El tema de la inteligencia artificial, que se originó en los años 60, ahora está experimentando un boom increíble. Las computadoras vencen a los jugadores de ajedrez y a los fanáticos de Go, a veces tienen más probabilidades de ser diagnosticados con un médico, las redes neuronales (esta vez no relacionadas con las mentes de tres ingenieros de soporte técnico) están tratando seriamente de resolver problemas aplicados complejos, y en algún lugar del horizonte se avecina inteligencia artificial universal, que cuando - Algo reemplazará a su pariente aplicado.
La seguridad de la información tampoco permanece fuera de los límites de la publicidad en torno a la IA (o su evolución, aquí todos deciden por sí mismos). Cada vez más, escuchamos acerca de los enfoques necesarios, las soluciones que se están elaborando e incluso (a veces tímidamente e incertidumbre, y a veces en voz alta y, desafortunadamente, no muy creíble) sobre los primeros éxitos prácticos en esta área. Por supuesto, no nos comprometemos a hablar por toda la seguridad de la información, pero trataremos de descubrir cuáles son las posibilidades reales de usar AI en la dirección del SOC (Centro de Operaciones de Seguridad) que sea relevante para nosotros. ¿Quién está interesado en el tema o solo quiere echar un vistazo a los comentarios? Bienvenido a Cat.
Escribir AI para tareas de IS, o no todas las IA son igualmente útiles
Existen muchos enfoques para la clasificación de la inteligencia artificial, en términos de tipos de sistemas, ondas evolutivas del desarrollo de una dirección, tipos de entrenamiento, etc. En esta publicación consideraremos la clasificación de los tipos de IA desde el punto de vista del enfoque de ingeniería. En esta clasificación, AI se divide en 4 tipos.
1. Enfoque lógico (sistema informático experto): la IA se forma principalmente como un sistema de prueba de hechos complejos. El sistema interpreta cualquier objetivo emergente como una tarea que debe resolverse mediante métodos lógicos. Según las fuentes, el sistema IBM Watson, infame para todos los fanáticos del ajedrez ruso, utiliza enfoques similares en su trabajo.
La esencia de este enfoque es que el sistema en su mayor parte tiene dos interfaces principales: para adquirir información (donde la capacitación es realizada por un experto en el área temática) y para resolver un problema (donde el conocimiento y las técnicas obtenidas se utilizan para resolver problemas lógicos y prácticos).
Este enfoque se toma en cuenta con mayor frecuencia cuando se habla de las perspectivas para el uso de IA en la seguridad de la información, por lo que lo revisaremos para una consideración más detallada en el futuro.
2. Enfoque estructural : cuando una de las principales tareas de ingeniería de la IA es la emulación del cerebro humano con su capacidad de estructurar y analizar información. De hecho, los flujos de datos suministrados al sistema y la retroalimentación que se le proporciona (lo que ayuda a muchas personas comunes, incluidos los analistas de SOC), aprende y mejora los algoritmos internos de toma de decisiones.
Debido a la posibilidad de una retroalimentación detallada, estos enfoques a menudo se usan en relación con matrices de datos estructurados condicionalmente. Esto es procesamiento de imágenes, personalización de datos, etiquetado de contenido de audio / video u otra información. En la mayoría de las implementaciones conocidas, el sistema, si bien no es puramente experto y no requiere un modo de adquisición de conocimiento, requiere un trabajo sustancial del operador para formar un flujo de retroalimentación estable y significativo. Hay una semejanza con el trabajo del cerebro humano: para que la IA "crezca", se le debe enseñar qué es bueno y qué es malo, qué es caliente, qué es frío, dónde está la madre y dónde es un extraño.
3. El enfoque evolutivo : el cultivo de IA en el proceso de intercambio de conocimiento entre programas más simples y la formación de una nueva estructura de código más compleja. La tarea de la evolución es principalmente la creación de un "aspecto perfecto" y la adaptación a un nuevo entorno agresivo, la supervivencia, para evitar el triste destino de los dinosaurios.
En mi opinión, las posibilidades de que este enfoque nos lleve a la inteligencia artificial, capaz de resolver problemas de seguridad de la información o participar en las actividades de SOC, son pequeñas. Nuestro entorno cibernético es ciertamente bastante agresivo, los ataques ocurren todos los días y en grandes cantidades, pero la opción de crear las condiciones para que el entorno IS respalde y estimule el enfoque evolutivo parece poco probable. Las personas con una opinión alternativa sobre el tema son bienvenidas a comentar.
