Topik kecerdasan buatan, yang berasal dari tahun 60-an, sekarang hanya mengalami booming gila. Komputer mengalahkan pemain catur dan penggemar Go, kadang-kadang mereka lebih mungkin didiagnosis dengan seorang dokter, jaringan saraf (kali ini tidak terkait dengan pikiran tiga insinyur dukungan teknis) secara serius berusaha untuk memecahkan masalah yang diterapkan, dan di suatu tempat di sekitar cakrawala sudah ada kecerdasan buatan universal, yang ketika - Sesuatu akan menggantikan kerabatnya yang diterapkan.
Keamanan informasi juga tidak tetap di luar batas hype di sekitar AI (atau evolusinya - di sini semua orang memutuskan untuk dirinya sendiri). Semakin banyak, kita mendengar tentang pendekatan yang diperlukan, solusi yang sedang dikerjakan, dan bahkan (kadang-kadang dengan takut dan tidak pasti, dan kadang-kadang dengan keras dan, sayangnya, tidak terlalu dipercaya) tentang keberhasilan praktis pertama di bidang ini. Tentu saja, kami tidak akan berusaha untuk berbicara untuk semua keamanan informasi, tetapi kami akan mencoba mencari tahu apa kemungkinan nyata menggunakan AI dalam arah SOC (Pusat Operasi Keamanan) yang relevan bagi kami. Yang tertarik dengan topik atau hanya ingin menyelinap di komentar - selamat datang di kucing.
Mengetik AI untuk tugas-tugas IS, atau tidak semua AI sama-sama bermanfaat
Ada banyak pendekatan untuk klasifikasi kecerdasan buatan - dalam hal jenis sistem, gelombang evolusi pengembangan arah, jenis pelatihan, dll. Dalam posting ini kami akan mempertimbangkan klasifikasi jenis AI dari sudut pandang pendekatan teknik. Dalam klasifikasi ini, AI dibagi menjadi 4 jenis.
1. Pendekatan logis (sistem pakar komputer) - AI dibentuk terutama sebagai sistem pembuktian fakta yang kompleks. Sistem mengartikan setiap tujuan yang muncul sebagai tugas yang harus diselesaikan dengan metode logis. Menurut sumber, sistem IBM Watson, yang terkenal dengan semua penggemar catur Rusia, menggunakan pendekatan serupa dalam pekerjaannya.
Inti dari pendekatan ini adalah bahwa sistem untuk sebagian besar memiliki dua antarmuka utama: untuk memperoleh informasi (di mana pelatihan dilakukan oleh seorang ahli di bidang subjek) dan untuk memecahkan masalah (di mana pengetahuan dan teknik yang diperoleh digunakan untuk memecahkan masalah logis dan praktis).
Pendekatan ini paling sering diperhitungkan ketika berbicara tentang prospek untuk penggunaan AI dalam keamanan informasi, jadi kami akan memeriksanya untuk pertimbangan lebih rinci di masa depan.
2. Pendekatan struktural - ketika salah satu tugas rekayasa utama AI adalah emulasi otak manusia dengan kemampuannya untuk menyusun dan menganalisis informasi. Bahkan, aliran data dipasok ke sistem dan umpan balik yang diberikan kepadanya (yang membantu banyak orang awam, termasuk analis SOC), ia belajar dan meningkatkan algoritma pengambilan keputusan internal.
Karena kemungkinan umpan balik terperinci, pendekatan ini sering digunakan dalam kaitannya dengan array data terstruktur bersyarat. Ini adalah pemrosesan gambar, personalisasi data, penandaan konten audio / video atau informasi lainnya. Dalam implementasi yang paling terkenal, sistem, meskipun tidak murni ahli dan tidak memerlukan mode akuisisi pengetahuan, namun membutuhkan kerja operator yang substansial untuk membentuk aliran umpan balik yang stabil dan bermakna. Ada kemiripan dengan kerja otak manusia: agar AI “tumbuh”, harus diajarkan apa yang baik dan apa yang buruk, apa yang panas, apa yang dingin, di mana ibu dan di mana orang asing.
3. Pendekatan evolusi - pengembangan AI dalam proses pertukaran pengetahuan antara program yang lebih sederhana dan pembentukan struktur kode baru yang lebih kompleks. Tugas evolusi terutama adalah menciptakan "tampilan sempurna" dan adaptasi terhadap lingkungan agresif baru, bertahan hidup, untuk menghindari nasib sedih dinosaurus.
