с интеллектом живых существ

Нейронная сеть (англ. Neural network) - взаимосвязанное множество искусственных нейронов, выполняющих простые логические операции, обладающее способностью машинного обучения

Машинное обучение (англ. Machine learning, ML) - это техника обучения информационной системы на основе предоставленных наборов данных (англ. dataset) без использования предопределенных правил, является частным случаем искусственного интеллекта. Общей задачей машинного обучения является построение алгоритма (программы) на основании предоставленных входных данных и заданных верных/ожидающихся результатов - таким образом, процесс работы ML-системы разделен на первоначальное обучение на предоставляемых датасетах и на последующее принятие решений уже обученной системой.

Существует несколько способов машинного обучения, например:

Обучение с частичным привлечением учителя (англ. Semi-supervised learning) - способ машинного обучения, в котором комбинируется небольшое количество размеченных наборов данных и большое количество неразмеченных. Такой подход оправдан тем, что получение качественных размеченных дата-сетов является достаточно ресурсоемким и длительным процессом

При этом в машинном обучении могут использоваться и другие алгоритмы, такие как байесовские сети, цепи Маркова, градиентный бустинг.

Глубокое обучение (англ. Deep learning) - это частный случай машинного обучения, в котором используется сложная многослойная искусственная нейронная сеть для эмуляции работы человеческого мозга и обработки речи (англ. natural language processing), звуковых (англ. speech recognition) и визуальных образов (англ. computer vision). Машинное зрение (computer vision) в настоящее время широко используются в системах обеспечения безопасности, контроля транспорта и пассажиров. Системы обработки речи (natural language processing) и распознавания слов (speech recognition) помогают голосовым ассистентам Сири или Алисе отвечать на вопросы пользователей.

Большие данные (Big Data) - большой объем структурированных и неструктурированных данных в цифровом виде, характеризующийся объемом (volume), скоростью изменения (velocity) и разнообразием (variety). Для обработки Big Data могут применяться специализированные программные инструменты, такие как Apache Hadoop / Storm / Spark, Kaggle, СУБД класса NoSQL. Считается, что для повышения business-value при использовании Big Data требуется перейти от разнородных данных к структурированной информации, а затем - к знаниям (сведениям). Обработанный, структурированный и размеченный dataset, полученный из релевантного массива Big Data, является необходимым (и одним из самых ценных) компонентом для машинного обучения в современных системах.

Глубокий анализ данных (Data mining) - структурирование и выделение полезной информации из разнородной и неструктурированной массы данных, в том числе из Big Data.

Рассмотрев основные определения и принципы, перейдем к вопросу практического применения систем искусственного интеллекта в кибербезопасности. Использование ИИ в ИБ обосновано прежде всего двумя факторами: необходимостью оперативного реагирования при наступлении киберинцидента и нехваткой квалифицированных специалистов по киберзащите. Действительно, в современных реалиях довольно сложно заполнить штатное расписание квалифицированными специалистами по ИБ с необходимым опытом, а масштабные инциденты ИБ могут развиваться стремительно: счет зачастую идет на минуты. Если в компании отсутствует круглосуточная дежурная смена аналитиков ИБ, то без системы оперативного автономного реагирования на киберинциденты будет затруднительно обеспечить качественную защиту в нерабочее время. Кроме того, злоумышленники перед своей атакой могут выполнить отвлекающий маневр - например, запустить DDoS-атаку или активное сетевое сканирование, отвлекая киберспециалистов. В таких ситуациях поможет система реагирования на киберинциденты на основе искусственного интеллекта, которая может одновременно обрабатывать большое количество событий ИБ, автоматизировать рутинные действия аналитиков ИБ и обеспечивать оперативное реагирование на инциденты без участия человека. Например, в нашем IRP/SOAR-решении Security Vision широко применяются механизмы искусственного интеллекта и машинного обучения: обученная на ранее решенных инцидентах платформа сама предложит аналитику подходящее действие по реагированию в зависимости от типа киберинцидента и его свойств, будет назначена оптимальная команда реагирования из коллег, обладающих наиболее релевантными знаниями, а в случае обнаружения нетипичных подозрительных событий система сама создаст соответствующий инцидент и оповестит о нем сотрудников ИБ-департамента. В решении IRP/SOAR Security Vision используются алгоритмы предиктивного реагирования на киберинциденты: обученная система позволяет спрогнозировать вектор атаки и её последующее развитие в инфраструктуре, показать тенденции, а затем автоматически пресечь вредоносные действия и дать советы аналитикам SOC-центра.

