SlideShare a Scribd company logo

Искусственный интеллект в кибербезопасности

Aleksey Lukatskiy
Aleksey Lukatskiy

Обзор применения искусственного интеллекта в кибербезопасности как с позитивной, так и с негативной стороны. Как ИИ используют безопасники. Как ИИ используют хакеры. Какие угрозы могут быть для ИИ.

Technology
1 of 60
Download to read offline
06 апреля 2018 Бизнес-консультант по безопасности Искусственный интеллект и кибербезопасность Алексей Лукацкий
Идея не нова
Эволюция терминов KDD Статистика Распознавание образов Базы данных Машинное обучение ИИ Глубокое обучение Добыча данных «Предсказания очень сложны, особенно если говорить о будущем» Нильс Бор
Огромное количество алгоритмов ИИ
Когда ИИ – это хорошо
Как проникнуть в офис Cisco?
Но не все так просто Нейросеть анализирует видеоаналитику 7 Tailgating Detection @ Cisco2Обнаружение посторонних @ Cisco3
Но не все так просто Нейросеть анализирует видеоаналитику 8 Обнаружение посторонних @ Cisco4
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ВОЗМОЖНОСТИ • Сетевая телеметрия • Классификация метаданных • Обнаружение аномалий ОБНАРУЖЕНИЕ ВРЕДОНОСНОГО ПО
Виновен по поведению § Модель совместных запросов § Геолокационная модель § Модель индекса безопасности Виновен по связям § Модель предсказуемого IP сегмента § Корреляция DNS и WHOIS данных Шаблон виновности § Модель всплесков активности § Модель оценки языкового шаблона (NLP) § Обнаружение DGA Классификация вредоносных доменов На примере Cisco Umbrella
Классификация вредоносных доменов На примере Cisco Investigare
Обнаружение ВПО в шифрованном трафике Acc. FDR SPLT+BD+TLS+HTTP+DNS 99.993% 99.978% TLS 94.836% 50.406% DNS 99.496% 94.654% HTTP 99.945% 98.996% TLS+DNS 99.883% 96.551% TLS+HTTP 99.955% 99.660% HTTP+DNS 99.985% 99.956% SPLT+BD+TLS 99.933% 70.351% SPLT+BD+TLS+DNS 99.968% 98.043% SPLT+BD+TLS+HTTP 99.983% 99.956% TLS DNS HTTP SPLT+BD На примере Cisco ETA
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ВОЗМОЖНОСТИ • Распознавание картинок • Сегментация картинок • Поиск похожих ИЗОБРАЖЕНИЯ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ВОЗМОЖНОСТИ • Распознавание голосовых команд • Запросы на обычном языке • Транскрипция аудио • Перевод • Приоритезация документов • Контроль утечек • Чтение TI-бюллетеней ПОНИМАНИЕ ЯЗЫКА
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ВОЗМОЖНОСТИ • Оптимизация числовых значений • Отображение релевантных данных • Предупреждение о выходе за рамки • Создание плана действий • Полуавтономные действия ПРЕДОСТАВЛЕНИЕ РЕКОМЕНДАЦИЙ
Источник: MIT AI2
Может ли безопасность быть автоматической?
Когда ИИ дает сбой
Когда злоумышленник знает как работает ИИ Знаки распознаются автомобилями с автопилотом как «снижение скорости» в 100% случаев Знак «СТОП» в 100%
Когда злоумышленник знает как работает ИИ «Панда» 57,7% уверенности «Гиббон» 99,3% уверенности • Именно поэтому контрольные точки проверки денежных купюр или биометрических данных держатся в секрете
Когда злоумышленник знает как работает ИИ
Когда злоумышленник знает как работает ИИ • Компания Microsoft запустила основанного на машинном обучении чат-бота Тай в 2016- м году • Группа злоумышленников, не имея доступа к исходным кодам, научила чат-бота ругаться и грубо общаться с пользователями
Как можно атаковать ИИ? • Атака на алгоритм • Внесение изменений в алгоритм • Подстройка под алгоритм • Adversarial examples • Атака на данные • Внесение посторонних данных • Изменение существующих данных Copyright © 2015-2018 Kushnirenko Nikolay V.
