O tópico da inteligência artificial, que se originou nos anos 60, agora está passando apenas por um boom louco. Os computadores vencem os jogadores de xadrez e os fãs de Go, às vezes são mais propensos a serem diagnosticados com um médico, as redes neurais (desta vez não relacionadas às mentes de três engenheiros de suporte técnico) estão tentando seriamente resolver problemas complexos aplicados e, em algum momento do horizonte, já existe inteligência artificial universal, que quando - Algo substituirá seu parente aplicado.
A segurança da informação também não permanece fora das fronteiras do hype em torno da IA (ou de sua evolução - aqui todo mundo decide por si mesmo). Cada vez mais, ouvimos falar das abordagens necessárias, das soluções sendo elaboradas e até (às vezes timidamente e incerta, às vezes barulhentas e, infelizmente, pouco convincentes) sobre os primeiros sucessos práticos nessa área. Obviamente, não nos comprometemos a falar por toda a segurança da informação, mas tentaremos descobrir quais são as possibilidades reais de usar a IA na área SOC (Security Operations Center) que é relevante para nós. Quem está interessado no tópico ou apenas quer esgueirar-se nos comentários - bem-vindo ao gato.
Digitar AI para tarefas de SI, ou nem todas as AIs são igualmente úteis
Existem muitas abordagens para a classificação da inteligência artificial - em termos de tipos de sistemas, ondas evolutivas do desenvolvimento de uma direção, tipos de treinamento etc. Neste post, consideraremos a classificação dos tipos de IA do ponto de vista da abordagem de engenharia. Nesta classificação, a IA é dividida em 4 tipos.
1. Abordagem lógica (sistema especialista em computadores) - A IA é formada principalmente como um sistema de prova de fatos complexos. O sistema interpreta qualquer objetivo emergente como uma tarefa que deve ser resolvida por métodos lógicos. Segundo fontes, o sistema IBM Watson, famoso por todos os fãs de xadrez russos, usa abordagens semelhantes em seu trabalho.
A essência dessa abordagem é que o sistema geralmente possui duas interfaces principais: para obter informações (onde o treinamento é realizado por um especialista na área) e para resolver um problema (onde os conhecimentos e as técnicas obtidas são usados para resolver problemas lógicos e práticos).
Essa abordagem geralmente é levada em consideração ao falar sobre as perspectivas de uso da IA na segurança da informação; portanto, verificamos para uma consideração mais detalhada no futuro.
2. Abordagem estrutural - quando uma das principais tarefas de engenharia da IA é a emulação do cérebro humano com sua capacidade de estruturar e analisar informações. De fato, os fluxos de dados fornecidos ao sistema e o feedback fornecido a ele (o que ajuda muitas pessoas comuns, incluindo analistas do SOC), ela aprende e aprimora os algoritmos internos de tomada de decisão.
Devido à possibilidade de feedback detalhado, essas abordagens são frequentemente usadas em relação a matrizes de dados condicionalmente estruturados. Trata-se de processamento de imagem, personalização de dados, marcação de conteúdo de áudio / vídeo ou outras informações. Na maioria das implementações conhecidas, o sistema, embora não seja puramente especialista e não exija um modo de aquisição de conhecimento, exige um trabalho substancial do operador para formar um fluxo de feedback estável e significativo. Há uma semelhança com o trabalho do cérebro humano: para que a IA “cresça”, deve ser ensinado o que é bom e o que é ruim, o que é quente, o que é frio, onde está a mãe e onde é um estranho.
3. A abordagem evolutiva - o cultivo da IA no processo de troca de conhecimento entre programas mais simples e a formação de uma nova estrutura de código mais complexa. A tarefa da evolução é principalmente a criação de uma “aparência perfeita” e a adaptação a um novo ambiente agressivo, a sobrevivência, a fim de evitar o triste destino dos dinossauros.
Na minha opinião, as chances de tal abordagem nos levar à inteligência artificial, capaz de resolver problemas de segurança da informação ou participar das atividades do SOC, são pequenas. Nosso ambiente cibernético é certamente bastante agressivo, os ataques ocorrem todos os dias e em grande número, mas a opção de criar condições para o ambiente de SI apoiar e estimular a abordagem evolutiva parece improvável. Pessoas com uma opinião alternativa sobre o assunto são muito bem-vindas a comentar.
