Das Thema künstliche Intelligenz, das in den 60er Jahren entstand, erlebt gerade einen verrückten Boom. Computer schlagen Schachspieler und Go-Fans, manchmal werden sie eher mit einem Arzt diagnostiziert, neuronale Netze (diesmal nicht mit dem Verstand von drei Technikern verbunden) versuchen ernsthaft, komplexe angewandte Probleme zu lösen, und irgendwo am Horizont gibt es bereits universelle künstliche Intelligenz, wenn - Etwas wird seinen angewandten Verwandten ersetzen.
Informationssicherheit bleibt auch nicht außerhalb der Grenzen des KI-Hype (oder seiner Entwicklung - hier entscheidet jeder für sich). Zunehmend hören wir von den notwendigen Ansätzen, erarbeiteten Lösungen und sogar (manchmal schüchtern und unsicher, manchmal laut und leider nicht sehr glaubwürdig) von den ersten praktischen Erfolgen in diesem Bereich. Natürlich werden wir uns nicht verpflichten, für die gesamte Informationssicherheit zu sprechen, aber wir werden versuchen herauszufinden, welche tatsächlichen Möglichkeiten der Einsatz von KI in der für uns relevanten Richtung des SOC (Security Operations Center) bestehen. Wer sich für das Thema interessiert oder einfach nur in den Kommentaren stöbern möchte - herzlich willkommen bei cat.
Die Eingabe von AI für IS-Aufgaben oder nicht alle AIs sind gleichermaßen nützlich
Es gibt viele Ansätze zur Klassifizierung künstlicher Intelligenz - in Bezug auf Systemtypen, evolutionäre Wellen der Richtungsentwicklung, Trainingsarten usw. In diesem Beitrag werden wir die Klassifizierung von AI-Typen aus Sicht des Engineering-Ansatzes betrachten. In dieser Klassifikation ist AI in 4 Typen unterteilt.
1. Logischer Ansatz (Computer Expert System) - KI wird in erster Linie als Beweissystem für komplexe Sachverhalte gebildet. Das System interpretiert jedes aufkommende Ziel als eine Aufgabe, die mit logischen Methoden gelöst werden muss. Quellen zufolge verwendet das IBM Watson-System, das allen russischen Schachfans bekannt ist, ähnliche Ansätze in seiner Arbeit.
Der Kern dieses Ansatzes besteht darin, dass das System zum größten Teil zwei Hauptschnittstellen aufweist: zum Erfassen von Informationen (wobei die Schulung von einem Experten auf dem Gebiet durchgeführt wird) und zum Lösen eines Problems (wobei die erworbenen Kenntnisse und Techniken zur Lösung logischer und praktischer Probleme verwendet werden).
Dieser Ansatz wird am häufigsten in Betracht gezogen, wenn über die Aussichten für den Einsatz von KI in der Informationssicherheit gesprochen wird. Wir werden ihn daher in Zukunft genauer prüfen.
2. Struktureller Ansatz - wenn eine der Hauptaufgaben der KI die Emulation des menschlichen Gehirns mit seiner Fähigkeit zur Strukturierung und Analyse von Informationen ist. Tatsächlich lernt und verbessert sie die internen Entscheidungsalgorithmen anhand der Datenflüsse, die an das System geliefert werden, und der Rückmeldungen, die an das System gesendet werden (was vielen normalen Menschen, einschließlich SOC-Analysten, hilft).
Aufgrund der Möglichkeit einer detaillierten Rückmeldung werden diese Ansätze häufig in Bezug auf Arrays von bedingt strukturierten Daten verwendet. Dies ist Bildverarbeitung, Personalisierung von Daten, Kennzeichnung von Audio- / Videoinhalten oder anderen Informationen. In den meisten bekannten Implementierungen erfordert das System, obwohl es nicht rein fachkundig ist und keinen Wissenserfassungsmodus erfordert, dennoch erhebliche Arbeit des Bedieners, um einen stabilen und aussagekräftigen Rückkopplungsfluss zu bilden. Es gibt eine Ähnlichkeit mit der Arbeit des menschlichen Gehirns: Damit KI „wachsen“ kann, muss gelehrt werden, was gut und was schlecht ist, was heiß, was kalt, wo Mutter und wo Fremde sind.
3. Der evolutionäre Ansatz - die Kultivierung von KI im Prozess des Wissensaustauschs zwischen einfacheren Programmen und der Bildung einer neuen, komplexeren Codestruktur. Die Aufgabe der Evolution ist in erster Linie die Schaffung eines „perfekten Aussehens“ und die Anpassung an eine neue aggressive Umgebung, das Überleben, um dem traurigen Schicksal der Dinosaurier zu entgehen.