Системы защиты на основе искусственного интеллекта будут незаменимы для выявления аномалий в большом количестве событий информационной безопасности, например, путем анализа журналов СЗИ, данных из SIEM-систем или SOAR-решений. Эта информация, вкупе с данными уже отработанных и закрытых инцидентов ИБ, будет представлять собой качественный размеченный dataset, на котором системе можно будет легко обучиться.

При этом не следует забывать и то, что системы на базе искусственного интеллекта используют и киберпреступники: известны мошеннические приемы использования Deep fake (создание реалистичного виртуального образа человека) для обмана анти-фрод систем, подделки голосов для мошеннических звонков родственникам атакованных лиц с просьбой перевести деньги, применения телефонных IVR-технологий для фишинга и хищения денежных средств. Во вредоносном ПО также используются элементы искусственного интеллекта, которые позволяют атакующим гораздо быстрее повышать свои привилегии, перемещаться по корпоративной сети, а затем находить и похищать интересующие их данные. Таким образом, технологии, ставшие доступными широкой публике, используются как во благо, так и во вред, что означает, что бороться с такими подготовленными киберпреступниками можно и нужно с применением самых совершенных средств и методов защиты.

Введение

Технологии искусственного интеллекта (ИИ) и машинного обучения уже сейчас широко применяются в информационных системах для увеличения производительности труда, повышения продаж, обучения. Их использование в защите от кибератак становится одним из ключевых направлений в информационной безопасности.

На текущий момент количество атак растёт, а ландшафт угроз меняется с молниеносной скоростью. Например, продукты Kaspersky отражают более 700 млн онлайн-атак в квартал (данные за вторую четверть 2019 года) по всему миру, а Cisco заявляет о блокировании 20 млрд сетевых атак в день (более 7 триллионов атак за 2018 год). Очевидно, что при таких объёмах вредоносной деятельности злоумышленники активно применяют средства автоматизации кибератак, в том числе используют технологии искусственного интеллекта и машинного обучения для их совершенствования и трансформации, а также для обхода известных средств защиты. Так, например, эффективным прототипом является известный троян Emotet. Основным каналом для его распространения является спам-фишинг, и группировка, стоящая за созданием Emotet, могла без особых затруднений использовать ИИ для усиления атаки, встраиваясь нативно в цепочки разговоров и используя анализ текста на естественном языке.

Другой возможной сферой вредоносного применения искусственного интеллекта является более эффективный подбор паролей или обход двухфакторной аутентификации. Ещё два года назад исследователи создали бота, который был способен обходить проверки СAPTCHA с эффективностью в 90% с помощью технологий ИИ. Используя огромное количество различных источников данных в даркнете для формирования базы знаний искусственного разума, злоумышленники могут сделать атаки на человека по-настоящему действенными.

Релевантность искусственного интеллекта в информационной безопасности

В 2019 году мировой рынок технологий искусственного интеллекта в информационной безопасности оценивается экспертами (MarketsandMarkets, Zion Market Research) в $8 млрд, с достижением $30 млрд в 2025 году и ежегодным ростом на 23%.

Рисунок 1. Прогноз объёма мирового рынка технологий искусственного интеллекта в информационной безопасности на 2019-2025 годы, по данным MarketsandMarkets

Организации, внедряющие технологии искусственного интеллекта для поведенческого анализа и предиктивной аналитики, получают ощутимые результаты в виде повышения эффективности обнаружения атак, сокращения времени реагирования и затрат на организацию безопасности.

