起源于60年代的人工智能主题现在正经历着疯狂的发展。 计算机击败了围棋的棋手和围棋爱好者,有时他们更有可能被医生诊断,神经网络(这次与三名技术支持工程师的思想无关)正在认真尝试解决复杂的应用问题,并且地平线附近已经出现了通用人工智能,当-某些东西会取代他申请的亲戚。
信息安全也不会一直在围绕AI进行大肆宣传(或AI的演进-在这里每个人都自行决定)的范围之外。 我们越来越多地听到必要的方法,正在制定的解决方案,甚至(有时胆怯且不确定,有时甚至是大声且不幸的是,不是很令人信服)关于该领域的第一个实际成功。 当然,我们不会承担所有信息安全的责任,但是我们将尝试找出在与我们相关的SOC(安全运营中心)方向使用AI的真正可能性。 谁是对该主题感兴趣的人,或者只是想潜入评论-欢迎加入。
为IS任务键入AI,或者不是所有AI都同样有用
人工智能分类的方法很多-在系统类型,方向发展的进化波,培训类型等方面 在本文中,我们将从工程方法的角度考虑AI类型的分类。 在此分类中,AI分为4种类型。
1.逻辑方法 (计算机专家系统)-AI主要是作为复杂事实证明系统组成的。 系统将任何新出现的目标解释为必须通过逻辑方法解决的任务。 消息人士称,IBM Watson系统在所有俄罗斯国际象棋迷中都声名狼藉,其工作方式也与此类似。
这种方法的本质是,该系统大部分具有两个主要接口:用于获取信息(由学科领域的专家进行培训)和解决问题(其中所获得的知识和技术用于解决逻辑和实际问题)。
在谈论在信息安全中使用AI的前景时,通常会考虑使用这种方法,因此我们将在以后对其进行详细检查。
2.结构化方法 -当AI的主要工程任务之一是模拟人类大脑时,它具有结构化和分析信息的能力。 实际上,她学习并改进了内部决策算法,从而提供给系统的数据流以及提供给系统的反馈(这对很多普通人,包括SOC分析人员都有帮助)。
由于有详细反馈的可能性,因此通常将这些方法与条件结构化数据数组结合使用。 这是图像处理,数据个性化,音频/视频内容或其他信息的标记。 在大多数众所周知的实现中,该系统虽然不是纯粹的专家,并且不需要知识获取模式,但是仍然需要大量的操作员工作才能形成稳定且有意义的反馈流。 这与人脑的工作很像:要让AI“成长”,就必须教给它什么是好,什么是坏,什么是热,什么是冷,妈妈在哪里,陌生人在哪里。
3.进化的方法 -在更简单的程序之间进行知识交流以及形成新的,更复杂的代码结构的过程中培养AI。 进化的任务主要是创造“完美外观”并适应新的侵略性环境,生存,以避免恐龙的悲惨命运。
我认为,这种方法将我们引向能够解决信息安全问题或参与SOC活动的人工智能的机会很小。 我们的网络环境无疑是非常具有侵略性的,每天都会发生大量攻击,但是为IS环境创造条件以支持和刺激进化方法的选择似乎不太可能。 非常欢迎对此问题有其他意见的人发表评论。
4.模拟方法 -通过对模拟对象的长期观察,在研究区域中创建动作模拟器。 为简化起见,任务是读取所有输入参数和输出数据(分析结果,操作等),以便机器在一段时间后可以产生与被研究对象完全相同的结果,并可能进行广播如果对象是一个人,也会有同样的想法。
尽管让“老大哥”成为SOC分析师很有吸引力,但IB方法似乎也没有多大用处。 首先,由于难以将信息安全领域的新知识与其他所有知识相分离和分离(一个人很虚弱,即使在工作过程中也很乐意受到外界环境的干扰),并且由于观察工具的不完善(阅读信息的分流尚未专门开发和荣耀)给上帝)。
如果您整体地看一下所有描述的方法,尤其是在它们用于SOC分析任务的应用方面,则有一个共同的特征很明显:为了正确的开发,需要为婴儿AI喂食-方法,正确的答案和最结构化的数据,这些数据将向他解释未来的方式建立并做出自己的决定,或者教他如何使用外部信息界面。 此外,在我们的情况下,这些接口也应该结构化和自动化:如果SOC分析人员可以通过电话接收有关威胁或资产的信息,那么此号码将不适用于AI。