4. Enfoque de simulación : la creación de un simulador de acciones en el área de estudio a través de observaciones a largo plazo del sujeto simulado. Para simplificar, la tarea es leer todos los parámetros de entrada y datos de salida (resultados de análisis, acciones, etc.) para que después de un tiempo la máquina pueda producir exactamente los mismos resultados que el objeto en estudio, y potencialmente transmitir los mismos pensamientos si el objeto fuera una persona.
A pesar del atractivo de vincular a Big Brother con el analista SOC, el enfoque IB también parece ser de poca utilidad. En primer lugar, debido a la dificultad de recopilar y separar el nuevo conocimiento en el campo de la seguridad de la información de todos los demás (una persona es débil y está contenta de distraerse por contextos externos incluso en el proceso de trabajo), y debido a la imperfección de las herramientas de observación (las derivaciones para leer información aún no se han desarrollado especialmente y gloria a dios).
Si observa integralmente todos los enfoques descritos, especialmente en términos de su aplicación para las tareas de análisis de SOC, se nota una característica común: para el desarrollo correcto, la IA del bebé debe alimentarse, con métodos, respuestas correctas y los datos más estructurados que le explicarán cómo en el futuro debería Cree y tome sus propias decisiones, o enséñele a usar interfaces de información externas. Además, en nuestro caso, estas interfaces también deberían estructurarse y automatizarse: si el analista de SOC puede recibir información sobre la amenaza o el activo por teléfono, entonces este número no funcionará con la IA.
En el caso general, parte de los procesos de seguridad de la información (detección de fraude, protección de aplicaciones web, análisis de derechos y credenciales de los usuarios) realmente respalda el principio de grandes números y una estructura "lógica". En el caso de la detección de incidentes, todo es mucho más entretenido.
Todo esto, o las capacidades de la inteligencia artificial en el contexto de los procesos SOC
Ahora intentemos "aterrizar" los enfoques lógicos y estructurales de la inteligencia artificial en los procesos clave de SOC. Dado que en ambos casos se implica una imitación del pensamiento lógico humano, vale la pena comenzar a hacer una pregunta: ¿qué haría yo, un analista de SOC, para resolver este problema u obtener una respuesta desde algún lugar, automatizado? Veamos los procesos clave del SOC:
1. El proceso de inventariar o recopilar información sobre activos. Una tarea suficientemente grande, incluida la IA, que debería recibir un contexto sobre los objetos de observación y con su ayuda para aprender.
En teoría, este es un campo fértil para la IA. Cuando aparece un nuevo sistema, puede "compararlo" de manera confiable con sus vecinos (analizando el tráfico de la red, la estructura del software y la comunicación con otras IP) y, a partir de esto, hacer una suposición sobre su propósito, clase e información almacenada clave. Y si agrega el contexto de creación allí ("el sistema fue escrito por Vasya, y Vasya en nuestra empresa es un especialista en gestión de documentos de TI, y los últimos diez sistemas que creó fueron la gestión de documentos" o "al mismo tiempo se crearon 4 sistemas más que indican claramente el propósito" etc.), luego realizar un inventario y una contabilidad de activos parece factible para la tarea de IA.
Matices emergentes o problemas externosR. En la práctica, observamos un nivel considerable de entropía entre los clientes, incluso dentro del marco de un sistema comercial separado. Aquí y las características del trabajo de un ingeniero en particular, y una configuración de interacción ligeramente modificada para este sistema y software adicional. Y también para los procesos de monitoreo y gestión de incidentes, es importante que comprendamos si el sistema es productivo o prueba, si los datos de combate se cargan o no, y una docena de otros problemas menores que generalmente son fáciles de resolver por teléfono y bastante difíciles de aislar de los flujos de información.
B. Para abordar el problema, en algún momento es necesario crear un ambiente condicionalmente estéril en el que todavía sepamos quién es quién y qué tareas se están resolviendo. Los procesos de incluso la creación básica de un modelo de activos para la mayoría de los clientes ... bueno, en general, no hablaremos de cosas tristes, usted mismo lo sabe todo.
Sin embargo, observamos la promesa de usar AI en esta tarea como "algún día" y seguimos adelante.
2. El proceso de gestión de vulnerabilidades. Por supuesto, no estamos hablando de escaneo instrumental básico e identificación de vulnerabilidades y defectos de configuración (aquí ni siquiera se necesita ML en Python, no como AI en Powerpoint: todo funciona en algoritmos básicos). La tarea es poner las vulnerabilidades identificadas en el mapa de activos real, priorizarlas dependiendo de la criticidad y el valor de los activos amenazados, formar un plan ... Y aquí está la parada. Determinar realmente cuál de los activos vale es una tarea que incluso un guardia de seguridad en vivo a menudo no puede resolver. El proceso de análisis de riesgos y valoración de activos generalmente muere en la etapa de evaluar el valor de la información o alinear esta evaluación con el negocio. En Rusia, no más de una docena de compañías tomaron este camino.