Когда ИИ – это плохо
Давайте начнем с теста Какое из двух фото синтезированное?
Мы часто видим такие тесты в Фейсбуке Это щутка J
И считаем что нашу личность нельзя украсть • Отрезанный палец • Как поддерживать температуру тела? • Отрезанная рука • Как поддерживать кровообращение? • Вырванный глаз
2014 → 2017
10 минут 8 часов 16 часов 1 день 5 дней 9 дней 18 дней 4 дня 8 дней 16 дней 3 дня 7 дней 14 дней 2 дня 6 дней 10 дней • Компания Nvidia создала нейросеть, которая «научилась» за 18 дней создавать реалистичные фотографии людей
• Вторая нейросеть Nvidia училась распознавать синтезированные фотографии • Нейросеть дала сбой и посчитала данные синтезированные фотографии реальными
А вы хотите стать «героем» порно? • Подмена лица порноактрисы в динамике на лицо актрисы Галь Гадот
Аудиоредактор Adobe VoCo • Аудиоредактор Adobe VoCo (пока проект) позволяет «произнести» все, что угодно, голосом человека, которого предварительно «прослушивали» в течение 20 минут и более
Компания DeepMind (проект Google) • Метод WaveNet для синтезации речи на базе нейронных сетей
Есть ли реальные примеры? • Пока применение ИИ по ту сторону баррикад является предметом исследований (в т.ч. и закрытых) • … но давайте вспомним полиморфизм у компьютерных вирусов https://socprime.com/en/blog/petya-a-notpetya-is-an-ai-powered-cyber-weapon-ttps-lead-to-sandworm-apt-group/
А как может быть? • Поиск уязвимостей • Модификация эксплойтов • Фишинг • Боты для обмана пользователя • Подбор пароля • Подмена личности
Когда результат работы ИИ непредсказуем
Анализа 68 лайков в Facebook достаточно, чтобы определить цвет кожи испытуемого (с 95% вероятностью), его гомосексуальность (88% вероятности) и приверженность Демократической или Республиканской партии США (85% вероятности)
Зло или нет?
Facebook продолжает сбор данных
4 апреля 2018 3100 сотрудников Гугла подписали обращение к главе компании о необходимости пересмотра подписанного с МинОбороны США контракте об участии в ИИ-проекте Project Maven (анализ фотографий, снятых дронами) Нас ждет еще много сюрпризов
Что думают заказчики? Copyright © 2015-2018 Kushnirenko Nikolay V.Copyright © 2015-2018 Kushnirenko Nikolay V.
0 10 20 30 40 50 60 Как вы реализуете технологии AI/ML в своей системе ИБ? (%) Пока только присматриваюсь Использую то, что встроено вендором в его решение, но не понимаю, как они работают Не верю в этот маркетинг Активно пилотирую AI/ML в целях ИБ и понимаю, как они работают Потребитель пока не готов Источник: Лукацкий А.В., IDC Security Roadshow
В целом, рынок ИИ повторяет тенденции Изучают 59% изучают, собирают информацию или разрабатывают стратегию Пилотируют 25% пробуют поставщиков, взаимодействуют с потребителями, учатся на своих ошибках Внедряют 6% Реализовали 6% +4% планируют внедрить в 2018 Источник: Gartner
Несмотря на наличие игроков рынка ИИ в кибербезопасности
Но не все так просто • У вас есть нужные данные, но нет правильных моделей. У вас есть правильные модели, но нет нужных данных • CISO Summit, начало 2000-х годов • Сегодня у вас есть нужные данные (и их слишком много) и правильные (наверное) модели… но нет аналитиков, которые могут свести все это вместе Антон Чувакин, VP Gartner