在一般情况下,部分信息安全流程(检测欺诈,保护Web应用程序,分析用户的权限和凭证)确实支持大量原则和“逻辑”结构。 在事件检测的情况下,一切都更具娱乐性。
这就是人工智能,或在SOC流程中的人工智能功能
现在,让我们尝试在关键SOC流程上“着陆”人工智能的逻辑和结构方法。 由于在两种情况下都暗含了对人类逻辑思维的模仿,因此值得提出一个问题:SOC分析师我将如何解决这个问题或从某个地方(自动化)获得答案? 让我们看一下SOC的关键过程:
1.盘存或收集有关资产信息的过程。 一个足够大的任务,包括用于AI的任务,应该接收有关观察对象的上下文并借助其学习。
从理论上讲,这是人工智能的沃土。 当出现一个新系统时,您可以可靠地“比较”它与它的邻居(通过分析网络流量,软件结构以及与其他IP的通信),并据此对它的目的,类别和密钥存储信息进行假设。 并且,如果您在其中添加创建的上下文(“该系统是由Vasya编写的,而我们公司中的Vasya是IT文档管理专家,而他创建的最后十个系统是文档管理”,或者“同时又创建了另外四个明确表明目的的系统”等),然后进行库存和资产会计对于AI任务似乎是可行的。
出现细微差别或外部问题答:在实践中,即使在单独的业务系统框架内,我们也观察到客户之间相当程度的熵。 此处以及特定工程师的工作特点,对该系统的交互配置和稍有修改的交互软件以及其他软件。 对于事件的监视和管理过程,对于我们来说重要的是,了解系统是生产性的还是测试性的,战斗数据是否已上传到系统上以及其他十二个小问题,这些问题通常很容易通过电话澄清,很难与信息流隔离。
B.为了解决这个问题,在某个阶段,有必要创建一个有条件的无菌环境,在该环境中我们仍然知道谁是谁以及正在解决什么任务。 甚至对于大多数客户来说,甚至是资产模型的基本创建过程……嗯,总的来说,我们不会谈论可悲的事情,您自己什么都知道。
尽管如此,我们注意到将AI用于此任务的希望是“有一天”并继续前进。
2.漏洞管理过程。 当然,我们不是在谈论基本的工具扫描以及识别漏洞和配置缺陷(这里甚至不需要Python中的ML,就像Powerpoint上的AI一样-一切都在基本算法上起作用)。 任务是将识别出的漏洞放在实际资产图上,根据受到威胁的资产的重要性和价值对它们进行优先级排序,制定计划……这就是止步。 真正弄清楚资产的价值是一项任务,即使是现场安全保卫人员也常常无法解决。 风险分析和资产评估过程通常在评估信息价值或使评估与业务相适应的阶段中消失。 在俄罗斯,只有不多的公司走这条路。
但是,也许在便利模式下(当资源成本或其关键程度通过相对于10或100点的规模估算时),该问题肯定可以解决。 此外,自动化问题首先使我们返回到上一个项目-库存。 此后,无需复杂的AI技巧即可通过经典的统计分析解决问题。
3.威胁分析。 当我们最终清点所有资产,了解所有配置错误和可能存在的漏洞时,将众所周知的攻击媒介和攻击者的技术放在这张照片上会很不错。 这将使我们能够评估攻击者能够实现目标的可能性。 理想的是添加有关测试员工的统计信息,以确定网络钓鱼的能力以及IS或SOC服务检测事件的能力(基础结构受控部分的数量,受监视的网络攻击情形的数量和类型,等等)。
任务看起来可以解决吗? 假设我们在前两个阶段进行了管理,则有两个关键的细微差别。
1.攻击攻击者的技术和方法也需要输入机器的解释。 并不是易分解和应用的IoC,而是首先涉及TTP(战术,技术和程序)攻击者,TTP攻击者需要一系列更为复杂的条件(“我容易受到哪些输入条件影响?”)。 甚至对Miter矩阵的众所周知技术的基本分析也可以确认事件树将非常分支,并且要对威胁的相关性做出正确的决定,每个分叉都需要算法。
2.在这种情况下,人工神经脑完全遭到攻击者的反对。 而且非标准,未描述或未直接纳入TTP行动的可能性非常多。
4.检测/检测新威胁/异常等。 人们谈论在SOC中使用AI时,通常指的是这些过程。 的确,无限的计算能力,缺乏破碎的关注点,Data Lake-以前没有解决AI检测新异常和威胁的基础是什么?