Menurut pendapat saya, peluang pendekatan semacam itu yang mengarahkan kita ke kecerdasan buatan, yang mampu menyelesaikan masalah keamanan informasi atau berpartisipasi dalam kegiatan SOC, kecil. Lingkungan dunia maya kita tentu sangat agresif, serangan terjadi setiap hari dan dalam jumlah besar, tetapi opsi untuk menciptakan kondisi bagi lingkungan IS untuk mendukung dan merangsang pendekatan evolusi tampaknya tidak mungkin. Orang-orang dengan pendapat alternatif tentang masalah ini dipersilakan untuk berkomentar.
4. Pendekatan simulasi - pembuatan simulator aksi di area studi melalui pengamatan jangka panjang dari subjek yang disimulasikan. Untuk menyederhanakan, tugasnya adalah membaca semua parameter input dan data output (hasil analisis, tindakan, dll.) Sehingga setelah beberapa waktu mesin dapat menghasilkan hasil yang persis sama dengan objek yang diteliti, dan berpotensi menyiarkan pikiran yang sama jika objeknya adalah seseorang.
Terlepas dari daya tarik melekatkan Big Brother ke analis SOC, pendekatan IB juga tampaknya tidak banyak berguna. Pertama-tama, karena sulitnya mengumpulkan dan memisahkan pengetahuan baru di bidang keamanan informasi dari yang lain (seseorang lemah dan senang teralihkan oleh konteks eksternal bahkan dalam proses kerja), dan karena ketidaksempurnaan alat pengamatan (shunts untuk membaca informasi belum secara khusus dikembangkan dan dimuliakan kepada tuhan).
Jika Anda melihat secara integral semua pendekatan yang dijelaskan, terutama dalam hal aplikasi mereka untuk tugas analisis SOC, fitur umum terlihat: untuk perkembangan yang benar, bayi AI perlu diberi makan - dengan metode, jawaban yang benar, dan data paling terstruktur yang akan menjelaskan kepadanya bagaimana di masa depan ia harus Bangun dan buat keputusan Anda sendiri, atau ajari dia cara menggunakan antarmuka informasi eksternal. Selain itu, dalam kasus kami, antarmuka ini juga harus terstruktur dan otomatis: jika analis SOC dapat menerima informasi tentang ancaman atau aset melalui telepon, maka nomor ini tidak akan berfungsi dengan AI.
Dalam kasus umum, bagian dari proses keamanan informasi (mendeteksi penipuan, melindungi aplikasi web, menganalisis hak dan kredensial pengguna) benar-benar mendukung prinsip angka besar dan struktur "logis". Dalam hal deteksi insiden, semuanya jauh lebih menghibur.
Semua ini, atau kemampuan kecerdasan buatan dalam konteks proses SOC
Sekarang mari kita coba "mendaratkan" pendekatan logis dan struktural untuk kecerdasan buatan pada proses SOC utama. Karena dalam kedua kasus itu imitasi pikiran logis manusia tersirat, ada baiknya mulai mengajukan pertanyaan: apa yang akan saya, seorang analis SOC, lakukan untuk menyelesaikan masalah ini atau mendapatkan jawaban untuk itu dari suatu tempat - otomatis? Mari kita pergi melalui proses utama SOC:
1. Proses inventarisasi atau pengumpulan informasi tentang aset. Tugas yang cukup besar, termasuk untuk AI, yang harus menerima konteks tentang objek pengamatan dan dengan bantuannya untuk belajar.
Secara teori, ini adalah bidang subur untuk AI. Ketika sebuah sistem baru muncul, Anda dapat dengan andal “membandingkannya” dengan tetangganya (dengan menganalisis lalu lintas jaringan, struktur perangkat lunak, dan komunikasi dengan IP lain) dan dari sini membuat asumsi tentang tujuan, kelas, dan informasi simpanan kunci. Dan jika Anda menambahkan konteks pembuatan di sana ("sistem ini ditulis oleh Vasya, dan Vasya di perusahaan kami adalah spesialis manajemen dokumen TI, dan sepuluh sistem terakhir yang ia buat adalah manajemen dokumen" atau "pada saat yang sama 4 lebih banyak sistem dibuat yang dengan jelas menunjukkan tujuan" dll), kemudian melakukan inventarisasi dan akuntansi aset tampaknya layak untuk tugas AI.
