Искусственный интеллект спешит на помощь: без ИИ гонка против киберпреступности проиграна

Искусственный интеллект спешит на помощь: без ИИ гонка против киберпреступности проиграна

Автор Кит Мур, директор по управлению продуктами, SparkCognition Inc.
Эта статья изначально была опубликована в ноябрьском выпуске журнала ISSA за 2016 год. Чтобы полностью прочитать этот выпуск, перейдите по этой ссылке.

Ситуация с кибербезопасностью во времени аналогична басне Эзопа «Черепаха и заяц». Один участник, вредоносный код, работает на полной скорости, не принимая во внимание предстоящую гонку. Индустрия киберзащиты, или черепаха в этом сценарии, постоянно разрабатывает средства защиты, медленно и неуклонно. В то время как басня о последовательности, преобладающей над поспешностью, в киберландшафте есть морщина, которая делает его немного другим. В сказке черепаха и заяц начали гонку одновременно. В реальном мире зайцу дали 6 лет форы.

Первый крупный «дикий» вирус, ELK Cloner [7], был разработан в 1981 году. Первые антивирусные инструменты, независимо разработанные McAfee и G Data Software [6], появились только в 1987 году. Для решения растущей проблемы сетевой безопасности , брандмауэр был создан для дополнения антивирусных инструментов в 1988 году компанией Digital Equipment Corporation. К этому времени в дикой природе скрывалось уже более 1738 уникальных образцов вредоносных программ [12]. Инструменты киберзащиты стартовали далеко позади.

Конечно, с 1987 года в индустрии киберзащиты произошел значительный прогресс. Антивирусные компании постоянно разрабатывают новые сигнатуры, а в брандмауэры вносятся бесчисленные инновации. С изобретением средств обнаружения пакетов, межсетевых экранов уровня приложений и решений SIEM появилось больше способов защитить сеть, чем когда-либо прежде. Проблема в том, что этого недостаточно. Вредоносное ПО и наборы эксплойтов мчатся вперед со скоростью зайца и с черепашьей последовательностью. От APT и целевого фишинга до программ-вымогателей и троянов удаленного доступа — опасности киберпространства быстро опережают любые инструменты безопасности, предназначенные для их предотвращения.

Вредоносное ПО мчится вперед, а существующие инструменты безопасности не поспевают за ним

Глядя исключительно на исполняемые вредоносные программы, закономерности за последний год абсолютно пугающие. 27% когда-либо созданных вредоносных программ [11] были разработаны в 2015 году, а с января по июль 2016 года было разработано больше вредоносных программ, чем за весь 2015 год. По данным AV-test [3], ежедневно регистрируется более 390 000 новых вредоносных программ. Использование алгоритмов генерации доменов (DGA) и полиморфизма значительно усложняет обнаружение вредоносных программ и привело к тому, что 78% [9] аналитиков безопасности больше не доверяют эффективности антивирусных инструментов. Это вполне обоснованное беспокойство, которое было подкреплено отчетом Verizon о расследовании утечки данных за 2016 год. Согласно отчету [18], «99% хэшей вредоносных программ видны всего 58 секунд или меньше. На самом деле, большинство вредоносных программ было замечено только один раз. Это отражает тот факт, что хакеры автоматизировали процесс создания новых вариантов вредоносных программ, и подчеркивает вывод о том, что автоматическое обнаружение угроз и реагирование на них абсолютно необходимы для продвижения вперед.