关键问题是,为此,您至少需要按功能/业务结构和信息资产来对活动进行聚类(返回到第1点),否则,我们的Data Lake中的整个巨大数据流将没有检测异常所需的上下文。 在此领域中,人工智能的使用仅限于明确定义的应用任务范围;在一般情况下,它将产生太多的误报。
5.事故分析是所有自动化爱好者在SOC问题上的“独角兽”:自动收集所有数据,过滤错误警报,做出明智的决定
,纳尼亚之门潜入每个衣橱 。
不幸的是,这种方法与我们在组织的信息流中看到的熵混乱程度不兼容。 检测到的异常现象的数量每天都会变化-不是因为网络攻击的数量不断增加,而是因为更新和更改了应用软件的原理,不断变化的用户功能,CIO的心情,月相等等。 为了至少能以某种方式处理从Data Lake(以及UBA,NTA等)接收到的事件,SOC分析人员不仅需要进行很长时间并且持续地搜索这种系统异常行为的可能原因,而且还需要全面了解信息系统:查看每个正在运行的进程和更新,注册表或网络流标志的每个调整,以了解系统中执行的所有操作。 即使您忘记了这将引发多少大事件,以及在SOC工作中使用的任何产品的许可费用将增加多少个数量级,维护这样的基础结构仍然存在巨大的运营成本。 在我们所知道的一家俄罗斯公司中,我们设法“梳理”了所有网络流量,实现了端口安全性,配置了NAC-简而言之,就是在风水中做所有事情。 这样可以对所有网络攻击进行高质量的分析和调查,但是与此同时,支持此状态的网络管理员数量也增加了约60%。 优雅的IB解决方案是否值得这些额外费用-每个公司都自行决定和评估。
因此,电话听筒,与管理员和用户的通信,需要在展台进行验证的假设等,仍然是事件分析中必不可少的环节。 而且这些AI功能的委派性很差。
总的来说,到目前为止,我们说在事件分析中严格使用AI是“我不相信”,但我们确实希望在不久的将来,我们至少能够为AI提供资产和漏洞管理清单。
6.响应和对事件的响应。 奇怪的是,在这一部分中,使用AI似乎是一个相当可行的模型。 确实,经过定性分析,对误报的分类和过滤,通常已经很清楚该怎么做。 是的,在许多SOC的工作中,响应和阻止的基本操作手册甚至不能由IB来执行,而是可以由IT专家来执行。 这是可能开发AI或更简单的自动化方法的好领域。
但是,一如既往,有细微差别...
答:我再次强调,对于AI在此阶段的成功工作,有必要由前一个人作为分析师,并且应该尽可能充分,定性地进行。 这也不总是一件容易的事。
B.在IT和业务方面,您甚至会遇到对甚至响应的基本剧本自动化(阻止IP地址和帐户,隔离工作站)的强烈反对,因为所有这些都充满了停机时间和业务流程中断的麻烦。 而且,虽然这种范例尚未通过实践和时间进行成功的测试-至少在分析师的认可下,至少在半手动模式下,谈论将功能转移到机器上可能为时过早。
现在让我们看一下整个情况。 有些流程尚未被支持AI疏远,有些流程则需要详细说明和维护整个基础架构。 似乎还没有广泛采用这些技术的时机-唯一的例外是通过识别异常来提高事件检测质量的任务。 但是,我们有理由相信,所列的SOC任务原则上可以进行自动化处理,这意味着从长远来看,AI可以很好地找到自己的位置。
天网还没准备好赢
最后,在我们看来,我想强调一些非常重要的时刻,这些时刻可以使我们回答一个常见的问题:“人工智能可以用威胁搜寻/ SOC的第一行/命令代替我吗?”
首先,即使在大型精简和自动化的行业中,大多数功能都提供给机器,操作员也始终存在。 在我们经济的任何部门都可以看到这一点。 从这个意义上说,操作员的任务在确定性上很简单-通过他们的人为因素消除“机器因素”,并在发生故障/事故/违反过程正确性的情况下,用自己的双手稳定情况。 如果我们使SOC任务自动化或通过网络自动化,那么就需要自动吸引强大的专业专家,他们能够快速评估机器错误的影响以及所采取措施的有效性。 因此,即使在将来,自动化和AI的发展也不太可能导致拒绝全天候工作。
其次,正如我们所看到的,任何一种人工智能都需要补充知识和反馈。 此外,对于SOC,这不仅涉及更改攻击媒介或外部信息上下文(理论上可以是培训/专家包等的一部分),而且首先涉及事件,组织和业务流程的信息上下文。 因此,AI也将无法取代AI的专职专家分析师。 至少在不久的将来。
因此,我们认为,在现阶段将AI集成到SOC中的任何方法都只能被视为具有上下文自动化和某些解析子任务解决方案的要素。 提供信息安全性这样的复杂过程尚未准备好完全传输到机器人。