Meiner Meinung nach sind die Chancen eines solchen Ansatzes, der uns zu künstlicher Intelligenz führt, die Informationssicherheitsprobleme lösen oder an den Aktivitäten von SOC teilnehmen kann, gering. Unsere Cyber-Umgebung ist sicherlich ziemlich aggressiv, es kommt jeden Tag und in großer Zahl zu Angriffen, aber die Möglichkeit, die Bedingungen für die IS-Umgebung zu schaffen, um den evolutionären Ansatz zu unterstützen und zu stimulieren, ist unwahrscheinlich. Menschen mit einer abweichenden Meinung zu diesem Thema sind herzlich eingeladen, Kommentare abzugeben.
4. Simulationsansatz - die Schaffung eines Simulators für Handlungen im Untersuchungsgebiet durch Langzeitbeobachtungen des simulierten Subjekts. Der Einfachheit halber müssen alle Eingabeparameter und Ausgabedaten (Analyseergebnisse, Aktionen usw.) gelesen werden, damit die Maschine nach einiger Zeit genau die gleichen Ergebnisse wie das zu untersuchende Objekt liefern und möglicherweise senden kann die gleichen Gedanken, wenn das Objekt eine Person war.
Trotz der Attraktivität, Big Brother an den SOC-Analysten zu binden, scheint der IB-Ansatz auch wenig zu nützen. Erstens, weil es schwierig ist, neues Wissen auf dem Gebiet der Informationssicherheit zu sammeln und von allen anderen zu trennen (eine Person ist schwach und lässt sich auch im Arbeitsprozess gerne von externen Kontexten ablenken) und weil Beobachtungsinstrumente unvollkommen sind (Shunts zum Lesen von Informationen wurden noch nicht speziell entwickelt und entwickelt) zu Gott).
Betrachtet man alle beschriebenen Ansätze ganzheitlich, insbesondere hinsichtlich ihrer Anwendung für SOC-Analytics-Aufgaben, fällt ein gemeinsames Merkmal auf: Für die korrekte Entwicklung muss die Baby-KI mit Methoden, korrekten Antworten und den strukturiertesten Daten gefüttert werden, die ihm erklären, wie er es in Zukunft tun sollte Treffen Sie Ihre eigenen Entscheidungen, oder bringen Sie ihm die Verwendung externer Informationsschnittstellen bei. In unserem Fall sollten diese Schnittstellen auch strukturiert und automatisiert sein: Wenn der SOC-Analyst telefonisch Informationen über die Bedrohung oder das Asset erhalten kann, funktioniert diese Nummer nicht mit der KI.
Im Allgemeinen unterstützt ein Teil der Informationssicherheitsprozesse (Aufdeckung von Betrug, Schutz von Webanwendungen, Analyse der Rechte und Anmeldeinformationen von Benutzern) das Prinzip der großen Anzahl und einer „logischen“ Struktur. Bei der Ereigniserkennung ist alles viel unterhaltsamer.
Dies sind die Fähigkeiten der künstlichen Intelligenz im Kontext von SOC-Prozessen
Versuchen wir nun, die logischen und strukturellen Ansätze der künstlichen Intelligenz auf wichtige SOC-Prozesse zu übertragen. Da in beiden Fällen eine Imitation des menschlichen logischen Denkens impliziert ist, lohnt es sich, zunächst eine Frage zu stellen: Was würde ich als SOC-Analyst tun, um dieses Problem zu lösen oder irgendwo eine Antwort darauf zu erhalten - automatisiert? Lassen Sie uns die Schlüsselprozesse des SOC durchgehen:
1. Der Prozess der Inventarisierung oder Erfassung von Informationen über Vermögenswerte. Eine ausreichend große Aufgabe, auch für die KI, die einen Kontext über die Beobachtungsobjekte erhalten und mit deren Hilfe erlernt werden soll.
Theoretisch ist dies ein fruchtbares Feld für die KI. Wenn ein neues System erscheint, können Sie es zuverlässig mit seinen Nachbarn „vergleichen“ (indem Sie den Netzwerkverkehr, die Softwarestruktur und die Kommunikation mit anderen IPs analysieren) und daraus eine Annahme über den Zweck, die Klasse und die gespeicherten Schlüsselinformationen machen. Und wenn Sie den Erstellungskontext dort hinzufügen ("das System wurde von Vasya geschrieben, und Vasya in unserem Unternehmen ist ein Spezialist für IT-Dokumentenmanagement, und die letzten zehn Systeme, die er erstellt hat, waren Dokumentenmanagement" oder "gleichzeitig wurden 4 weitere Systeme erstellt, die den Zweck klar angeben"). usw.), dann erscheint eine Bestandsaufnahme und Anlagenbuchhaltung für die KI-Aufgabe machbar.
