«Искусственный интеллект может вывести предотвращение кибератак на новый уровень»

Число кибератак растет во всем мире. Однако для России эта проблема особенно актуальна – в прошлом году страна вошла в пятерку самых атакуемых. Какими последствиями для бизнеса могут обернуться киберугрозы, как центры мониторинга помогают с ними бороться и на чьей стороне сейчас искусственный интеллект, рассказал Ильназ Гатауллин, технический руководитель центра мониторинга и реагирования на кибератаки МТС RED SOC компании МТС RED («Серенити Сайбер Секьюрити»).

– По нашим данным, в первом полугодии этого года на КИИ пришлось 69% от общего числа высококритичных атак. Самые атакуемые отрасли КИИ сейчас – это промышленность, связь и здравоохранение. И если в медицинских учреждениях предметом интереса злоумышленников чаще всего являются персональные данные клиентов и сотрудников, то в случае с финансовым сектором к этим рискам можно добавить прямое хищение денег клиентов.

Финансовые организации стали подвергаться атакам одними из первых, и сейчас в вопросах кибербезопасности это одна из самых зрелых отраслей. В то же время возможность быстрой монетизации атаки на банк продолжает привлекать высококвалифицированных злоумышленников.

– Да, однако и атакуют их самые профессиональные хакеры. Особенность атак на банки – глубокая кастомизация инструментария злоумышленников под конкретную организацию, ее средства защиты, бизнес-процессы, конкретных сотрудников. Хакеры постоянно совершенствуют методы атак на банки, поэтому и банкам надо так же системно заниматься повышением защищенности.

Кроме того, финансовый сектор подвержен рискам атак через подрядчика. В этом случае злоумышленники взламывают инфраструктуру не самого банка, а менее защищенной организации, которая имеет доступ к банковским информационным ресурсам. Это узкое место, потому что свою инфраструктуру компании защищают по максимуму, а уровень кибербезопасности подрядчиков, как правило, никак не регламентируется и не контролируется. Если хакер получает доступ к инфраструктуре банка через его подрядчика, он может пройти «ниже радаров» стандартных средств защиты. Мы выявляли и отражали такие атаки, и здесь лучшим инструментом остается тщательный контроль действий подрядчиков в IТ-инфраструктуре компании. По-другому пока никак.

– Например, шифрование или полное удаление всех данных организации. Другой вариант атаки – дефейс веб-сайта (deface – «уродовать», «искажать». – «Ведомости&»), когда вместо обычного контента на странице может появиться какой-то лозунг и т. п. Такой инцидент не влияет на безопасность персональных или финансовых данных клиентов, однако несет высокие репутационные риски. А в перспективе любой инцидент, даже относительно несерьезный (такой, как дефейс), может привести к заметному оттоку клиентов.

Ну и, конечно, существует очень много разных вариантов атак, направленных непосредственно на хищение денег. Например, злоумышленники проникают в процессинговый сегмент и подменяют адреса реквизитов, находят уязвимости в личных кабинетах интернет-банка и многое другое.

Чтобы атаки не заходили так далеко, как раз и нужны центры непрерывного мониторинга и реагирования на инциденты (Security Operations Center, SOC). Они позволяют своевременно выявить атаку, свести к минимуму ущерб и сделать так, чтобы подобное не повторилось.

– Ключевые задачи центра мониторинга – это круглосуточное отслеживание событий, происходящих в инфраструктуре заказчика, выявление кибератак и блокирование действий хакеров. Информацию о происходящем в IТ-контуре заказчика мы собираем со всех установленных у него средств защиты вне зависимости от вендора.

SOC состоят из нескольких команд специалистов. Первая линия – это аналитики, которые получают информацию о подозрительных событиях в IТ-инфраструктуре и проводят первичную обработку по предварительно подготовленным инструкциям.

Если ситуация нетривиальная, она передается аналитикам второй линии, обладающим более высокими компетенциями. Они проводят детальный анализ происходящего и определяют меры, необходимые для реагирования на инцидент. Мы, как коммерческий сервис, можем сами заблокировать развитие атаки в инфраструктуре заказчика или передать ему полный перечень необходимых действий, если компания предпочитает реализовывать процесс реагирования на своей стороне. Но так или иначе после блокирования атаки мы обязательно выдаем рекомендации в отношении того, как ликвидировать или минимизировать последствия, а главное – предотвратить повторение инцидента. То есть каждая попытка атаки становится для заказчика возможностью повысить общий уровень защищенности компании.

Есть еще аналитики третьей линии, которые занимаются реверс-инжинирингом и разработкой корреляционных правил для выявления новых атак. Реверс-инженеры «разбирают» вредоносное ПО и анализируют, как оно устроено, чтобы создать эффективную защиту от него.