Pero, quizás, en el modo facilitado (cuando el costo de un recurso o su criticidad se estima en una escala relativa de 10 o 100 puntos), el problema definitivamente puede resolverse. Además, los problemas de automatización nos devuelven en primer lugar al artículo anterior: inventario. Después de eso, el problema se resuelve mediante el análisis estadístico clásico, sin complejos trucos de IA.
3. Análisis de amenazas. Cuando finalmente inventariamos todos los activos, entendimos todos los errores de configuración y posibles vulnerabilidades, sería bueno poner los conocidos vectores de ataque y las técnicas del atacante en esta imagen. Esto nos permitirá evaluar la probabilidad de que el atacante pueda lograr el objetivo. Es ideal agregar estadísticas sobre la prueba de los empleados para determinar la capacidad de phishing y las capacidades del servicio IS o SOC para detectar incidentes (el volumen de la parte controlada de la infraestructura, el número y los tipos de escenarios de ciberataques monitoreados, etc.).
¿La tarea parece solucionable? Siempre que lo hayamos logrado en las dos etapas anteriores, hay dos matices clave.
1. Las técnicas y métodos para atacar a un atacante también requieren una interpretación de la máquina de entrada. Y no se trata de IoC que se descomponen y aplican fácilmente, sino, en primer lugar, de los atacantes TTP (Tácticas, Técnicas y Procedimientos), que implican una cadena de condiciones mucho más compleja ("¿bajo qué tipo de información soy vulnerable?"). Incluso un análisis básico de las técnicas bien conocidas de la matriz Mitre confirma que el árbol de eventos estará muy ramificado, y para una decisión correcta sobre la relevancia de la amenaza, cada bifurcación requiere algoritmo.
2. En este caso, el cerebro neuronal artificial se opone completamente a lo natural: el atacante. Y la probabilidad de que no sea estándar, no se describa o no caiga directamente en las acciones de TTP, hay muchísimas.
4. Detección / detección de nuevas amenazas / anomalías, etc. Cuando las personas hablan sobre el uso de IA en los SOC, generalmente se refieren a estos procesos. De hecho, el poder de cómputo ilimitado, la falta de un foco de atención roto, Data Lake: ¿cuál no es la base para que la IA detecte nuevas anomalías y amenazas, no se han solucionado antes?
El problema clave es que para esto necesita al menos agrupar las actividades por estructuras funcionales / comerciales y activos de información (volver al punto 1), de lo contrario, la gran secuencia de datos en nuestro Lago de datos no tendrá el contexto requerido para detectar anomalías. El uso de IA en esta área se limita a un rango claramente definido de tareas aplicadas; en el caso general, producirá demasiados falsos positivos.
5. El análisis de incidentes es el "unicornio" de todos los amantes de la automatización en temas de SOC: todos los datos se recopilan automáticamente, se filtran las falsas alarmas, se toman decisiones informadas
y la puerta de Narnia se esconde en cada armario .
Desafortunadamente, este enfoque es incompatible con el nivel de entropía que vemos en los flujos de información de las organizaciones. La cantidad de anomalías detectadas puede cambiar diariamente, no por el creciente volumen de ataques cibernéticos, sino por la actualización y el cambio de los principios del software de aplicación, la funcionalidad del usuario, el estado de ánimo del director de TI, la fase lunar, etc. Para al menos trabajar de alguna manera con los incidentes recibidos de Data Lake (así como de UBA, NTA, etc.), el analista de SOC necesitaría no solo continuar durante mucho tiempo y buscar constantemente en Google las causas probables de un comportamiento tan extraño del sistema, sino también tener una vista completa de los sistemas de información: para ver cada proceso en ejecución y actualización, cada ajuste del registro o los indicadores de flujo de red, para comprender todas las acciones realizadas en el sistema. Incluso si olvida la gran cantidad de eventos que esto provocará, y cuántos órdenes de magnitud aumentará el costo de una licencia para cualquier producto utilizado en el trabajo de SOC, todavía hay enormes costos operativos para mantener dicha infraestructura. En una de las compañías rusas que conocíamos, logramos “peinar” todos los flujos de red, habilitar la seguridad del puerto, configurar NAC, en una palabra, hacer todo en Feng Shui. Esto permitió un análisis e investigación de muy alta calidad de todos los ataques a la red, pero al mismo tiempo aumentó el número de administradores de red que apoyan este estado en aproximadamente un 60%. Si una solución elegante de IB vale tales costos adicionales, cada empresa decide y evalúa por sí misma.