Полиморфизм и DGA представляют собой серьезные проблемы, но недоверие к инструментам обнаружения и предотвращения представляет собой лишь часть проблемы, с которой сталкиваются аналитики. Еще одна важная проблема — огромный объем трафика, который создает каждый инструмент безопасности. По мере того, как отрасль вступает в настоящую эру «больших данных», инструменты агрегирования, созданные для обработки потока данных, сами генерируют огромные объемы данных. Распространенный сегодня инструмент безопасности «больших данных», SIEM, доказывает это количеством генерируемых им эвристических предупреждений. Согласно анализу Damballa [5], средний бизнес в США получает 10 000 предупреждений системы безопасности в день. Затем эти оповещения необходимо проанализировать, приоритизировать и исследовать. Многие из них заканчиваются ложными срабатываниями, что значительно снижает производительность аналитиков. На самом деле, согласно Sumologic [1], более 50% аналитиков назвали слишком много ложных срабатываний существенным недостатком использования SIEM. Количество ложных срабатываний, доставленных в рамках этой приливной волны предупреждений, является значительным, поскольку оно выявляет еще одну проблему кибераналитика — нехватку персонала для обработки нагрузки. Согласно анализу Peninsula Press [15] данных Бюро статистики труда, только в Соединенных Штатах в 2015 году было более 209 000 вакансий в области кибербезопасности. Это число только увеличилось в 2016 году, поскольку рынок быстро растет. Ожидается, что к 2018 году спрос вырастет почти на 53%, что указывает на серьезную нехватку кадров в области кибербезопасности. При продолжающемся росте сети из-за количества подключенных к сети оконечных устройств (ожидается, что к 2020 году оно удвоится [14]) и расширенной пропускной способности полагаться на масштабируемость человека будет недостаточно, чтобы смягчить этот кризис.

Подводя итог: создается все больше динамичных и полиморфных вредоносных программ, а инструменты безопасности, основанные на эвристике, генерируют слишком много предупреждений, с которыми не может справиться ограниченный штат аналитиков. Стабильной кибериндустрии нужен новый план игры, чтобы конкурировать в гонке с вредоносными программами.

Изменения в игре — искусственный интеллект

Таким образом, чтобы конкурировать с автоматическими возможностями вредоносных программ, необходимо использовать новые технологии. Он должен быть способен обнаруживать полиморфизм, сводить к минимуму ложные срабатывания и оптимизировать реакцию аналитика.

Откройте для себя искусственный интеллект — смену парадигмы, которая произведет революцию в индустрии кибербезопасности. Он способен действовать как человек-аналитик, но без устали со скоростью машины. К сожалению, ИИ вызывает в умах большинства негативные коннотации, больше похожие на Скайнет из фильмов о Терминаторе, чем на способность Пандоры рекомендовать песни. Сравнение со Скайнетом не может быть дальше от истины. Искусственный интеллект в том виде, в котором он используется сегодня, можно более точно охарактеризовать как усиление интеллекта или ИА. Усиление интеллекта фокусируется на повышении эффективности людей, а не на их замене.

На самом деле использование алгоритмов для усиления интеллекта людей полностью противоречит первоначальным целям систем искусственного интеллекта. В первую эру искусственного интеллекта, которая пришлась на 1950-е годы, целью было воспроизведение процессов человеческого мозга на вычислительных устройствах. Были сделаны прогнозы, утверждающие, что ИИ станет чемпионом мира по шахматам, что ИИ откроет прорывные математические формулы и что системы искусственного интеллекта полностью обгонят рабочую силу в течение одного-двух десятилетий. К сожалению, эти смелые прогнозы так и не оправдались в ожидаемые сроки. Эти взволнованные исследователи не смогли точно предсказать проблемы, с которыми им придется столкнуться, особенно ограниченную доступную вычислительную мощность. Это привело к своего рода зиме ИИ или менее исследованному периоду ИИ в 1970-х годах. Эта зима длилась до начала 1980-х, когда началась вторая волна ИИ.

Вторая волна ИИ сузила масштабы того, для чего был предназначен искусственный интеллект, сосредоточившись на создании «экспертных систем». Вместо того, чтобы пытаться воспроизвести все человеческие знания, как их предшественники, цель экспертных систем ИИ 2.0 состояла в том, чтобы функционально выполнять отдельные задачи, специфичные для предметной области, аналогично тому, как их мог бы выполнять человек. В отличие от первой волны ИИ, в эту эпоху были фантастические успехи, такие как Xcon, разработанный DEC [19]. Xcon помогла совместить потребности клиентов с правильным продуктом DEC и, по оценкам, сэкономила более 25 миллионов долларов в год за счет сокращения ошибок технического персонала. Хотя он работал на довольно простой эвристике, он был поразительно более продуктивным, чем современный уровень техники того времени. Однако Xcon и подобные системы не лишены недостатков. Системы AI 2.0 быстро оказались слишком сложными в обслуживании и по-прежнему были склонны к экстремальным ошибкам, которые приводили к катастрофическим ошибкам в критических рабочих процессах. Эти недостатки в сочетании со спадом на рынке оборудования для ИИ привели к второй зиме ИИ, которая продлилась до конца 90-х.