Auftauchende Nuancen oder äußere ProblemeA. In der Praxis beobachten wir ein beträchtliches Maß an Entropie bei Kunden, auch im Rahmen eines separaten Geschäftssystems. Hier und Merkmale der Arbeit eines bestimmten Ingenieurs, und eine leicht geänderte Interaktionskonfiguration für dieses System und zusätzliche Software. Und auch für die Prozesse der Überwachung und des Vorfallsmanagements ist es für uns wichtig zu verstehen, ob das System produktiv oder testfähig ist, ob die Kampfdaten in das System hochgeladen werden oder nicht, und ein Dutzend anderer kleinerer Probleme, die normalerweise per Telefon leicht zu klären und nur schwer vom Informationsfluss zu isolieren sind.
B. Um das Problem anzugehen, muss irgendwann eine bedingt sterile Umgebung geschaffen werden, in der wir immer noch wissen, wer wer ist und welche Aufgaben gelöst werden. Die Prozesse selbst der grundlegenden Erstellung eines Asset-Modells für die meisten Kunden ... Nun, im Allgemeinen werden wir nicht über traurige Dinge sprechen, Sie selbst wissen alles.
Trotzdem halten wir das Versprechen, KI in dieser Aufgabe als „irgendwann“ einzusetzen und weiterzumachen, für sehr vielversprechend.
2. Der Vulnerability Management-Prozess. Natürlich geht es nicht um das grundlegende Scannen von Instrumenten und das Erkennen von Schwachstellen und Konfigurationsfehlern (hier wird nicht einmal ML in Python benötigt, nicht wie AI in Powerpoint - alles funktioniert mit grundlegenden Algorithmen). Die Aufgabe besteht darin, die identifizierten Schwachstellen in die eigentliche Asset-Map aufzunehmen, sie je nach Kritikalität und Wert der gefährdeten Assets zu priorisieren und einen Plan zu erstellen. Es ist eine Aufgabe, die selbst ein lebender Wachmann oft nicht herausfinden kann, welches der Vermögenswerte wirklich wert ist. Der Prozess der Risikoanalyse und der Bewertung von Vermögenswerten stirbt normalerweise in der Phase der Bewertung des Werts von Informationen oder der Ausrichtung dieser Bewertung auf das Unternehmen. In Russland nahmen nicht mehr als ein Dutzend Unternehmen diesen Weg.
Aber vielleicht kann das Problem im vereinfachten Modus (wenn die Kosten einer Ressource oder ihre Kritikalität auf einer relativen 10- oder 100-Punkte-Skala geschätzt werden) definitiv gelöst werden. Darüber hinaus führen uns Automatisierungsprobleme zunächst zum vorherigen Artikel - Inventar. Danach wird das Problem durch klassische statistische Analyse ohne komplexe KI-Tricks gelöst.
3. Bedrohungsanalyse. Wenn wir endlich alle Assets inventarisiert haben, alle Konfigurationsfehler und möglichen Schwachstellen verstanden haben, wäre es schön, die bekannten Angriffsvektoren und Techniken des Angreifers auf dieses Bild zu setzen. Auf diese Weise können wir die Wahrscheinlichkeit abschätzen, mit der der Angreifer das Ziel erreichen kann. Es ist ideal, Statistiken über das Testen von Mitarbeitern hinzuzufügen, um festzustellen, ob Phishing und die Fähigkeiten des IS- oder SOC-Dienstes zur Erkennung von Vorfällen (das Volumen des kontrollierten Teils der Infrastruktur, die Anzahl und Art der überwachten Cyberangriffsszenarien usw.) möglich sind.
Sieht die Aufgabe lösbar aus? Vorausgesetzt, wir haben es in den beiden vorherigen Phasen geschafft, gibt es zwei wichtige Nuancen.
1. Techniken und Methoden zum Angreifen eines Angreifers erfordern ebenfalls eine Interpretation des Eingabegeräts. Und es geht nicht um IoCs, die sich leicht zerlegen und anwenden lassen, sondern vor allem um TTP-Angreifer (Tactics, Techniques and Procedures), die eine viel komplexere Kette von Bedingungen mit sich bringen ("Unter welchen Eingaben bin ich verwundbar?"). Selbst eine grundlegende Analyse der bekannten Techniken der Mitre-Matrix bestätigt, dass der Baum der Ereignisse sehr verzweigt sein wird, und für eine korrekte Entscheidung über die Dringlichkeit der Bedrohung muss jede Gabelung algorithmisiert werden.