4. Abordagem da simulação - a criação de um simulador de ações na área de estudo por meio de observações de longo prazo do sujeito simulado. Para simplificar, a tarefa é ler todos os parâmetros de entrada e dados de saída (resultados da análise, ações etc.) para que, após algum tempo, a máquina possa produzir exatamente os mesmos resultados que o objeto em estudo e potencialmente transmitir os mesmos pensamentos se o objeto fosse uma pessoa.
Apesar da atratividade de anexar o Big Brother ao analista do SOC, a abordagem do IB também parece ser de pouca utilidade. Em primeiro lugar, devido à dificuldade de coletar e separar novos conhecimentos no campo da segurança da informação de todos os outros (uma pessoa é fraca e fica feliz em se distrair com contextos externos, mesmo no processo de trabalho), e devido à imperfeição das ferramentas de observação (as derivações para a leitura de informações ainda não foram especialmente desenvolvidas). para Deus).
Se você examinar integralmente todas as abordagens descritas, especialmente em termos de aplicação para tarefas de análise SOC, um recurso comum é perceptível: para o desenvolvimento correto, a AI do bebê precisa ser alimentada - com métodos, respostas corretas e os dados mais estruturados que explicarão a ele como no futuro ele deve Crie e tome suas próprias decisões ou ensine-o a usar interfaces de informações externas. Além disso, no nosso caso, essas interfaces também devem ser estruturadas e automatizadas: se o analista do SOC puder receber informações sobre a ameaça ou ativo por telefone, esse número não funcionará com a IA.
No caso geral, parte dos processos de segurança da informação (detecção de fraudes, proteção de aplicativos da web, análise de direitos e credenciais dos usuários) realmente apoia o princípio de grandes números e uma estrutura "lógica". No caso de detecção de incidentes, tudo é muito mais divertido.
Tudo isso, ou as capacidades de inteligência artificial no contexto dos processos SOC
Agora vamos tentar "aterrar" as abordagens lógicas e estruturais da inteligência artificial nos principais processos do SOC. Como em ambos os casos está implícita uma imitação do pensamento lógico humano, vale a pena começar a fazer uma pergunta: o que eu, analista do SOC, faria para resolver esse problema ou obter uma resposta de algum lugar - automatizado? Vamos passar pelos principais processos do SOC:
1. O processo de inventário ou coleta de informações sobre ativos. Uma tarefa suficientemente grande, inclusive para IA, que deve receber um contexto sobre os objetos de observação e com sua ajuda para aprender.
Em teoria, este é um campo fértil para a IA. Quando um novo sistema aparece, você pode "compará-lo" com seus vizinhos (analisando o tráfego de rede, a estrutura de software e a comunicação com outros IPs) e, a partir disso, faça uma suposição sobre sua finalidade, classe e principais informações armazenadas. E se você adicionar o contexto de criação lá ("o sistema foi escrito por Vasya, e Vasya em nossa empresa é especialista em gerenciamento de documentos de TI, e os últimos dez sistemas que ele criou foram gerenciamento de documentos") ou "ao mesmo tempo, foram criados mais 4 sistemas que indicam claramente o objetivo" etc.), a realização de uma contabilidade de estoque e de ativos parece viável para a tarefa de IA.
Nuances emergentes ou problemas externosR. Na prática, observamos um nível considerável de entropia entre os clientes, mesmo dentro da estrutura de um sistema de negócios separado. Aqui e características do trabalho de um engenheiro em particular, e uma configuração de interação levemente modificada para este sistema e software adicional. E para os processos de monitoramento e gerenciamento de incidentes, é importante entendermos se o sistema é produtivo ou testado, se os dados de combate são carregados ou não, e uma dúzia de outros problemas menores que geralmente são fáceis de esclarecer por telefone e muito difíceis de isolar dos fluxos de informações.
B. Para abordar o problema, em algum momento é necessário criar um ambiente condicionalmente estéril, no qual ainda sabemos quem é quem e quais tarefas estão sendo resolvidas. Os processos de criação básica de um modelo de ativos para a maioria dos clientes ... bem, em geral, não falamos sobre coisas tristes, você mesmo sabe tudo.
No entanto, observamos a promessa de usar a IA nesta tarefa como "um dia" e seguimos em frente.
2. O processo de gerenciamento de vulnerabilidades. Obviamente, não estamos falando de varredura instrumental básica e de identificação de vulnerabilidades e defeitos de configuração (aqui nem o ML no Python é necessário, nem o AI no Powerpoint - tudo funciona em algoritmos básicos). A tarefa é colocar as vulnerabilidades identificadas no mapa real dos ativos, priorizá-las dependendo da criticidade e valor dos ativos sob ameaça, formar um plano ... E aqui está a parada. Realmente descobrir qual dos ativos vale é uma tarefa que nem mesmo um guarda de segurança ativo pode descobrir. O processo de análise de risco e avaliação de ativos geralmente morre na fase de avaliação do valor das informações ou alinhamento dessa avaliação com os negócios. Na Rússia, não mais do que uma dúzia de empresas seguiram esse caminho.