Это привело мир к современному искусственному интеллекту, или AI 3.0. Часто синонимично переплетающийся с термином машинное обучение, третья волна ИИ специально ориентирована на создание интеллектуального программного обеспечения, которое может адаптироваться к новым данным, чтобы лучше прогнозировать, оптимизировать, классифицировать или понимать поведение конкретной системы. Благодаря инновациям, вызванным законом Мура, физические вычисления, наконец, привели к созданию систем с искусственным интеллектом, способных постоянно превосходить человеческие возможности на уровне предметной области. Полный человеческий интеллект и способности еще предстоит воспроизвести, но сегодня многие задачи могут быть выполнены значительно быстрее и лучше с помощью машины, чем это может сделать человек-эксперт. Например, теперь человеку почти невозможно обыграть хорошо обученный компьютер в шахматы, каналы социальных сетей могут настраивать себя для отображения контента, который, по их мнению, вас интересует, а беспилотные транспортные средства используют искусственный интеллект для безопасного перемещения. дороги. Мы, наконец, достигли точки, когда системы искусственного интеллекта способны усиливать человеческий интеллект.

К счастью, в киберпространстве есть множество возможностей для усиления интеллекта. Применяя передовые алгоритмы, такие как байесовские рассуждения, нейронные сети с глубоким обучением, обработку естественного языка и т. д., можно автоматизировать и прогнозировать многие процессы, которые может инициировать кибераналитик при запуске угроз на землю. Благодаря автоматизации стандартных процессов аналитики могут контролировать постоянно растущий объем сети и сосредоточиться на принятии ключевых решений.

ИИ и полиморфное вредоносное ПО

Начнем с первой серьезной задачи — обработки адаптивного полиморфного вредоносного ПО и обнаружения злонамеренных намерений. Подумайте о методах, которые может использовать аналитик-человек, чтобы идентифицировать вредоносные файлы. Человек начал бы с просмотра каждого файла, перемещающегося по его сети, либо через журналы прокси-сервера, журналы брандмауэра, системные журналы машины или сетевой кеш. Вместо того, чтобы анализировать каждый файл, что заняло бы значительное время, они проверяли необычные или «аномальные» файлы. Это могут быть файлы, которые загружались реже, файлы, загруженные с веб-сайтов, не внесенных в белый список, или что-либо еще, что конкретный аналитик считает подозрительным. Оттуда каждый файл может быть хэширован и сравнен с существующим репозиторием угроз. После этого анализ нужно перевести в автономный режим и покопаться на месте.

Работа по расследованию файлов на месте несколько более трудоемка. Каждый «аномальный» файл, с которым стоит покопаться, обычно на этом этапе прогоняется антивирусным инструментом. Уже установлено, что антивирусные средства не вызывают доверия у специалистов по безопасности. Однако в этом случае необходимо точно понять, насколько плохими они могут быть, покопавшись в серии отчетов OPSWAT, вышедших в 2015 году. Согласно отчету за январь 2015 года, APT присутствовали на 0,7% всех устройств [2]. ]. Согласно тому же отчету в августе 2015 года, это число резко возросло до 4,4% [17] всех устройств, при этом отмечается, что «даже несмотря на то, что продукт [защита от вредоносных программ] может обнаружить угрозу, могут потребоваться дальнейшие действия для устранения угрозы». , что не всегда очевидно только из продукта для защиты от вредоносных программ». Скачок на 4% всего за 7 месяцев указывает на то, что либо вредоносное ПО развивалось экспоненциально, либо инструмент изначально отставал от кривой и не мог обнаруживать вредоносные APT.