2. In diesem Fall steht das künstliche neuronale Gehirn dem natürlichen - dem Angreifer - vollständig gegenüber. Und die Wahrscheinlichkeit, dass nicht standardisierte, nicht beschriebene oder nicht direkt in TTP-Aktionen fallen, gibt es extrem viele.
4. Erkennung / Erkennung neuer Bedrohungen / Anomalien usw. Wenn Leute über die Verwendung von KI in SOCs sprechen, meinen sie normalerweise diese Prozesse. Unbegrenzte Rechenleistung, mangelnde Aufmerksamkeit, Data Lake - was ist nicht die Grundlage für die Erkennung neuer Anomalien und Bedrohungen durch AI?
Das Hauptproblem besteht darin, dass Sie mindestens Aktivitäten nach Funktions- / Geschäftsstrukturen und Informationsressourcen gruppieren müssen (kehren Sie zu Punkt 1 zurück), da sonst der gesamte riesige Datenstrom in unserem Data Lake nicht den erforderlichen Kontext zum Erkennen von Anomalien aufweist. Die Verwendung von KI in diesem Bereich ist auf einen klar definierten Bereich angewandter Aufgaben beschränkt und führt im Allgemeinen zu zu vielen Fehlalarmen.
5. Die Ereignisanalyse ist das „Einhorn“ aller Automatisierungsliebhaber in SOC-Fragen: Alle Daten werden automatisch erfasst, Fehlalarme werden gefiltert, fundierte Entscheidungen werden getroffen
und die Tür zu Narnia lauert in jedem Kleiderschrank .
Leider ist dieser Ansatz nicht mit dem Grad der Entropie-Unordnung vereinbar, den wir in den Informationsflüssen von Organisationen sehen. Das Volumen der erkannten Anomalien kann sich täglich ändern - nicht aufgrund des wachsenden Volumens von Cyberangriffen, sondern aufgrund der Aktualisierung und Änderung der Prinzipien der Anwendungssoftware, der Änderung der Benutzerfunktionalität, der Stimmung des CIO, der Mondphase usw. Um mit Vorfällen, die von Data Lake (sowie von UBA, NTA usw.) empfangen wurden, irgendwie umgehen zu können, müsste der SOC-Analyst nicht nur lange weitermachen und die wahrscheinlichen Ursachen für ein so merkwürdiges Verhalten des Systems beharrlich googeln, sondern auch Volle Sicht auf Informationssysteme: um jeden laufenden Prozess und jede Aktualisierung, jede Anpassung der Registrierungs- oder Netzwerkfluss-Flags zu sehen, um alle im System ausgeführten Aktionen zu verstehen. Selbst wenn Sie vergessen, was für ein gewaltiger Strom von Ereignissen dies hervorrufen wird und wie viele Größenordnungen die Lizenzkosten für ein Produkt, das für die Arbeit von SOC verwendet wird, ansteigen, entstehen immer noch enorme Betriebskosten für die Aufrechterhaltung einer solchen Infrastruktur. In einem der uns bekannten russischen Unternehmen ist es uns gelungen, alle Netzwerkflüsse zu "kämmen", die Port-Sicherheit zu aktivieren, NAC zu konfigurieren - kurz gesagt, alles in Feng Shui zu erledigen. Dies ermöglichte eine sehr hochwertige Analyse und Untersuchung aller Netzwerkangriffe, erhöhte jedoch gleichzeitig die Anzahl der Netzwerkadministratoren, die diesen Status unterstützen, um etwa 60%. Ob sich eine elegante IB-Lösung durch solche Mehrkosten auszeichnet, entscheidet und bewertet jedes Unternehmen für sich.
Daher bleiben der Telefonhörer, die Kommunikation mit Administratoren und Benutzern, Hypothesen, die an Ständen überprüft werden müssen, usw. das notwendige Bindeglied bei der Analyse von Vorfällen. Und diese KI-Funktionen sind schlecht delegiert.
Im Allgemeinen sagen wir bisher, dass die strikte Verwendung von KI bei der Analyse von Vorfällen „ich glaube es nicht“ ist, aber wir hoffen sehr, dass wir der KI in naher Zukunft zumindest eine Bestandsaufnahme des Vermögens und des Verwundbarkeitsmanagements zur Verfügung stellen können.
