В этом году наш партнер — «Газинформсервис» отмечает свой 20-летний юбилей. В честь этого события Центр Аналитики журнала «Эксперт» выпустил электронную книгу, в которой ведущие специалисты отрасли дали прогнозы развития рынка информационной безопасности.
Провидцы XXI века — это аналитики, специалисты в области науки и технологий. В книге представлены 22 оригинальных прогноза от этих визионеров, признанных экспертов в сфере ИБ, которые поделились своим мнением о развитии отрасли в течение ближайших трех лет.
Директор USSC-SOC Константин Мушовец рассказал в книге об искусственном интеллекте в SOC и дал прогноз на ближайший год.
Современные центры мониторинга информационной безопасности (Security Operations Centers, SOC) сталкиваются с новыми вызовами, связанными с ростом числа кибератак, скрытых и продолжительных APТ-атак, увеличением потока событий безопасности от дополнительных источников, таких как NTA, EDR, XDR, сложностью найма и подготовки аналитиков, обрабатывающих инциденты безопасности.
Возможным инструментом, способным помочь SOC справляться с этими вызовами, является искусственный интеллект (ИИ). Накопленный в SOC объем размеченных данных позволяет тестировать и применять технологии ИИ. Одним из первых направлений применения ИИ в SOC является автоматизация рутинных задач и облегчение работы аналитиков.
Сегодня аналитики SOC сталкиваются с необходимостью обработки огромного количества данных в реальном времени, что является сложной и ресурсоемкой задачей
Применение ИИ позволит уменьшить время, затрачиваемое на ручную обработку данных, благодаря этому у специалистов появится возможность сосредоточиться на сложных и важных задачах анализа инцидентов и выявления признаков атак, требующих человеческого интеллекта и опыта. В SOC УЦСБ (коммерческое название — USSC-SOC) тестируется решение на основе искусственного интеллекта, которое автоматически классифицирует инциденты на ложные и реальные.
В перспективе этот модуль значительно упростит работу аналитиков первой линии, позволяя им быстро определять характер инцидентов и принимать соответствующие решения.
Также проводится исследование возможности создания решения на основе искусственного интеллекта, которое будет дополнять рекомендации, предоставляемые аналитиками заказчику. В том числе анализировать аналогичные инциденты и обогащать рекомендации под конкретный инцидент, проводить анализ логов смежных событий, которые повлекли за собой формирование инцидента и дополнять рекомендации с учетом этой информации. Это позволяет учитывать неочевидные аспекты, которые могут значительно повысить качество и эффективность реагирования на инциденты.
В перспективе года возможно создание локальной справочной системы для аналитиков, являющейся единой базой знаний SOC
Эта система будет оснащена обширной базой данных о различных системах, мониторинг которых осуществляет SOC, включая команды, настройки и иную информацию, используемую при обработке инцидентов информационной безопасности. Пользователи смогут использовать естественный язык для формулировки запросов, что позволит системе интерпретировать вопросы и предоставлять актуальную и релевантную информацию.
Одной из ключевых возможностей справочной системы будет предоставление контекстуальных подсказок, предлагающих наиболее подходящие команды и действия в зависимости от текущего контекста работы аналитика. База знаний будет регулярно обновляться на основе новых руководств, инструкций и опыта аналитиков, обеспечивая актуальность информации.
Подобное решение позволит ускорить процессы обучения новых сотрудников, облегчить работу опытных аналитиков и снизить вероятность ошибок благодаря предоставлению точных и проверенных инструкций для работы с различными системами.
Таким образом, несмотря на то что сфера информационной безопасности традиционно является консервативной, применение искусственного интеллекта в SOC открывает новые возможности для повышения уровня кибербезопасности, и в ближайший год ожидается значительное увеличение интереса к тестированию и пилотированию технологий ИИ в SOC. Компании будут активнее инвестировать в разработку ИИ-решений для SOC, и через год на рынке появятся первые коммерческие продукты. На первом этапе ИИ будет применяться как помощник аналитиков SOC, но уровень доверия к результатам работы ИИ еще будет низким из-за неприемлемого риска ошибок.
С развитием ИИ возрастет потребность в специалистах, умеющих эффективно работать с новыми технологиями
Производители средств защиты информации и компании-интеграторы в ближайший год будут активно инвестировать в обучение и набор кадров, способных успешно применять, защищать и интегрировать технологии искусственного интеллекта. Образовательные учреждения также будут активно развивать программы по подготовке специалистов, способных работать с передовыми технологиями в области кибербезопасности.
Технологии будущего в SOC
Основными задачами, мотивирующими исследователей и создателей новых технологий на базе ИИ для SOC, являются необходимость автоматизировать сложные операции, в том числе с умением подстраиваться под изменяющиеся обстоятельства, а также обработка и полезное использование большого количества разнородной информации, в том числе неструктурированной и меняющейся со временем.
Атаки становятся все более сложными по структуре, поэтому для их обнаружения необходимо учесть множество факторов, сигналов и сообщений от различных систем, а также обработать информацию из различных систем управления знаниями
Методы описательной, предиктивной и предписывающей аналитики в таких условиях становится сложно использовать, они требуют специальных новых подходов с использованием анализа данных и машинного обучения. Проектируемые для таких условий системы ИИ получаются громоздкими, требуют множества ресурсов, выглядят для пользователя как «черный ящик из миллиарда параметров». Их работу сложно объяснить, а значит, и невозможно контролировать. Поэтому одновременно с разработкой продвинутых методов ИИ для SOC будет уделяться внимание повышению объяснимости и надежности (Explainable & Reliable AI) алгоритмов обнаружения и анализа паттернов аномалий. То есть важно не только найти аномальное поведение в системе, но и дать пользователю удобную в восприятии и информативно содержательную подсказку, обосновывающую решение ИИ.
Полную версию статьи можно прочитать по ссылке.