Чтобы обойти это, аналитики часто предпочитают детонировать файлы в среде песочницы, поскольку песочницы позиционируются как эффективные средства выявления вредоносных программ нулевого дня. Правда в том, что они далеки от серебряной пули [13], как назвал кибер-исследователь Кристофер Крюгель. Как обычно, вредоносные программы значительно опередили любые достижения в области песочниц, используя различные методы для идентификации сред песочницы и предотвращения детонации. Эти методы, перечисленные в официальном документе, опубликованном в начале 2016 года институтом SANS [10], включают отсрочку выполнения, диагностику песочницы и мониторинг активности человека. Фактически, Symantec считает, что 16% образцов вредоносного ПО [8] «осведомлены о виртуальных машинах», а это означает, что маловероятно, что они будут захвачены песочницей.

Так как же машинное обучение решает эти проблемы? В отличие от изолированных сред, методы машинного обучения могут автоматически анализировать файлы статически, что значительно сокращает время, необходимое по сравнению с изолированными средами или анализом, управляемым аналитиком в автономном режиме. Вместо того, чтобы искать сигнатуры или анализировать выполнение файлов, методы машинного обучения могут разбивать файлы на миллионы статических фрагментов и определять вероятность того, что они могут содержать вредоносное ПО. Для этого используются передовые методы математики и науки о данных. Будь то простой анализ строк или просмотр более сложных функций, таких как файловая энтропия или заголовки, каждый файл сначала деконструируется в то, что называется «набором функций» для рассмотрения алгоритмом. Затем алгоритм может вывести корреляции между набором признаков и сгенерировать еще больше данных для проверки.

После создания набора функций, называемого «ДНК» файла, начинается настоящая работа по машинному обучению. Обучаясь и изучая ДНК миллионов известных вредоносных файлов и миллионов известных безопасных файлов, различные алгоритмы могут точно определять все типы поведения и характеристики файлов, наиболее часто связанных с вредоносными программами. Эти алгоритмы используют такие методы, как байесовское мышление на основе дерева и глубокое обучение, для анализа файлов и создания прогнозов. Эти анализы легко превосходят возможности человека-эксперта, потому что они эволюционируют, чтобы понять ДНК файла способами, которые даже самые умные люди не в состоянии сделать. Чтобы понять, почему это так, важно заглянуть немного под капот.

Объяснение байесовских рассуждений

Байесовское рассуждение — это статистическая концепция, постулирующая, что вероятность события может быть определена условиями, относящимися к этому событию. Например, если возраст человека связан с вероятностью того, что он будет посещать учебное заведение, информация о возрасте человека должна помочь более точно оценить вероятность того, что он посещает школу. В машинном обучении байесовское рассуждение часто используется для автоматизации создания сложных вероятностных деревьев, которые могут более точно оценивать вероятность возникновения определенных событий. Думайте о них как о чрезвычайно сложных логических деревьях решений, которые помогают понять отношения данных. При обнаружении вредоносных программ эти деревья могут расширяться до тысяч «ветвей», чтобы лучше классифицировать файл как вредоносный или безопасный. Простая байесовская взаимосвязь обнаружения вредоносных программ может выглядеть следующим образом: если файл упакован, то есть содержит высокий уровень шифрования и сжатия, вероятность того, что он будет вредоносным, на 50 % выше, чем безвредным. Однако эту взаимосвязь затем можно дополнительно определить, учитывая другие функции ДНК, такие как определенные вызовы функций, содержащиеся в файле, энтропия файла, содержимое заголовка и многое другое. Добавляя эти функции и дополнительные «ветви», алгоритм может гораздо точнее различать вредоносные файлы и безопасные файлы.