– Вся информация об инциденте аккумулируется в SIEM-системе, на ее основе мы создаем сценарии выявления кибератак, которые потом используем для защиты других компаний от аналогичных угроз. При этом мы используем не только собственные, но и сторонние данные. В базе МТС RED SOC уже более 500 сценариев выявления кибератак, и она постоянно пополняется. Эти сценарии включают информацию в том числе о тех угрозах, которые появились совсем недавно, и о тех, которые применяются в конкретной отрасли, что очень важно для тех же банков.

– Да, но это требует больших вложений в инфраструктуру, команду, выстраивание процессов и занимает много времени. Поэтому сейчас очень широко распространен аутсорсинг центров мониторинга. У провайдера уже все это есть: и инфраструктура, и команда, и экспертиза – та же база корреляционных правил, т. е. заказчик сразу получает работающую функцию под ключ. Причем ее можно подключить не только заблаговременно, но и в момент, когда банк уже находится под атакой.

Другой распространенный вариант – гибридные SOC, когда техническая часть, т. е. SIEM-система, размещается в инфраструктуре заказчика, а на аутсорсинг отдаются именно сопровождение, развитие и поддержка, первая и вторая линии аналитиков, т. е. человеческие ресурсы. В текущей ситуации дефицита кадров на рынке кибербезопасности это снимает с заказчиков проблему подбора штата в центр мониторинга. Кроме того, при использовании гибридной модели информация об инцидентах не покидает контура компании, что для некоторых заказчиков является важным условием.

–ИИ может взять на себя те процессы, которые легко автоматизировать, или те, где требуется обработка большого объема данных для поиска неочевидных для человека паттернов. В целом деятельность SOC всегда требовала автоматизации. У нас большое число заказчиков из самых разных отраслей – от банков и промышленности до СМИ. Это крупные организации с масштабными и часто территориально распределенными IТ-инфраструктурами, и SOC должен обрабатывать все происходящие в них события. Очевидно, что без автоматизации это невозможно, и здесь эту задачу решает SIEM-система. Однако, для того чтобы сделать следующий большой шаг на пути к более быстрому и качественному выявлению и отражению атак, необходимо применять новые технологии. Поэтому мы ведем исследования в направлении ИИ.

В частности, на объеме тех данных, которыми располагает SOC, можно обучить ИИ выявлять и отсеивать так называемые ложноположительные срабатывания – когда легитимные действия пользователей ошибочно принимаются за кибератаку. ИИ может автоматизировать этот процесс и под контролем человека свести число ложноположительных срабатываний к минимуму. Это снизит нагрузку на специалистов и уменьшит риски того, что у них замылится глаз и они пропустят реальную атаку.

В части формирования отчетов об инцидентах и рекомендаций по реагированию на развивающуюся атаку ИИ может использоваться в двух плоскостях. Во-первых, для автоматизации составления базовых отчетов и рекомендаций по противодействию типовым инцидентам. Это даст нам преимущества в скорости реагирования, а она может быть очень важна и в самых простых с точки зрения аналитика случаях – например, при атаке вирусом-шифровальщиком. Во-вторых, там, где для анализа инцидента требуется дополнительная информация, ИИ может помочь с ее сбором и систематизацией. Это позволяет аналитику не тратить время на рутинные действия и сосредоточиться на наиболее интеллектуально трудоемкой работе, а заказчик в результате получает более полный и детализированный отчет об атаке в максимально короткие сроки.

Третий аспект деятельности нашего центра мониторинга, где есть потенциал для автоматизации с применением ИИ, – это выявление аномалий и поиск признаков атак, которые остались незаметными для технических средств защиты от киберугроз (Threat Hunting).

Говоря об ИИ, можно провести аналогию с беспилотным транспортом. В мае в Москве появился первый такой трамвай, по городу он пока ездит под контролем человека, но в депо – сам. Почему для эксперимента выбрали именно трамвай? Потому что он ходит по рельсам, это очень алгоритмизированный маршрут. Это не автобус или электробус, водители которых должны ориентироваться в дорожной ситуации с множеством других участников. Вот так сейчас может работать ИИ – по рельсам, по четкому стандартному маршруту. А центр мониторинга и реагирования на кибератаки как раз решает очень нестандартные задачи, поэтому до замещения человека ИИ еще далеко. Но мы уверены, что ИИ может стать хорошим помощником специалиста по кибербезопасности и в конечном счете поможет добиться еще более высоких показателей качества сервисов SOC.

– ИИ тоже может ошибаться. Он же обучается на данных, и если в них были неточности или сами данные были неверными, то ИИ будет допускать ошибки и принимать неверные решения. Поэтому мы, например, очень внимательно следим за качеством собираемых данных, чтобы, когда они лягут в основу обучения ИИ, избежать таких проблем.

– Не вижу пока явного преимущества ни у одной из сторон. Так что битва продолжится, и победит, на мой взгляд, тот, кто научится лучше работать с ИИ. &