Nuansa yang muncul atau masalah eksternalA. Dalam praktiknya, kami mengamati tingkat entropi yang cukup besar di antara pelanggan, bahkan dalam kerangka sistem bisnis yang terpisah. Di sini dan fitur pekerjaan insinyur tertentu, dan konfigurasi interaksi yang sedikit dimodifikasi untuk sistem ini, dan perangkat lunak tambahan. Dan juga untuk proses pemantauan dan manajemen insiden, penting bagi kita untuk memahami apakah sistemnya produktif atau diuji, apakah data pertempuran diunggah atau tidak, dan selusin masalah kecil lainnya yang biasanya mudah dibersihkan melalui telepon dan cukup sulit untuk diisolasi dari arus informasi.
B. Untuk mendekati masalah, pada tahap tertentu perlu untuk menciptakan lingkungan steril yang kondisional di mana kita masih tahu siapa adalah siapa dan tugas apa yang sedang diselesaikan. Bahkan proses penciptaan dasar model aset bagi sebagian besar pelanggan ... yah, secara umum, kami tidak akan membicarakan hal-hal yang menyedihkan, Anda sendiri tahu segalanya.
Namun demikian, kami mencatat janji untuk menggunakan AI dalam tugas ini sebagai "suatu hari" dan terus maju.
2. Proses manajemen kerentanan. Tentu saja, kita tidak berbicara tentang pemindaian instrumental dasar dan mengidentifikasi kerentanan dan cacat konfigurasi (di sini bahkan ML dengan Python tidak diperlukan, tidak seperti AI pada Powerpoint - semuanya bekerja pada algoritma dasar). Tugasnya adalah untuk menempatkan kerentanan yang diidentifikasi pada peta aset yang sebenarnya, memprioritaskannya tergantung pada kekritisan dan nilai aset yang terancam, membentuk rencana ... Dan inilah penghentiannya. Untuk benar-benar mengetahui aset mana yang layak adalah tugas yang bahkan penjaga keamanan hidup sering tidak dapat mengetahuinya. Proses analisis risiko dan penilaian aset biasanya mati pada tahap menilai nilai informasi atau menyelaraskan penilaian ini dengan bisnis. Di Rusia, tidak lebih dari selusin perusahaan mengambil jalan ini.
Tetapi, mungkin, dalam mode yang difasilitasi (ketika biaya sumber daya atau kekritisannya diperkirakan dengan skala relatif 10 atau 100 poin), masalahnya pasti dapat diselesaikan. Selain itu, masalah otomasi mengembalikan kami pertama-tama ke item sebelumnya - inventaris. Setelah itu, masalah diselesaikan dengan analisis statistik klasik, tanpa trik AI yang rumit.
3. Analisis ancaman. Ketika kami akhirnya menginventarisasi semua aset, memahami semua kesalahan konfigurasi dan kemungkinan kerentanan, alangkah baiknya untuk menempatkan vektor serangan dan teknik penyerang yang terkenal pada gambar ini. Ini akan memungkinkan kita untuk menilai kemungkinan bahwa penyerang akan dapat mencapai tujuan. Sangat ideal untuk menambahkan statistik pada pengujian karyawan untuk kemampuan menentukan phishing dan kemampuan layanan IS atau SOC untuk mendeteksi insiden (volume bagian yang dikendalikan dari infrastruktur, jumlah dan jenis skenario serangan cyber yang dipantau, dll.).
Apakah tugas tersebut terlihat dapat dipecahkan? Asalkan kita berhasil dalam dua tahap sebelumnya, ada dua nuansa utama.
1. Teknik dan metode untuk menyerang penyerang juga membutuhkan interpretasi mesin input. Dan ini bukan tentang IoC yang mudah didekomposisi dan diaplikasikan, tetapi, pertama-tama, tentang penyerang TTP (Taktik, Teknik, dan Prosedur), yang memerlukan rantai kondisi yang jauh lebih kompleks (“di bawah input seperti apa saya rentan?”). Bahkan analisis dasar teknik-teknik yang terkenal dari matriks Mitre menegaskan bahwa pohon peristiwa akan sangat bercabang, dan untuk keputusan yang benar tentang relevansi ancaman, setiap garpu memerlukan algoritma.