Объяснение глубоких нейронных сетей

В то время как байесовские рассуждения в первую очередь оптимизируют сложные правила «если то-то-то» при построении древовидных структур, нейронные сети добавляют еще один уровень сложности. Вместо ветвления в булевой логике нейронные сети реализуют нейронную архитектуру, очень похожую на человеческий мозг, при построении моделей. Эти нейроны принимают входные данные, а затем используют встроенные вычислительные функции, чтобы решить, следует ли и когда передавать информацию на следующий уровень. Глубокая нейронная сеть — это сеть, которая содержит множество скрытых слоев нейронов, и чаще всего множество нейронов на каждый слой. Для обнаружения вредоносных программ, поскольку ДНК каждого файла проходит через эти скрытые слои, происходит анализ, помогающий преобразовать данные и определить, различают ли различные части файла как вредоносный или доброкачественный. Из-за всех этих преобразований и сложных решений об активации нейронов нейронные сети очень трудно объяснить на высоком уровне. Однако они доказали свою высокую эффективность при решении проблем с ограничениями, таких как обнаружение вредоносных программ.

Более простой подход к пониманию того, как работает обнаружение вредоносных программ с помощью машинного обучения, — это сравнить его с чем-то простым, например, со строительными блоками Lego. Подумайте о пиратском корабле Lego. Это бич морей Лего, и жители деревни Лего боятся его за весь ущерб, который он может нанести их городу Лего. В этом сценарии пиратский корабль Lego является вредоносным ПО. Если бы человек взял все части, из которых состоит этот пиратский корабль Lego, он мог бы использовать их для создания множества других структур Lego — например, дома Lego. Эти части пиратского корабля на самом деле могут быть собраны вместе, чтобы создать довольно убедительный дом. Однако этот дом не был бы без недостатков. Были бы еще определенные компоненты, которые не совсем идеально подходят, такие как штурвал корабля или пиратский флаг. Когда они спрятаны в доме, их может быть трудно заметить как выбросы. Но если бы дом был разобран на части и каждая часть разложена по отдельности, было бы очевидно, что они не на своем месте. Внимательно изучив и рассмотрев эти выбросы, хорошо подготовленный ум может просмотреть все отдельные кубики Lego и прийти к выводу, что они на самом деле смотрят на злонамеренный пиратский корабль, а вовсе не на дом!

Обнаружение вредоносного ПО с помощью машинного обучения использует тот же подход, за исключением того, что оно способно анализировать миллионы фрагментов, которые могут составлять ДНК файла, а не только сотни деталей Lego, из которых состоит пиратский корабль. Эти сложные алгоритмы способны идентифицировать вредоносное ПО, скрывающееся под, казалось бы, безобидным фасадом.

В отличие от Терминатора, эта технология не является научной фантастикой. Алгоритмы обнаружения вредоносных программ уже вышли далеко за пределы академического мира и влияют на промышленность. Эти готовые инструменты машинного обучения используются для значительного повышения безопасности критически важных конечных точек в финансовых учреждениях, розничных магазинах, технологических компаниях и правительствах. Такие компании, как SparkCognition, Cylance, Invincea и некоторые другие, используют антивирусы с машинным обучением с эффективностью более 99% с минимальным количеством ложных срабатываний. Эти методы борются с полиморфизмом и алгоритмами генерации доменов из-за сложных методов, присущих процессу машинного обучения. Вместо поиска хэш-функции или эвристического совпадения для выявления сходства с другими известными вредоносными файлами используются обнаружение шаблонов и корреляция. Даже в случае обработки упакованных и запутанных файлов методы машинного обучения могут быстро выявлять и блокировать любые вредоносные намерения, присутствующие на клиентской конечной точке. Лучше всего то, что эти методы со временем изучают вредоносные шаблоны по мере обнаружения новых типов файлов и угроз. Используя полууправляемые методы и методы подкрепления, которые могут учиться на пользовательском вводе, эти алгоритмы могут обучаться лучше распознавать новые варианты вредоносных программ, не отставая от постоянно меняющихся мутаций вредоносных программ.

ИИ и повышение эффективности аналитиков

Вторым серьезным риском, с которым сталкивается кибериндустрия, является растущий поток предупреждений о безопасности в сочетании с недостаточным количеством аналитиков для их обработки. Для решения этих проблем есть только один разумный путь — сделать рабочую силу более эффективной. Самый очевидный способ сделать это — улучшить фильтрацию и приоритизацию потоков угроз. В существующих эвристических системах безопасности, таких как SIEM, Snort и брандмауэры, возможности фильтрации и определения приоритетов весьма ограничены. Большинство предупреждений — от продвинутой постоянной угрозы до попадания в черный список — генерируются с одинаковым весом. Это не является устойчивым движением вперед. Вместо этого искусственный интеллект можно использовать для усиления человеческих аналитиков и предотвращения их перегрузки.

