Искусственный интеллект (ИИ) играет все более важную роль в кибербезопасности – как в хорошем, так и в плохом смысле. Организации могут использовать новейшие инструменты на основе искусственного интеллекта для более эффективного обнаружения угроз и защиты своих систем и информационных ресурсов. Однако киберпреступники также могут использовать эти технологии для проведения более изощренных атак.

Рост числа кибератак способствует росту рынка продуктов безопасности на основе искусственного интеллекта. В отчете Acumen Research and Consulting за июль 2022 года говорится, что объем мирового рынка составил $14,9 млрд в 2021 году и, по оценкам, достигнет $133,8 млрд к 2030 году.

Растущее число атак, таких как распределенный отказ в обслуживании (DDoS) и утечка данных, многие из которых чрезвычайно дорогостоящие для пострадавших организаций, порождает потребность в более сложных решениях.

Еще одним фактором роста рынка продуктов кибербезопасности стала пандемия Covid-19 и переход на удаленную работу, говорится в отчете. Это заставило многие компании уделять повышенное внимание кибербезопасности и использованию инструментов с искусственным интеллектом для более эффективного поиска и пресечения атак.

Согласно отчету Acumen, в перспективе ожидается, что такие тенденции, как растущее внедрение Интернета вещей (IoT) и увеличение числа подключенных устройств, будут способствовать росту рынка. Растущее использование облачных сервисов безопасности также может предоставить возможности для новых применений ИИ для кибербезопасности.

Усиление безопасности с помощью искусственного интеллекта

Среди типов продуктов, в которых используется ИИ, можно указать следующие: антивирусы/антивредоносное ПО, предотвращение потери данных, обнаружение угроз/антимошенничество, управление идентификацией и доступом, системы обнаружения/предотвращения вторжений, а также управление рисками и соответствие нормативным требованиям.

До сих пор использование ИИ для обеспечения кибербезопасности было несколько ограниченным. "Компании пока не собираются перекладывать свои программы кибербезопасности на ИИ", – говорит Брайан Финч (Brian Finch), соруководитель практики кибербезопасности, защиты данных и конфиденциальности в юридической фирме Pillsbury Law. "Это не означает, что ИИ не используется. Мы видим, что компании используют ИИ, но ограниченно", в основном в контексте таких продуктов, как фильтры электронной почты и средства идентификации вредоносных программ, которые в той или иной степени поддерживаются ИИ.

"Самое интересное, что мы видим, как инструменты поведенческого анализа все чаще используют ИИ", – сказал Финч. "Под этим я подразумеваю инструменты, анализирующие данные для определения поведения хакеров с целью выявления закономерности их атак – времени, метода атаки и способов перемещения хакеров внутри систем. Сбор такой информации может быть очень ценным для защитников".

В недавнем отчете исследовательская компания Gartner опросила около 50 поставщиков систем безопасности и обнаружила несколько моделей использования ИИ, говорит вице-президент по исследованиям Марк Драйвер (Mark Driver).

"В подавляющем большинстве случаев они сообщили, что первой целью ИИ является "устранение ложных срабатываний", поскольку одной из основных проблем аналитиков безопасности является фильтрация сигнала от шума в очень больших массивах данных", – сказал Драйвер. ИИ может уменьшить этот шум до разумных размеров, что позволяет получить гораздо более точные данные". В результате аналитики могут работать эффективнее и быстрее для устранения кибератак".

В целом, ИИ используется для более точного обнаружения атак и последующего определения приоритетности ответных мер с учетом реального риска, сказал Драйвер. Он также позволяет автоматически или полуавтоматически реагировать на такие атаки и, наконец, обеспечивает более точное моделирование для прогнозирования будущих атак. "Все это не обязательно устраняет аналитиков из процесса, но делает их работу более гибкой и точной при столкновении с киберугрозами", – сказал Драйвер.

Усиление киберугроз

С другой стороны, злоумышленники также могут воспользоваться преимуществами ИИ несколькими способами. "Например, ИИ может использоваться для выявления закономерностей в компьютерных системах, которые обнаруживают слабые места в программном обеспечении или программах безопасности, что позволяет хакерам использовать эти обнаруженные уязвимости", – сказал Финч.

В сочетании с украденной личной информацией или собранными открытыми данными, такими как сообщения в социальных сетях, киберпреступники могут использовать ИИ для создания большого количества фишинговых писем для распространения вредоносных программ или сбора ценной информации.

"Эксперты по безопасности отмечают, что фишинговые письма, сгенерированные ИИ, реально имеют более высокий процент открытия – [например] заставляя возможных жертв нажимать на них и тем самым создавать атаки – по сравнению с фишинговыми письмами, созданными вручную", – сказал Финч. "ИИ также может использоваться для разработки вредоносных программ, которые постоянно меняются, чтобы избежать обнаружения автоматизированными средствами защиты".

Постоянно меняющиеся сигнатуры вредоносных программ могут помочь злоумышленникам обойти статические средства защиты, такие как брандмауэры и системы обнаружения по периметру. Аналогичным образом, вредоносное ПО с искусственным интеллектом может сидеть внутри системы, собирая данные и наблюдая за поведением пользователя, пока не будет готово начать новую фазу атаки или отправить собранную информацию с относительно низким риском обнаружения. Отчасти именно поэтому компании переходят к модели "нулевого доверия", в которой защитные системы настроены на постоянный опрос и проверку сетевого трафика и приложений, чтобы убедиться, что они не являются вредоносными.

Однако Финч сказал: "Учитывая экономику кибератак – обычно проще и дешевле организовать атаки, чем построить эффективную защиту – я бы сказал, что ИИ будет в целом больше вредить, чем помогать". Однако следует оговориться, что действительно хороший ИИ трудно создать, и для того, чтобы он хорошо работал, требуется много специально обученных людей. У обычных преступников не будет доступа к величайшим в мире умам в области ИИ".

Программа кибербезопасности может иметь доступ к "огромным ресурсам из Силиконовой долины и аналогичных структур [для] создания очень хорошей защиты от низкосортных кибератак с использованием ИИ", – сказал Финч. "Когда мы перейдем к ИИ, разработанному хакерскими государствами [такими как Россия и Китай], их системы взлома ИИ, скорее всего, в режиме "игры в догонялки" будут отражать атаки с использованием ИИ".

Боб Виолино