2. Dalam hal ini, otak saraf tiruan benar-benar ditentang oleh alam - penyerang. Dan kemungkinan non-standar, tidak dijelaskan atau tidak langsung jatuh ke tindakan TTP, ada sangat banyak.
4. Deteksi / deteksi ancaman / anomali baru, dll. Ketika orang berbicara tentang menggunakan AI dalam SOC, mereka biasanya memaksudkan proses ini. Memang, daya komputasi tanpa batas, kurangnya fokus perhatian yang terputus, Data Lake - apa yang bukan dasar bagi AI untuk mendeteksi anomali dan ancaman baru, belum pernah diperbaiki sebelumnya?
Masalah utama adalah bahwa untuk ini Anda perlu setidaknya mengelompokkan kegiatan berdasarkan struktur fungsional / bisnis dan aset informasi (kembali ke poin 1), jika tidak seluruh aliran data besar di Danau Data kami tidak akan memiliki konteks yang diperlukan untuk mendeteksi anomali. Penggunaan AI di bidang ini terbatas pada kisaran tugas yang diterapkan dengan jelas, dalam kasus umum, itu akan menghasilkan terlalu banyak kesalahan positif.
5. Analisis insiden adalah "unicorn" dari semua pecinta otomatisasi tentang masalah SOC: semua data dikumpulkan secara otomatis, alarm palsu disaring, keputusan yang dibuat berdasarkan informasi
, dan pintu ke Narnia mengintai di setiap lemari .
Sayangnya, pendekatan ini tidak sesuai dengan tingkat kekacauan entropi yang kita lihat dalam arus informasi organisasi. Volume anomali yang terdeteksi dapat berubah setiap hari - bukan karena meningkatnya volume serangan siber, tetapi karena memperbarui dan mengubah prinsip-prinsip perangkat lunak aplikasi, mengubah fungsi pengguna, suasana hati CIO, fase bulan, dll. Untuk entah bagaimana bekerja dengan insiden yang diterima dari Data Lake (serta dari UBA, NTA, dll.), Analis SOC perlu tidak hanya berjalan untuk waktu yang lama dan terus-menerus mencari kemungkinan penyebab perilaku aneh sistem tersebut, tetapi juga memiliki Tampilan Penuh sistem informasi: untuk melihat setiap proses dan pembaruan yang berjalan, setiap penyesuaian registri atau tanda aliran jaringan, untuk memahami semua tindakan yang dilakukan dalam sistem. Bahkan jika Anda lupa betapa besar arus peristiwa yang akan diprovokasi, dan berapa banyak pesanan besarnya biaya lisensi untuk produk apa pun yang digunakan dalam pekerjaan SOC akan meningkat, masih ada biaya operasi yang sangat besar untuk mempertahankan infrastruktur seperti itu. Di salah satu perusahaan Rusia yang kami tahu, kami berhasil "menyisir" semua aliran jaringan, mengaktifkan keamanan pelabuhan, mengkonfigurasi NAC - dengan kata lain, melakukan segalanya dalam Feng Shui. Ini memungkinkan analisis dan investigasi kualitas yang sangat tinggi dari semua serangan jaringan, tetapi pada saat yang sama meningkatkan jumlah administrator jaringan yang mendukung keadaan ini sekitar 60%. Apakah solusi IB yang elegan bernilai biaya tambahan seperti itu - masing-masing perusahaan memutuskan dan mengevaluasi sendiri.
Oleh karena itu, penerima telepon, komunikasi dengan administrator dan pengguna, hipotesis yang memerlukan verifikasi di tribun, dll., Tetap merupakan tautan yang diperlukan dalam analisis insiden. Dan fungsi-fungsi AI ini kurang didelegasikan.
Secara umum, sejauh ini kami mengatakan penggunaan AI secara ketat dalam analisis insiden, "Saya tidak percaya," tetapi kami sangat berharap bahwa dalam waktu dekat kami akan dapat memberikan AI setidaknya inventaris aset dan manajemen kerentanan.