Во-первых, необходимо понять, что в данный момент должен делать аналитик, чтобы проанализировать и приоритизировать угрозы. Как только в инструменте безопасности срабатывает предупреждение, большинство опытных аналитиков будут полагаться на предварительные знания, чтобы получить немного контекста. При наличии небольшого количества предупреждений аналитик может быстро определить, что загруженный файл, соответствующий сигнатуре известного трояна, более важен, чем попадание в черный список из веб-браузера сотрудника. Однако при большом количестве предупреждений неопытным аналитикам очень сложно даже понять, с чего начать. Большинство расставляет приоритеты по типу оповещения, но эта методология не всегда надежна [4]. Затем они могут использовать другие инструменты, чтобы углубиться в каждое оповещение и запустить его в работу. Наконец, если опыта и существующих инструментов недостаточно, аналитик может обратиться к еще более надежному инструменту — Интернету. По данным Lookingglass Cyber ​​Solutions [16], помимо традиционных инструментов безопасности, самым ценным ресурсом, который исследователь может иметь в своем распоряжении, является поисковая система. Используя Google или Bing, две самые популярные поисковые системы, аналитик может построить гипотезу о том, является ли предупреждение законным или ложным срабатыванием. Однако этот вывод открыт для интерпретации, поскольку возможна человеческая ошибка. Этот процесс также может занять часы или дни для расследования некоторых предупреждений.

Алгоритмы искусственного интеллекта могут автоматизировать этот процесс для аналитика и помочь представить только актуальную информацию, на основании которой может быть принято решение. Эти алгоритмы не только способны объединять все разрозненные источники данных, но и могут делать это в режиме реального времени. Например, алгоритмы способны анализировать простое эвристическое совпадение, например доступ к аномальному домену, и быстро диагностировать его уровень злонамеренности. Они могут анализировать домен, пользовательский агент, используемый порт, геолокацию и ряд каналов угроз, чтобы определить, действительно ли активность была опасной или это просто очередное ложное срабатывание. Затем отдельные алгоритмы могут сравнивать события этого типа с другими событиями, создавая общую «оценку риска» для каждого из них, помогая аналитику расставить приоритеты в своей рабочей нагрузке.

Алгоритмы машинного обучения также могут автоматизировать исследования аналитиков, чтобы помочь им лучше понять сетевую активность. Используя новую технологию безопасности, называемую обработкой естественного языка (NLP), алгоритмы могут читать Интернет. Например, если сотрудник аномально использовал порт 8888 для доступа к сайту в Китае, алгоритмы NLP могли бы автоматизировать десятки запросов Google, связанных с этим типом деятельности. Затем они могли прочитать сотни возвращенных страниц, чтобы определить, является ли наблюдаемое поведение вредоносным или безопасным. Технологически это работает совершенно уникально. В отличие от анализа файлов, где можно создать очень специфический набор функций, Интернет не такой упорядоченный — это беспорядок контента в тысячах различных форматов. Алгоритмы машинного обучения предпочитают рассматривать хорошо структурированные данные, поэтому самым первым шагом, необходимым для проведения киберисследований, является структурирование контента, извлекаемого в каждом запросе. Для этого используются такие методы, как TF/IDF, векторизация слов, анализ настроений и другие. После структурирования весь контент может быть пропущен через алгоритмы, подобные описанным для анализа файлов, чтобы предсказать, насколько вероятно, что каждый документ, абзац или предложение относится к злонамеренному или доброкачественному поведению. Затем эту информацию можно сопоставить с исходным запросом и оценить достоверность, чтобы определить, коррелирует ли поведение, демонстрируемое в конкретной сети, с тем, что читается и классифицируется на любой данной веб-странице.