1. Ползать Создание реальных ML приложений — Быть стабильным 2. Ходить Построить множество приложений — Быть повторяемым 3. Бегать Построить множество приложений для многих заказчиков — Быть автоматизируемым 4. Летать Позволить клиентам делать это самим — Быть разработчиком Большинство вендоров тут Путь к искусственному интеллекту
51 Часто приходится создавать системы ИИ самостоятельно • Решение iCAM разрабатывалось внутри службы ИБ Cisco для мониторинга утечек информации и анализа поведения пользователей • Готового решения мы не нашли
iCAM People Data Identity Policy Identity Data Center Lab End Points Public Cloud User Identity Device Identity Applications & Data InfoSec End User HR/Legal Manager Raw Events Corrective Action Alert Feedback CPR HRMS LDAP OnRamp DCE ISE EMANCES PSIRT BI DI DLP GDM ARTCEPM DSPL iCAM: внутренняя разработка Cisco
Topic (Services) Behavior Rules События пользователей Box Jive SFDC End-User’s Manager Уведомление 1 Behavior DB 4 Аномальное поведение 6 7 Обратная связь с менеджером 8 Анализ поведения 5 Determine and Log the Cisco data at risk Анализ событий3 Behavior Reconstruction Balance Security and Productivity Public Cloud Обеспечение контекста User Identity: DSX, CES, HRMS, CPR Data Identity: Symantec DLP, DSPL, PSIRT Device Identity: ISE, DCE, GDM Network Identity: EMAN 2 iCAM in green Others in violet ENG DC Topic Alfresco Private Cloud CITEIS ENG Lab Data Lake … … Процесс работы iCAM в Cisco
• 10 секунд на детектирование риска • 24 часа на устранение риска Скорость • 4+ миллиардов событий ежедневно • ±2000 инцидентов в квартал Объемы • 40+ миллиардов файлов Cisco были защищены • 16,000+ серверов мониторится Ценность для бизнеса • User-To-Ops: 100,000 : 1 • 90% сигналов тревоги управляются автоматически • Только 1% инцидентов требует ручной поддержки от Ops Качество операций Эффект от iCAM в Cisco 15,2 миллиона долларов ежегодной экономии / сохранности
Давайте подводить итоги
0 5 10 15 20 25 30 35 40 45 50 Кто победит в неравной борьбе – хакеры или безопасники? (%) Хакеры, потому что они не скованы законодательными ограничениями Хакеры, потому что они более динамичны и легки на подъем Скоро наступит восстание машин и ваш вопрос станет неактуальным Безопасники, потому что на их стороне вся мощь индустрии ИБ Безопасники не верят в свою победу L Источник: Лукацкий А.В., IDC Security Roadshow
Поработит ли нас искусственный интеллект или мы можем ему противостоять? .. • Открытые алгоритмы и фреймворки • Сбор и хранение нужных данных • Использование только достоверных источников данных • Предварительный анализ качества данных • Обучение алгоритмов • Обучение аналитиков
Но мы еще вначале пути Оптимизация Информация Взгляд в прошлое Взгляд в будущее В поле зренияОписательная аналитика Что случилось? Диагностичес- кая аналитика Почему это случилось? Предсказатель -ная аналитика Что случится? Предписываю- щая аналитика Как мы можем сделать, чтобы это случилось? Сложность Ценность
3 поколения машинного обучения Известные варианты угроз Автоматическая классификация Неизвестные угрозы Полностью автоматическое обучение Автоматическая интерпретация результатов Глобальная корреляция по всем источникам IoC по одному или нескольким источникам Один источник (DNS, e-mail, web, файл и т.п.) 1-е поколение 2-е поколение 3-е поколение • Машинное обучение – не панацея • Интернет движется к тотальному шифрованию • Злоумышленники остаются незамеченными – стеганография • За искусственным интеллектом в ИБ – будущее
Спасибо! alukatsk@cisco.com