Por lo tanto, el receptor del teléfono, la comunicación con los administradores y usuarios, las hipótesis que requieren verificación en los stands, etc., siguen siendo el enlace necesario en el análisis de incidentes. Y estas funciones de IA están poco delegadas.
En general, hasta ahora decimos el uso estricto de la IA en el análisis de incidentes, "No lo creo", pero realmente esperamos que en el futuro cercano podamos darle a la IA al menos un inventario de activos y gestión de vulnerabilidades.
6. Respuesta y respuesta a incidentes. Por extraño que parezca, en esta parte, el uso de IA parece ser un modelo bastante viable. De hecho, después de un análisis cualitativo, clasificación y filtrado de falsos positivos, por regla general, ya está claro qué hacer. Sí, y en el trabajo de muchos SOC, los libros de jugadas básicos para responder y bloquear pueden ser realizados ni siquiera por los IB, sino por especialistas en TI. Este es un buen campo para el posible desarrollo de IA o enfoques más simples para la automatización.
Pero, como siempre, hay matices ...
R. Una vez más, enfatizo que para el trabajo exitoso de IA en esta etapa, es necesario que la persona anterior sea analista, y esto debe hacerse de la manera más completa y cualitativa posible. Esto tampoco es siempre una tarea fácil.
B. Por parte de TI y negocios, se encontrará con un fuerte rechazo a la automatización de incluso libros de jugadas básicos para responder (bloquear direcciones IP y cuentas, aislar una estación de trabajo), ya que todo esto está plagado de tiempos de inactividad e interrupción de los procesos comerciales. Y, aunque este paradigma no ha sido probado con éxito por la práctica y el tiempo, al menos en modo semi-manual en el visto bueno del analista, probablemente sea prematuro hablar sobre la transferencia de funciones a una máquina.
Ahora veamos la situación como un todo. Algunos procesos aún no están alienados a favor de la IA, algunos requieren la elaboración y el mantenimiento del contexto completo de la infraestructura. Parece que todavía no ha llegado el momento de la adopción generalizada de estas tecnologías: la única excepción es la tarea de mejorar la calidad de la detección de incidentes mediante la identificación de anomalías. Sin embargo, hay razones para creer que las tareas SOC enumeradas son, en principio, susceptibles de automatización, lo que significa que a largo plazo la IA puede encontrar su lugar allí.
Skynet no está listo para ganar
En la final, me gustaría destacar algunos momentos muy importantes, en nuestra opinión, que nos permiten responder una pregunta común: "¿Puede la IA reemplazarme con la primera línea / comando de Threat hunting / SOC?"
En primer lugar, incluso en grandes industrias automatizadas y automatizadas, donde la mayor parte de la funcionalidad se da a las máquinas, el operador siempre está presente. Esto se puede observar en cualquiera de los sectores de nuestra economía. Las tareas del operador en este sentido son determinísticamente simples: por su factor humano, elimine el "factor máquina" y estabilice la situación con sus propias manos en caso de falla / accidente / violación de la corrección del proceso. Si automatizamos o cibernetizamos las tareas de SOC, entonces automáticamente existe la necesidad de atraer a un especialista especializado fuerte que pueda evaluar rápidamente el impacto del error de la máquina y la efectividad de las acciones tomadas. Por lo tanto, es poco probable que la automatización y el desarrollo de la IA, incluso en el futuro, conduzcan al rechazo de un cambio de turno las 24 horas.
En segundo lugar, como vimos, cualquier IA de una forma u otra requiere la reposición de conocimientos y comentarios. Además, en el caso de SOC, no se trata solo de cambiar los vectores de ataque o el contexto de información externa (que en teoría puede ser parte de paquetes de capacitación / expertos, etc.), sino, en primer lugar, el contexto de información de sus incidentes, su organización y procesos comerciales. Por lo tanto, AI tampoco podrá reemplazar a los analistas expertos de AI a tiempo completo. Al menos en el futuro cercano.
Por lo tanto, en nuestra opinión, cualquier enfoque para la integración de AI en SOC en la etapa actual solo puede considerarse como elementos de automatización del trabajo con el contexto y la solución de algunas subtareas analíticas. Un proceso tan complejo como proporcionar seguridad de la información aún no está listo para la transferencia completa a los robots.