Чтобы предоставить более интуитивный пример, пользовательский агент, содержащий «() { :;}; /Bin/Bash» не обязательно вселяет страх в сердце младшего аналитика. Однако после исследования этого аномального пользовательского агента в Интернете система безопасности на основе NLP быстро распознает, что этот шаблон связан с эксплойтом Shellshock, и пометит его как чрезвычайно вредоносный.

Автоматизированные исследовательские возможности и оценка рисков, вызванные использованием обработки естественного языка в области безопасности, могут значительно помочь автоматизировать приоритизацию угроз. На выполнение этого исследования может уйти от нескольких часов до нескольких дней аналитику-человеку, алгоритм с приличной пропускной способностью (например, Гбит/с) может выполнить все необходимые исследования и оценки менее чем за секунду. Более того, он может делать это для каждого оповещения, когда-либо созданного любым компонентом безопасности на объекте, в режиме реального времени.

Но одних только оценок и приоритизации недостаточно, чтобы их можно было считать полезным усилением интеллекта в сфере безопасности. Упомянутое выше автоматизированное исследование угроз не имеет никакой ценности, если в него не верит специалист по безопасности, ответственный за принятие решений. Вот почему эти алгоритмы были разработаны для того, чтобы сделать шаг вперед, а не просто подсчитывать баллы и приоритизировать контент. Как видно на рисунке 1, алгоритмы машинного обучения и обработки естественного языка также способны преобразовать весь соответствующий контент — от геолокации IP-адреса, к которому осуществляется доступ, до 3 абзацев в Интернете, которые лучше всего представляют заданную оценку риска — в нечто, легко интерпретируемое пользователем. средний кибер-практик. Это позволяет аналитикам быстро принимать правильные решения, опираясь на исчерпывающие исследования и надежный анализ.

Мир с ИИ — движение вперед

Мчась вперед со скоростью зайца, вредоносное ПО прошло пугающе долгий путь со времен ELK Cloner. Угрожающие файлы развились до такой степени, что их больше нельзя отследить с помощью традиционных инструментов, основанных на сигнатурах, и они мутируют при каждой репликации. Инструменты безопасности, предназначенные для выявления этих угроз, теперь заставляют аналитиков получать больше предупреждений, чем когда-либо прежде, и нет хорошего способа справиться с ними всеми.

К счастью, наша черепаха оборонная промышленность также быстро продвинулась вперед. Алгоритмы искусственного интеллекта, включая машинное обучение и обработку естественного языка, предоставляют оружие, необходимое для поиска полиморфных вредоносных программ и постоянных угроз. Без ИИ мы, безусловно, слишком далеко отстали от вредоносных программ, чтобы когда-либо надеяться наверстать упущенное. При этом есть надежда, что искусственные когнитивные системы смогут усилить защитные возможности любой киберзащиты в мире. Пришло время сменить парадигму в том, как мы относимся к безопасности. По мере того, как вредоносные программы становятся автоматизированными, интеллектуальными и осведомленными, кибербезопасность также должна развиваться.