Recommended

Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Aleksey Lukatskiy
 
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТП
Aleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасности
Aleksey Lukatskiy
 
Прорывные технологии и ИБ
Прорывные технологии и ИБПрорывные технологии и ИБ
Прорывные технологии и ИБ
Aleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Aleksey Lukatskiy
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
Aleksey Lukatskiy
 

Recommended

Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Aleksey Lukatskiy
 
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТП
Aleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасности
Aleksey Lukatskiy
 
Прорывные технологии и ИБ
Прорывные технологии и ИБПрорывные технологии и ИБ
Прорывные технологии и ИБ
Aleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Aleksey Lukatskiy
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
Aleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Aleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
 
Big data: полная анонимность или полное доверие
Big data: полная анонимность или полное довериеBig data: полная анонимность или полное доверие
Big data: полная анонимность или полное доверие
Aleksey Lukatskiy
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
Aleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
Aleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
Aleksey Lukatskiy
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Aleksey Lukatskiy
 
Тренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуТренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м году
Aleksey Lukatskiy
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасности
Aleksey Lukatskiy
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
Aleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
 
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
Aleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
Aleksey Lukatskiy
 
Особенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежомОсобенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежом
Aleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для бирж
Aleksey Lukatskiy
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкция
Aleksey Lukatskiy
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?
Aleksey Lukatskiy
 
Когнитивный SOC — будущее или уже реальность?
Когнитивный SOC — будущее или уже реальность?Когнитивный SOC — будущее или уже реальность?
Когнитивный SOC — будущее или уже реальность?
Positive Hack Days
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
Aleksey Lukatskiy
 

More Related Content

What's hot

What's hot (20)

Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Big data: полная анонимность или полное доверие
Big data: полная анонимность или полное довериеBig data: полная анонимность или полное доверие
Big data: полная анонимность или полное доверие
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
Тренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуТренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м году
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасности
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
 
Особенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежомОсобенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежом
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для бирж
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкция
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?
 

Similar to Искусственный интеллект в кибербезопасности

CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011
qqlan
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Expolink
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
Expolink
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
Expolink
 
SearchInform. Дмитрий Стельченко. "Нестандартные методы использования DLP в б...
SearchInform. Дмитрий Стельченко. "Нестандартные методы использования DLP в б...SearchInform. Дмитрий Стельченко. "Нестандартные методы использования DLP в б...
SearchInform. Дмитрий Стельченко. "Нестандартные методы использования DLP в б...
Expolink
 
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Expolink
 

Similar to Искусственный интеллект в кибербезопасности (20)

Когнитивный SOC — будущее или уже реальность?
Когнитивный SOC — будущее или уже реальность?Когнитивный SOC — будущее или уже реальность?
Когнитивный SOC — будущее или уже реальность?
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Positive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойныPositive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойны
 
CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011
 
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
 
Softline: Информационная безопасность
Softline: Информационная безопасностьSoftline: Информационная безопасность
Softline: Информационная безопасность
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
 
Про DLP (Баку) 2014 11
Про DLP (Баку) 2014 11Про DLP (Баку) 2014 11
Про DLP (Баку) 2014 11
 
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
 
SearchInform. Дмитрий Стельченко. "Нестандартные методы использования DLP в б...
SearchInform. Дмитрий Стельченко. "Нестандартные методы использования DLP в б...SearchInform. Дмитрий Стельченко. "Нестандартные методы использования DLP в б...
SearchInform. Дмитрий Стельченко. "Нестандартные методы использования DLP в б...
 
SearchInform. Евгений Юдов. "Нестандартные методы применения DLP-систем в биз...
SearchInform. Евгений Юдов. "Нестандартные методы применения DLP-систем в биз...SearchInform. Евгений Юдов. "Нестандартные методы применения DLP-систем в биз...
SearchInform. Евгений Юдов. "Нестандартные методы применения DLP-систем в биз...
 