Mas, talvez, no modo facilitado (quando o custo de um recurso ou sua criticidade é estimado em uma escala relativa de 10 ou 100 pontos), o problema pode definitivamente ser resolvido. Além disso, os problemas de automação nos remetem, antes de tudo, ao item anterior - estoque. Depois disso, o problema é resolvido pela análise estatística clássica, sem truques complexos de IA.
3. Análise de ameaças. Quando finalmente inventariamos todos os ativos, entendemos todos os erros de configuração e possíveis vulnerabilidades, seria bom colocar os vetores de ataque bem conhecidos e as técnicas do invasor nessa imagem. Isso nos permitirá avaliar a probabilidade de o atacante conseguir atingir a meta. É ideal adicionar estatísticas sobre os funcionários de teste para determinar a capacidade de phishing e os recursos do serviço de IS ou SOC para detectar incidentes (o volume da parte controlada da infraestrutura, o número e os tipos de cenários de ataques cibernéticos monitorados etc.).
A tarefa parece solucionável? Desde que tenhamos conseguido nas duas etapas anteriores, existem duas nuances principais.
1. Técnicas e métodos para atacar um invasor também exigem uma interpretação da máquina de entrada. E não se trata de IoCs que são facilmente decompostas e aplicadas, mas, primeiro, de atacantes de TTP (táticas, técnicas e procedimentos), que envolvem uma cadeia de condições muito mais complexa ("sob que tipo de entrada eu sou vulnerável?"). Mesmo uma análise básica das técnicas conhecidas da matriz Mitre confirma que a árvore de eventos será muito ramificada e, para uma decisão correta sobre a relevância da ameaça, cada bifurcação requer algoritmo.
2. Nesse caso, o cérebro neural artificial é completamente oposto pelo natural - o atacante. E a probabilidade de não-padrão, não descrito ou não cair diretamente em ações de TTP, é extremamente grande.
4. Detecção / detecção de novas ameaças / anomalias, etc. Quando as pessoas falam sobre o uso de IA em SOCs, geralmente significam esses processos. De fato, o poder ilimitado da computação, a falta de um foco de atenção quebrado, Data Lake - que não é a base para a IA detectar novas anomalias e ameaças, não foram corrigidos antes?
O principal problema é que, para isso, é necessário agrupar pelo menos atividades por estruturas funcionais / de negócios e ativos de informação (retornar ao ponto 1); caso contrário, todo o enorme fluxo de dados em nosso Data Lake não terá o contexto necessário para detectar anomalias. O uso da IA nesta área é limitado a uma gama claramente definida de tarefas aplicadas; no caso geral, produzirá muitos falsos positivos.
5. A análise de incidentes é o “unicórnio” de todos os amantes de automação em questões de SOC: todos os dados são coletados automaticamente, os alarmes falsos são filtrados, as decisões informadas são tomadas
e a porta do Narnia se esconde em todo guarda-roupa .
Infelizmente, essa abordagem é incompatível com o nível de confusão de entropia que vemos nos fluxos de informações das organizações. O volume de anomalias detectadas pode mudar diariamente - não por causa do crescente volume de ataques cibernéticos, mas por atualizar e alterar os princípios do software de aplicativo, alterar a funcionalidade do usuário, o humor do CIO, a fase da lua etc. Para, pelo menos de alguma forma, trabalhar com incidentes recebidos do Data Lake (assim como do UBA, NTA etc.), o analista do SOC precisaria não apenas continuar por um longo tempo e pesquisar persistentemente no Google as causas prováveis de um comportamento tão estranho do sistema, mas também ter uma visão completa dos sistemas de informação: para ver cada processo em execução e atualização, cada ajuste do registro ou sinalizadores de fluxo de rede, para entender todas as ações executadas no sistema. Mesmo se você esquecer o enorme fluxo de eventos que isso provocará, e quantas ordens de magnitude o custo de uma licença para qualquer produto usado no trabalho do SOC aumentará, ainda existem enormes custos operacionais para manter essa infraestrutura. Em uma das empresas russas que conhecíamos, conseguimos “combinar” todos os fluxos de rede, habilitar a segurança das portas, configurar o NAC - em uma palavra, fazer tudo no Feng Shui. Isso permitiu uma análise e investigação de alta qualidade de todos os ataques à rede, mas ao mesmo tempo aumentou o número de administradores de rede que suportam esse estado em cerca de 60%. Se uma solução elegante de IB vale esses custos adicionais - cada empresa decide e avalia por si mesma.