использованная литература

1. Достижение непрерывной аналитики с помощью Advanced Security Analytics. Sumologic Inc., ноябрь 2015 г. По состоянию на 30 августа 2016 г. https://www.sumologic.com/wp-content/uploads/2015/11/Achieving-Continuous-Intelligence-with-Security-Analytics.pdf.
2. Отчет об антивирусах и взломанных устройствах: январь 2015 г.. ОПСВАТ. 23 января 2015 г. По состоянию на 30 августа 2016 г. https://www.opswat.com/resources/reports/antivirus-and-compromised-device-january-2015.
3. AV-TEST — Независимый институт ИТ-безопасности. Отчет о статистике вредоносных программ и тенденциях. 25 августа 2016 г. По состоянию на 30 августа 2016 г. https://www.av-test.org/en/statistics/malware/.
4. Даунинг, Ларри. Target заявляет, что отказалась действовать в связи с ранним предупреждением о кибер-взломе. Рейтер. 13 марта 2014 г. По состоянию на 30 августа 2016 г. http://www.reuters.com/article/us-target-breach-idUSBREA2C14F20140313.
5. Данн, Джон Э. В среднем в США бизнес-поля получают 10 000 предупреждений безопасности в день, по данным Damballa Analysis. ОГО онлайн. 14 мая 2014 г. По состоянию на 30 августа 2016 г. http://www.csoonline.com/article/2154861/average-us-business-fields-10000-security-alerts-per-day-damballa-analysis-finds. html.
6. G Data впервые представляет безопасность на CeBIT 2010. G DATA Software AG. 18 февраля 2010 г. По состоянию на 30 августа 2016 г. https://www.gdata.pt/central-de-imprensa/reportagens/detalhes-de-noticias/article/1532-g-data-presents-security-first .
7. История вирусов. История вирусов. 10 марта 1994 г. По состоянию на 30 августа 2016 г. http://csrc.nist.gov/publications/nistir/threats/subsubsection3_3_1_1.html.
8. Отчет об угрозах безопасности в Интернете. Апрель 2016 г. По состоянию на август 2016 г. https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf.
9. Кин, Джонатан. Достаточно ли антивируса? Специалисты по безопасности говорят, что превентивные меры намного эффективнее. Цифровые тренды. 06 июля 2015 г. По состоянию на 30 августа 2016 г. http://www.digitaltrends.com/computing/anti-virus-isnt-enough-security-professionals-say-preventative-measures-are-the-future/.
10. Керагала, Дильшан. Обнаружение вредоносных программ и методов обхода песочницы. 16 января 2016 г. По состоянию на 30 августа 2016 г. https://www.sans.org/reading-room/whitepapers/forensics/detecting-malware-sandbox-evasion-techniques-36667.
11. Королев, Мария. 27% всех вариантов вредоносных программ в истории были созданы в 2015 году. ОГО онлайн. 29 января 2016 г. По состоянию на 30 августа 2016 г. in-2015.html.»
12. Снижение рисков безопасности и затрат за счет сокращения времени до защиты. Январь 2009 г. По состоянию на 23 августа 2016 г. http://www.techdata.com/techsolutions/Softwareconnections/files/april10/TREND_ENTSECWhitepaper.PDF.
13. Мессмер, Эллен. Технология «песочницы для обнаружения вредоносных программ — не серебряная пуля». Сетевой мир. 26 марта 2013 г. По состоянию на 30 августа 2016 г. http://www.networkworld.com/article/2164758/network-security/malware-detecting--sandboxing--technology-no-silver-bullet.html.
14. Миддлтон, Питер, Тило Козловски и Анураг Гупта. Анализ прогнозов: Интернет вещей — конечные точки, по всему миру, обновление 2015 г.. Прогнозный анализ: Интернет вещей — конечные точки, по всему миру, обновление 2015 г. 15 декабря 2015 г.. Доступ к 30 августа 2016 года.
15. Сеталвад, Ариха. Спрос на рабочие места в сфере кибербезопасности стремительно растет — Peninsula Press. Полуостров Пресс. 31 марта 2015 г. По состоянию на 30 августа 2016 г. http://peninsulapress.com/2015/03/31/cybersecurity-jobs-growth/.
16. Стыдно, Алиса. Три инструмента, которые нужны каждому аналитику по безопасности | LookingGlass Cyber ​​Solutions Inc.” LookingGlass Cyber ​​Solutions Inc. 15 октября 2014 г. По состоянию на 30 августа 2016 г. «https://www.lookglasscyber.com/blog/threat-intelligence/three-tools-every-security-analyst-needs/.
17. Отчет о доле рынка ведущих поставщиков антивирусных программ и безопасности устройств. ОПСВАТ. 21 августа 2015 г. По состоянию на 30 августа 2016 г. https://www.opswat.com/resources/reports/anti-malware-market-share-security-august-2015#anti-malware-vendor-market-share.
18. Отчет Verizon о расследованиях утечки данных за 2016 год. Корпоративные решения Verizon. Апрель 2016 г. По состоянию на 30 августа 2016 г. http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/.
19. Уинстон, Патрик Генри и Карен А. Прендергаст. Искусственный интеллект: коммерческое использование искусственного интеллекта. Кембридж, Массачусетс: MIT Press, 1984.