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
 
Астерит. Марат Хазиев: "Аудит информационной безопасности"
Астерит. Марат Хазиев: "Аудит информационной безопасности"Астерит. Марат Хазиев: "Аудит информационной безопасности"
Астерит. Марат Хазиев: "Аудит информационной безопасности"
 
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
 

More from Aleksey Lukatskiy

More from Aleksey Lukatskiy (19)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 

Искусственный интеллект в кибербезопасности

  • 1. 06 апреля 2018 Бизнес-консультант по безопасности Искусственный интеллект и кибербезопасность Алексей Лукацкий
  • 5. Когда ИИ – это хорошо
  • 7. Но не все так просто Нейросеть анализирует видеоаналитику 7 Tailgating Detection @ Cisco2Обнаружение посторонних @ Cisco3
  • 8. Но не все так просто Нейросеть анализирует видеоаналитику 8 Обнаружение посторонних @ Cisco4
  • 9. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ВОЗМОЖНОСТИ • Сетевая телеметрия • Классификация метаданных • Обнаружение аномалий ОБНАРУЖЕНИЕ ВРЕДОНОСНОГО ПО
  • 10. Виновен по поведению § Модель совместных запросов § Геолокационная модель § Модель индекса безопасности Виновен по связям § Модель предсказуемого IP сегмента § Корреляция DNS и WHOIS данных Шаблон виновности § Модель всплесков активности § Модель оценки языкового шаблона (NLP) § Обнаружение DGA Классификация вредоносных доменов На примере Cisco Umbrella
  • 12. Обнаружение ВПО в шифрованном трафике Acc. FDR SPLT+BD+TLS+HTTP+DNS 99.993% 99.978% TLS 94.836% 50.406% DNS 99.496% 94.654% HTTP 99.945% 98.996% TLS+DNS 99.883% 96.551% TLS+HTTP 99.955% 99.660% HTTP+DNS 99.985% 99.956% SPLT+BD+TLS 99.933% 70.351% SPLT+BD+TLS+DNS 99.968% 98.043% SPLT+BD+TLS+HTTP 99.983% 99.956% TLS DNS HTTP SPLT+BD На примере Cisco ETA
  • 13. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ВОЗМОЖНОСТИ • Распознавание картинок • Сегментация картинок • Поиск похожих ИЗОБРАЖЕНИЯ
  • 14. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ВОЗМОЖНОСТИ • Распознавание голосовых команд • Запросы на обычном языке • Транскрипция аудио • Перевод • Приоритезация документов • Контроль утечек • Чтение TI-бюллетеней ПОНИМАНИЕ ЯЗЫКА
  • 15. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ВОЗМОЖНОСТИ • Оптимизация числовых значений • Отображение релевантных данных • Предупреждение о выходе за рамки • Создание плана действий • Полуавтономные действия ПРЕДОСТАВЛЕНИЕ РЕКОМЕНДАЦИЙ
  • 18.
  • 20. Когда злоумышленник знает как работает ИИ Знаки распознаются автомобилями с автопилотом как «снижение скорости» в 100% случаев Знак «СТОП» в 100%
  • 21. Когда злоумышленник знает как работает ИИ «Панда» 57,7% уверенности «Гиббон» 99,3% уверенности • Именно поэтому контрольные точки проверки денежных купюр или биометрических данных держатся в секрете
  • 22. Когда злоумышленник знает как работает ИИ
  • 23. Когда злоумышленник знает как работает ИИ • Компания Microsoft запустила основанного на машинном обучении чат-бота Тай в 2016- м году • Группа злоумышленников, не имея доступа к исходным кодам, научила чат-бота ругаться и грубо общаться с пользователями
  • 24. Как можно атаковать ИИ? • Атака на алгоритм • Внесение изменений в алгоритм • Подстройка под алгоритм • Adversarial examples • Атака на данные • Внесение посторонних данных • Изменение существующих данных Copyright © 2015-2018 Kushnirenko Nikolay V.