Portanto, o receptor do telefone, a comunicação com administradores e usuários, hipóteses que exigem verificação nos estandes etc. continuam sendo o elo necessário na análise de incidentes. E essas funções de IA são mal delegadas.
Em geral, até agora dizemos o uso estrito da IA na análise de incidentes: "Eu não acredito nisso", mas esperamos realmente que, no futuro próximo, possamos fornecer à AI pelo menos um inventário de ativos e gerenciamento de vulnerabilidades.
6. Resposta e resposta a incidentes. Curiosamente, nesta parte, o uso da IA parece ser um modelo bastante viável. De fato, após uma análise qualitativa, classificação e filtragem de falsos positivos, como regra, já está claro o que fazer. Sim, e no trabalho de muitos SOCs, os manuais básicos para responder e bloquear podem ser executados nem pelos IBs, mas pelos especialistas em TI. Esse é um bom campo para o possível desenvolvimento de IA ou abordagens mais simples para automação.
Mas, como sempre, há nuances ...
R. Mais uma vez, enfatizo que, para o trabalho bem-sucedido da IA nesse estágio, é necessário que a pessoa anterior seja analista, e isso deve ser feito da maneira mais completa e qualitativa possível. Isso nem sempre é uma tarefa fácil.
B. Na parte de TI e negócios, você encontrará uma forte rejeição da automação de manuais básicos para responder (bloqueio de endereços IP e contas, isolamento de uma estação de trabalho), pois tudo isso é repleto de tempo de inatividade e interrupção dos processos de negócios. E, embora esse paradigma não tenha sido testado com sucesso pela prática e pelo tempo - pelo menos no modo semi-manual em andamento pelo analista, provavelmente é prematuro falar sobre a transferência de funções para uma máquina.
Agora vamos ver a situação como um todo. Alguns processos ainda não estão alienados em favor da IA, outros requerem elaboração e manutenção de todo o contexto da infraestrutura. Parece que ainda não chegou o momento da ampla adoção dessas tecnologias - a única exceção é a tarefa de melhorar a qualidade da detecção de incidentes, identificando anomalias. No entanto, há razões para acreditar que as tarefas do SOC listadas são, em princípio, passíveis de automação, o que significa que, a longo prazo, a IA pode muito bem encontrar seu lugar lá.
A Skynet não está pronta para vencer
Na final, gostaria de destacar alguns momentos muito importantes, em nossa opinião, que nos permitem responder a uma pergunta comum: “A IA pode me substituir pela primeira linha / comando de caça às ameaças / SOC?”
Em primeiro lugar, mesmo em grandes indústrias simplificadas e automatizadas, onde a maior parte da funcionalidade é dada às máquinas, o operador está sempre presente. Isso pode ser observado em qualquer um dos setores de nossa economia. As tarefas do operador nesse sentido são deterministicamente simples - pelo fator humano eliminam o “fator máquina” e estabilizam a situação com as próprias mãos em caso de falha / acidente / violação da correção do processo. Se automatizamos ou cibernetizamos as tarefas do SOC, automaticamente é necessário atrair um especialista especializado forte, capaz de avaliar rapidamente o impacto do erro da máquina e a eficácia das ações tomadas. Portanto, é improvável que a automação e o desenvolvimento da IA, mesmo no futuro, levem à rejeição de uma troca de plantão 24 horas por dia.
Em segundo lugar, como vimos, qualquer IA de uma maneira ou de outra requer reabastecimento de conhecimento e feedback. Além disso, no caso do SOC, não se trata apenas de alterar vetores de ataque ou o contexto de informações externas (que em teoria pode fazer parte de pacotes de treinamento / especialistas etc.), mas, antes de tudo, o contexto de informações de seus incidentes, sua organização e processos de negócios. Portanto, a IA também não poderá substituir os analistas especialistas em tempo integral da AI. Pelo menos no futuro próximo.
Assim, em nossa opinião, quaisquer abordagens para a integração da IA no SOC no estágio atual podem ser consideradas apenas como elementos de automação do trabalho com o contexto e a solução de algumas subtarefas analíticas. Um processo tão complexo como fornecer segurança da informação ainda não está pronto para a transferência completa para os robôs.