6. Respons dan respons terhadap insiden. Anehnya, pada bagian ini, penggunaan AI tampaknya menjadi model yang cukup layak. Memang, setelah analisis kualitatif, klasifikasi dan penyaringan positif palsu, sebagai aturan, sudah jelas apa yang harus dilakukan. Ya, dan dalam karya banyak SOC, buku pedoman dasar untuk merespons dan memblokir tidak dapat dilakukan bahkan oleh IS, tetapi oleh spesialis TI. Ini adalah bidang yang baik untuk kemungkinan pengembangan AI atau pendekatan otomatisasi yang lebih sederhana.
Tapi, seperti biasa, ada nuansa ...
A. Sekali lagi, saya menekankan bahwa untuk pekerjaan AI yang sukses pada tahap ini, perlu bahwa orang sebelumnya adalah seorang analis, dan ini harus dilakukan sepenuh dan se kualitatif mungkin. Ini juga tidak selalu merupakan tugas yang mudah.
B. Pada bagian TI dan bisnis, Anda akan menghadapi penolakan tajam terhadap otomatisasi bahkan buku pedoman dasar untuk merespons (memblokir alamat IP dan akun, mengisolasi workstation), karena semua ini penuh dengan downtime dan gangguan proses bisnis. Dan, sementara paradigma ini belum berhasil diuji dengan praktik dan waktu - setidaknya dalam mode semi-manual di lampu hijau dari analis, mungkin terlalu dini untuk berbicara tentang mentransfer fungsi ke mesin.
Sekarang mari kita lihat situasi secara keseluruhan. Beberapa proses belum teralienasi untuk AI, beberapa memerlukan elaborasi dan pemeliharaan konteks infrastruktur penuh. Tampaknya waktu untuk adopsi luas dari teknologi ini belum datang - satu-satunya pengecualian adalah tugas meningkatkan kualitas deteksi insiden dengan mengidentifikasi anomali. Namun, ada alasan untuk percaya bahwa tugas-tugas SOC yang tercantum, pada prinsipnya, dapat menerima otomatisasi, yang berarti bahwa dalam jangka panjang, AI dapat menemukan tempatnya di sana.
Skynet belum siap untuk menang
Di final, saya ingin menyoroti beberapa hal yang sangat penting, menurut pendapat kami, saat-saat yang memungkinkan kami untuk menjawab pertanyaan umum: "Bisakah AI menggantikan saya dengan baris / perintah pertama Pemburuan Ancaman / SOC?"
Pertama, bahkan dalam industri ramping dan otomatis yang sangat besar, di mana sebagian besar fungsi diberikan kepada alat berat, operator selalu ada. Ini dapat diamati di salah satu sektor ekonomi kita. Tugas operator dalam hal ini secara deterministik sederhana - oleh faktor manusianya menghilangkan "faktor mesin" dan menstabilkan situasi dengan tangan mereka sendiri jika terjadi kegagalan / kecelakaan / pelanggaran kebenaran proses. Jika kita mengotomatiskan atau melakukan sibernetisasi tugas-tugas SOC, maka secara otomatis ada kebutuhan untuk menarik spesialis khusus yang kuat yang dapat dengan cepat menilai dampak dari kesalahan mesin dan keefektifan tindakan yang diambil. Oleh karena itu, otomatisasi dan pengembangan AI, bahkan di masa depan, tidak mungkin mengarah pada penolakan pergantian tugas sepanjang waktu.
Kedua, seperti yang kita lihat, AI apa pun dengan cara apa pun membutuhkan pengisian kembali pengetahuan dan umpan balik. Selain itu, dalam kasus SOC, ini bukan hanya tentang mengubah vektor serangan atau konteks informasi eksternal (yang secara teori dapat menjadi bagian dari paket pelatihan / pakar, dll.), Tetapi, pertama-tama, konteks informasi dari insiden Anda, organisasi Anda dan proses bisnis. Jadi, AI tidak akan dapat menggantikan analis ahli penuh waktu dari AI. Setidaknya dalam waktu dekat.
Dengan demikian, menurut pendapat kami, setiap pendekatan untuk integrasi AI dalam SOC pada tahap saat ini dapat dianggap hanya sebagai elemen otomatisasi pekerjaan dengan konteks dan solusi dari beberapa subtugas analitik. Proses rumit seperti memberikan keamanan informasi belum siap untuk transfer lengkap ke robot.