  • 25. Когда ИИ – это плохо
  • 26. Давайте начнем с теста Какое из двух фото синтезированное?
  • 27. Мы часто видим такие тесты в Фейсбуке Это щутка J
  • 28. И считаем что нашу личность нельзя украсть • Отрезанный палец • Как поддерживать температуру тела? • Отрезанная рука • Как поддерживать кровообращение? • Вырванный глаз
  • 30. 10 минут 8 часов 16 часов 1 день 5 дней 9 дней 18 дней 4 дня 8 дней 16 дней 3 дня 7 дней 14 дней 2 дня 6 дней 10 дней • Компания Nvidia создала нейросеть, которая «научилась» за 18 дней создавать реалистичные фотографии людей
  • 31. • Вторая нейросеть Nvidia училась распознавать синтезированные фотографии • Нейросеть дала сбой и посчитала данные синтезированные фотографии реальными
  • 32.
  • 33. А вы хотите стать «героем» порно? • Подмена лица порноактрисы в динамике на лицо актрисы Галь Гадот
  • 34. Аудиоредактор Adobe VoCo • Аудиоредактор Adobe VoCo (пока проект) позволяет «произнести» все, что угодно, голосом человека, которого предварительно «прослушивали» в течение 20 минут и более
  • 35. Компания DeepMind (проект Google) • Метод WaveNet для синтезации речи на базе нейронных сетей
  • 36.
  • 37. Есть ли реальные примеры? • Пока применение ИИ по ту сторону баррикад является предметом исследований (в т.ч. и закрытых) • … но давайте вспомним полиморфизм у компьютерных вирусов https://socprime.com/en/blog/petya-a-notpetya-is-an-ai-powered-cyber-weapon-ttps-lead-to-sandworm-apt-group/
  • 38. А как может быть? • Поиск уязвимостей • Модификация эксплойтов • Фишинг • Боты для обмана пользователя • Подбор пароля • Подмена личности
  • 40. Анализа 68 лайков в Facebook достаточно, чтобы определить цвет кожи испытуемого (с 95% вероятностью), его гомосексуальность (88% вероятности) и приверженность Демократической или Республиканской партии США (85% вероятности)
  • 41.
  • 44. 4 апреля 2018 3100 сотрудников Гугла подписали обращение к главе компании о необходимости пересмотра подписанного с МинОбороны США контракте об участии в ИИ-проекте Project Maven (анализ фотографий, снятых дронами) Нас ждет еще много сюрпризов
  • 45. Что думают заказчики? Copyright © 2015-2018 Kushnirenko Nikolay V.Copyright © 2015-2018 Kushnirenko Nikolay V.
  • 46. 0 10 20 30 40 50 60 Как вы реализуете технологии AI/ML в своей системе ИБ? (%) Пока только присматриваюсь Использую то, что встроено вендором в его решение, но не понимаю, как они работают Не верю в этот маркетинг Активно пилотирую AI/ML в целях ИБ и понимаю, как они работают Потребитель пока не готов Источник: Лукацкий А.В., IDC Security Roadshow
  • 47. В целом, рынок ИИ повторяет тенденции Изучают 59% изучают, собирают информацию или разрабатывают стратегию Пилотируют 25% пробуют поставщиков, взаимодействуют с потребителями, учатся на своих ошибках Внедряют 6% Реализовали 6% +4% планируют внедрить в 2018 Источник: Gartner
  • 48. Несмотря на наличие игроков рынка ИИ в кибербезопасности
  • 49. Но не все так просто • У вас есть нужные данные, но нет правильных моделей. У вас есть правильные модели, но нет нужных данных • CISO Summit, начало 2000-х годов • Сегодня у вас есть нужные данные (и их слишком много) и правильные (наверное) модели… но нет аналитиков, которые могут свести все это вместе Антон Чувакин, VP Gartner