По данным Capgemini Research Institute, 64% организаций, годовая выручка которых составляет более $1 млрд, заявляют о том, что технологии искусственного интеллекта сокращают затраты на обнаружение и реагирование на угрозы безопасности, и около 75% заявляют о сокращении времени реагирования (до 12%).

Рисунок 2. Статистика сокращения расходов на детектирование и реагирование на инциденты при использовании технологий ИИ

Рисунок 3. Статистика сокращения времени обнаружения угроз при использовании технологий ИИ

Для исследования нами было отобрано из публичных аналитических отчётов, упоминаний в прессе и открытых баз (Crunchbase, Owler, Angel List) 66 вендоров, которые активно применяют технологии поведенческого анализа и предиктивную аналитику в своих продуктах по информационной безопасности. Участники выбирались по принципу глобальной доступности, локальные игроки (т.е. работающие только в своей стране или регионе) не учитывались в исследовании, так же как и местные рынки в целом. Существует много предприятий, имеющих продукты в разработке; они также не попадают в классификацию, но учитываются в инвестиционном анализе.

Суммарно сегмент вендоров, которые применяют ИИ в своих продуктах по информационной безопасности, имеет следующую оценку (выручка по результатам 2018 года):

Таблица 1. Общая оценка отобранных вендоров

Суммарные инвестиции, $ млн

3749

Суммарная выручка, $ млн

1592

Пик появления стартапов приходится на 2014—2015 годы, когда появились базовые библиотеки и технологии ИИ начали активно применяться в прикладных системах.

Рисунок 4. Распределение вендоров по году основания

Статистика инвестиционной активности показывает, что существуют две основные волны применения технологий. Компании первой волны находятся на позднем этапе венчурных инвестиций, в основном их разработки относятся к типу EDR. Предприятия второй волны специализируются на предиктивной аналитике / агрегации внешних данных и сейчас ещё находятся на посевном этапе или в ранних раундах венчурных инвестиций.

Классификация продуктов с технологиями искусственного интеллекта по сценариям применения

Классифицировать продукты отобранных нами компаний, применяющие технологии поведенческого анализа и предиктивной аналитики, можно по двум направлениям: по функциональному и технологическому типу и по сценариям использования.

Рисунок 5. Распределение продуктов с применением технологий ИИ по сценариям использования