6. Reaktion und Reaktion auf Vorfälle. Seltsamerweise scheint in diesem Teil die Verwendung von KI ein ziemlich praktikables Modell zu sein. In der Tat ist nach einer qualitativen Analyse, Klassifizierung und Filterung von Falsch-Positiven in der Regel bereits klar, was zu tun ist. Ja, und in der Arbeit vieler SOCs können die grundlegenden Wiedergabebücher zum Antworten und Blockieren nicht einmal von IS, sondern von IT-Spezialisten ausgeführt werden. Dies ist ein gutes Feld für die mögliche Entwicklung von KI oder einfacheren Ansätzen zur Automatisierung.
Aber wie immer gibt es Nuancen ...
A. Ich betone noch einmal, dass es für die erfolgreiche Arbeit von AI in diesem Stadium erforderlich ist, dass die vorherige Person ein Analytiker ist, und dies sollte so vollständig und qualitativ wie möglich erfolgen. Dies ist auch nicht immer eine leichte Aufgabe.
B. Auf Seiten der IT und des Geschäfts wird die Automatisierung der grundlegenden Wiedergabebücher (Sperren von IP-Adressen und Konten, Isolieren der Workstation) scharf abgelehnt, da all dies mit Ausfallzeiten und Unterbrechungen der Geschäftsprozesse behaftet ist. Und obwohl dieses Paradigma nicht durch Übung und Zeit erfolgreich getestet wurde - zumindest im semi-manuellen Modus, nachdem der Analyst dies angekündigt hat - ist es wahrscheinlich verfrüht, über die Übertragung von Funktionen auf eine Maschine zu sprechen.
Betrachten wir nun die Situation als Ganzes. Einige Prozesse sind noch nicht zugunsten der KI verfremdet, andere erfordern die Ausarbeitung und Pflege des gesamten Infrastrukturkontexts. Es scheint, dass die Zeit für die umfassende Einführung dieser Technologien noch nicht gekommen ist - die einzige Ausnahme ist die Aufgabe, die Qualität der Ereigniserkennung durch die Identifizierung von Anomalien zu verbessern. Es besteht jedoch Grund zu der Annahme, dass die aufgeführten SOC-Aufgaben im Prinzip für die Automatisierung zugänglich sind, was bedeutet, dass die KI auf lange Sicht durchaus ihren Platz dort finden kann.
Skynet ist nicht bereit zu gewinnen
Im Finale möchte ich einige unserer Meinung nach sehr wichtige Momente hervorheben, die es uns ermöglichen, eine häufig gestellte Frage zu beantworten: "Kann die KI mich durch die erste Zeile / das erste Kommando für Bedrohungsjagd / SOC ersetzen?"
Erstens ist der Bediener selbst in sehr großen, rationalisierten und automatisierten Branchen, in denen der größte Teil der Funktionen für Maschinen bereitgestellt wird, immer anwesend. Dies ist in allen Bereichen unserer Wirtschaft zu beobachten. Die Aufgaben des Bedieners in diesem Sinne sind deterministisch einfach - durch ihren menschlichen Faktor eliminieren sie den „Maschinenfaktor“ und stabilisieren die Situation mit ihren eigenen Händen im Falle eines Ausfalls / Unfalls / Verstoßes gegen die Richtigkeit des Prozesses. Wenn wir SOC-Aufgaben automatisieren oder kybernetisieren, muss automatisch ein starker Spezialist hinzugezogen werden, der in der Lage ist, die Auswirkungen von Maschinenfehlern und die Wirksamkeit der ergriffenen Maßnahmen schnell zu bewerten. Daher ist es unwahrscheinlich, dass die Automatisierung und die Entwicklung der KI auch in Zukunft zu einer Ablehnung einer Schichtdienstzeit rund um die Uhr führen.
Zweitens erfordert, wie wir gesehen haben, jede KI auf die eine oder andere Weise die Auffrischung von Wissen und Feedback. Darüber hinaus geht es bei SOC nicht nur um das Ändern von Angriffsvektoren oder des externen Informationskontexts (der theoretisch Teil von Schulungs- / Expertenpaketen usw. sein kann), sondern vor allem um den Informationskontext Ihrer Vorfälle, Ihrer Organisation und Geschäftsprozesse. Daher kann AI auch die Vollzeit-Experten von AI nicht ersetzen. Zumindest in naher Zukunft.
Daher können unserer Meinung nach Ansätze zur Integration von KI in SOC zum gegenwärtigen Zeitpunkt nur als Elemente der Automatisierung der Arbeit mit dem Kontext und der Lösung einiger analytischer Teilaufgaben betrachtet werden. Ein so komplexer Prozess wie die Bereitstellung von Informationssicherheit ist noch nicht für die vollständige Übertragung auf Roboter bereit.