  • 50. 1. Ползать Создание реальных ML приложений — Быть стабильным 2. Ходить Построить множество приложений — Быть повторяемым 3. Бегать Построить множество приложений для многих заказчиков — Быть автоматизируемым 4. Летать Позволить клиентам делать это самим — Быть разработчиком Большинство вендоров тут Путь к искусственному интеллекту
  • 51. 51 Часто приходится создавать системы ИИ самостоятельно • Решение iCAM разрабатывалось внутри службы ИБ Cisco для мониторинга утечек информации и анализа поведения пользователей • Готового решения мы не нашли
  • 52. iCAM People Data Identity Policy Identity Data Center Lab End Points Public Cloud User Identity Device Identity Applications & Data InfoSec End User HR/Legal Manager Raw Events Corrective Action Alert Feedback CPR HRMS LDAP OnRamp DCE ISE EMANCES PSIRT BI DI DLP GDM ARTCEPM DSPL iCAM: внутренняя разработка Cisco
  • 53. Topic (Services) Behavior Rules События пользователей Box Jive SFDC End-User’s Manager Уведомление 1 Behavior DB 4 Аномальное поведение 6 7 Обратная связь с менеджером 8 Анализ поведения 5 Determine and Log the Cisco data at risk Анализ событий3 Behavior Reconstruction Balance Security and Productivity Public Cloud Обеспечение контекста User Identity: DSX, CES, HRMS, CPR Data Identity: Symantec DLP, DSPL, PSIRT Device Identity: ISE, DCE, GDM Network Identity: EMAN 2 iCAM in green Others in violet ENG DC Topic Alfresco Private Cloud CITEIS ENG Lab Data Lake … … Процесс работы iCAM в Cisco
  • 54. • 10 секунд на детектирование риска • 24 часа на устранение риска Скорость • 4+ миллиардов событий ежедневно • ±2000 инцидентов в квартал Объемы • 40+ миллиардов файлов Cisco были защищены • 16,000+ серверов мониторится Ценность для бизнеса • User-To-Ops: 100,000 : 1 • 90% сигналов тревоги управляются автоматически • Только 1% инцидентов требует ручной поддержки от Ops Качество операций Эффект от iCAM в Cisco 15,2 миллиона долларов ежегодной экономии / сохранности
  • 56. 0 5 10 15 20 25 30 35 40 45 50 Кто победит в неравной борьбе – хакеры или безопасники? (%) Хакеры, потому что они не скованы законодательными ограничениями Хакеры, потому что они более динамичны и легки на подъем Скоро наступит восстание машин и ваш вопрос станет неактуальным Безопасники, потому что на их стороне вся мощь индустрии ИБ Безопасники не верят в свою победу L Источник: Лукацкий А.В., IDC Security Roadshow
  • 57. Поработит ли нас искусственный интеллект или мы можем ему противостоять? .. • Открытые алгоритмы и фреймворки • Сбор и хранение нужных данных • Использование только достоверных источников данных • Предварительный анализ качества данных • Обучение алгоритмов • Обучение аналитиков
  • 58. Но мы еще вначале пути Оптимизация Информация Взгляд в прошлое Взгляд в будущее В поле зренияОписательная аналитика Что случилось? Диагностичес- кая аналитика Почему это случилось? Предсказатель -ная аналитика Что случится? Предписываю- щая аналитика Как мы можем сделать, чтобы это случилось? Сложность Ценность
  • 59. 3 поколения машинного обучения Известные варианты угроз Автоматическая классификация Неизвестные угрозы Полностью автоматическое обучение Автоматическая интерпретация результатов Глобальная корреляция по всем источникам IoC по одному или нескольким источникам Один источник (DNS, e-mail, web, файл и т.п.) 1-е поколение 2-е поколение 3-е поколение • Машинное обучение – не панацея • Интернет движется к тотальному шифрованию • Злоумышленники остаются незамеченными – стеганография • За искусственным интеллектом в ИБ – будущее