Перечислим основные типы:
1. EDR (Endpoint Detection and Response) — платформы обнаружения атак на рабочих станциях, серверах, любых компьютерных устройствах (конечных точках) и оперативного реагирования на них. С помощью технологий ИИ продукты данной категории могут обнаруживать неизвестные вредоносные программы, автоматически классифицировать угрозы и самостоятельно реагировать на них, передавая данные в центр управления. ИИ принимает решения на основе общей базы знаний, накопленной путём сбора данных со множества устройств. Некоторые продукты данного типа используют технологии ИИ для разметки данных на конечных точках и дальнейшего контроля их перемещения, чтобы выявлять внутренние угрозы.
2. NDR (Network Detection and Response) — устройства и аналитические платформы, которые обнаруживают атаки на сетевом уровне и позволяют оперативно на них реагировать. Используя накопленную статистику и базу знаний об угрозах, продукты данного типа выявляют с помощью технологий ИИ угрозы в сетевом трафике и могут автоматически на них реагировать надлежащим образом, изменяя конфигурацию сетевых устройств и шлюзов. Часть продуктов данного типа специализируется на защите облачных провайдеров и их инфраструктуры. Дополнительный сценарий использования ИИ в сетевой защите — это анализ почтового трафика на предмет фишинга.
3. UEBA (User and Entity Behavior Analytics) — системы поведенческого анализа пользователей и информационных сущностей. Они обнаруживают случаи необычного поведения и используют их для детектирования внутренних и внешних угроз. Основной сценарий применения ИИ-технологий в продуктах типа UEBA — это автоматическое выявление аномалий в поведенческих моделях (отклонение от нормы или соответствие шаблону (паттерну) угрозы) для пользователей и различных сущностей информационных систем. Выявленные аномалии классифицируются с помощью ИИ как различные угрозы и риски для бизнеса. Аномальное поведение может выявляться в целях мониторинга и управления доступом, обнаружения мошенничества среди клиентов или сотрудников (антифрод), защиты конфиденциальных данных, проверки соблюдения тех или иных регламентов и нормативных актов.
4. TIP (Threat Intelligence Platform) —платформы раннего детектирования угроз и реагирования на них, действующие на основе большого количества различных данных (Data Lake) и индикаторов компрометации (IoC).Применение ИИ позволяет повысить эффективность выявления неизвестных угроз на ранних этапах; сценарий очень схож с работой SIEM-систем, но нацелен на внешние источники данных и внешние угрозы.
5. SIEM (Security Information and Event Management) — решения, которые осуществляют мониторинг информационных систем, в режиме реального времени анализируют события безопасности, поступающие от сетевых устройств, средств защиты информации, ИТ-сервисов, инфраструктуры систем и приложений, и помогают обнаружить инциденты ИБ. В системах такого класса накапливается огромное количество данных из различных источников, а применение технологий ИИ даёт возможность выявления аномалий эвристическими методами и сокращения ложных срабатываний при изменении паттернов и моделей данных. Применение ИИ в SIEM-системах позволяет достигнуть очень высокого уровня автоматизации.
6. SOAR (Security Orchestration and Automated Response) — системы, позволяющие выявлять угрозы информационной безопасности и автоматизировать реагирование на инциденты. В решениях данного типа, в отличие от SIEM-систем, ИИ помогает не только проводить анализ, но и автоматически реагировать надлежащим образом на выявленные угрозы.
7. Средства защиты приложений (Application Security) — системы, позволяющие определять угрозы безопасности прикладных приложений, управлять дальнейшим циклом мониторинга и устранения таких угроз. Основной сценарий применения технологий ИИ в системах защиты прикладных приложений — автоматический сбор информации об уязвимостях, атаках и заражениях, доступной в открытых источниках, и основанная на его результатах автоматизация защитных действий: сканирования на уязвимости, изменения правил защиты для веб-приложений, выявления угроз и изменения рисковой модели.
8. Антифрод (Antifraud) — системы, позволяющие выявлять угрозы в бизнес-процессах и предотвращать мошеннические операции в режиме реального времени. В системах защиты от мошенничества технологии ИИ применяются для определения отклонений от установленных бизнес-процессов, тем самым помогая быстро реагировать на возможное финансовое преступление или уязвимость процессов. Применение ИИ в таких системах особенно актуально, так как позволяет быстро адаптироваться к изменению логики и различных метрик бизнес-процессов, а также использовать лучшие практики в индустрии.
Оценка использования технологий искусственного интеллекта в информационной безопасности

Для всех типов данных систем технологии искусственного интеллекта позволяют увеличить эффективность детектирования неизвестных угроз. Так считают, по данным SANS, около 30% специалистов по безопасности.

Рисунок 6. Какие метрики информационной безопасности улучшит применение технологий ИИ

По данным Osterman Research, большинство компаний, которые начали использовать продукты с технологиями ИИ, отмечают повышение эффективности в расследовании инцидентов, управлении персоналом по информационной безопасности, обнаружении и скорости реакции на угрозы. Многие также обращают внимание на сокращение количества ложных срабатываний.

Рисунок 7. Статистика по улучшению показателей информационной безопасности после применения технологий ИИ

По данным Ponemon Institute, около 60% специалистов по ИБ считают, что использование технологий искусственного интеллекта в информационной безопасности повышает скорость анализа и обнаружения угроз на конечных точках и в приложениях.

Рисунок 8. Статистика улучшения метрик информационной безопасности после применения технологий ИИ

Выводы

Обзор состояния сегмента искусственного интеллекта в информационной безопасности позволяет сделать следующие заключения:

Читайте также: