Документ обсуждает использование искусственного интеллекта в области кибербезопасности, подчеркивая его роль в улучшении аналитики и реагирования на угрозы. Отмечается, что традиционные методы обработки данных не позволяют полностью использовать имеющиеся знания о безопасности, в то время как ИИ помогает аналитикам более эффективно выявлять и предотвращать атаки. Представлены примеры, как ИИ может ускорить расследования и повысить уровень защиты информации в организациях.

1. Искусственный интеллект
на защите информации
Олег Бакшинский
ITSF 2017
RCIS Executive Security Advisor

2. 2 IBM Security
А почему
собственно
IBM ?

3. 3 IBM Security
Утечки данных
продолжаются,
не смотря на
принимаемые усилия
Отсутствие
своевременной и
действенной
информации
становится проклятием
безопасников
Огромные пробелы
в экспертизе команд
ИБ по всему миру
IBM X-Force Threat Intelligence Index 2017
54 миллиона
событий
кибербезопасности
на одну компанию
4 миллиарда
записей персональных
данных скомпрометированы
по официальным отчетам
Основные проблемы отдела ИБ

4. 4 IBM Security
Криминальный БОСС
Помощник босса
Поставка троянов и
серверов управления и
контроля
Владельцы инструментария для взлома
Распространение троянов через
“легитимные” сайты
Управляющие
компаниями
Аффилированные
сети
Продавцы
украденных
данных
Внешние источники
аналитики по угрозам
Внутренний обмен
Центры Анализа и Обмена
Информацией
Частный / Публичный обмен
Глобальные центры
Состояние по аналитике ИБ в 2016
Защищающие имеют большие проблемы с обменом
информацией об угрозах и атаках, в то время как
атакующие активно обмениваются знаниями

5. 5 IBM Security
Традиционные
данные ИБ
Примеры
включают:
• Исследовательские
документы
• Публикации по
индустрии
• Информация о
расследованиях
• Комментарии по
угрозам и
аналитике ИБ
• Презентации на
конференциях
• Отчёты аналитиков
• Веб страницы
• Вики
• Блоги
• Новостные
источники
• Новостные
рассылки
• Микроблоги/
твиттер/ВК…
Целая вселенная знаний ИБ выпадает из поля
зрения средств защиты
Типичная организация видит только 8% данных знаний
Знания, генерируемые
людьми
• События ИБ
• Данные логов и конфигураций
• Активность пользователей и сети
• Подписки на угрозы и уязвимости
но большая часть этих знаний
не охвачена инструментами
Огромное количество знаний об информационной
безопасности создаётся для прочтения людьми…

6. 6 IBM Security
Человеческая экспертиза
Когнитивная
безопасность
Аналитика ИБ
• Корреляция данных
• Идентификация паттернов
• Детектирование аномалий
• Приоретизация
• Визуализация данных
• Рабочие процессы
• Анализ
неструктурированных
данных
• Натуральный язык
• Вопросы и ответы
• Машинное обучение
• Устранение
человеческого фактора
• Аналитика по
компромиссам
• Здравый смысл
• Мораль
• Сострадание
• Абстракции
• Дилеммы
• Обобщения АНАЛИТИКИ
ИБ
АНАЛИТИКА
ИБ
КОГНИТИВНАЯ
ИБ
Когнитивные системы устраняют этот разрыв и открывают
новые возможности партнёрства между аналитиками ИБ и
поддерживающими их технологиями

7. 7 IBM Security
Я расследую потенциальные угрозы…
Как и почему
это отличается
от обычного
поведения систем?ВНЕШНЯЯ АНАЛИТИКА ПО УГРОЗАМ
Знания о бизнесе и релевантных трендов ИБ для индустрии
ВНУТРЕННЯЯ АНАЛИТИКА ИБ
Расследования о потенциальных сетевых проблемах
МОНИТОРИНГ
Очереди оповещений и потенциальных угроз
ОТЧЁТНОСТЬ
Уязвимости и проблемы
НАСТРОЙКА
Улучшение правил корреляции
Информируется
о…
Консультирует
по…
Подотчётен
по …
Отвечает
за…
Насколько это может
повредить компании?
Надо ли мне
разобраться с этим
сейчас?
Откуда поступила
эта информация?
Можно ли доверять
источнику?
Работа аналитика в отделе ИБ

8. 8 IBM Security
Просматривает
инциденты ИБ в консоли
SIEM
Решает, каким следующим
инцидентом заняться
Просматривает данные
(события / потоки, из
которых состоит инцидент)
Расширяет поиск для
захвата большего
количества данных по
инциденту
Рассматривает данные с
разных сторон для
нахождения аномалий
(например необычные
домены, IP адреса,
доступы к файлам…)
Проверяет содержимое соседних
событий на наличие чего-либо
интересного
(домены, хэши и т.д.)
Ищет в X-Force Exchange + Google +
Virus Total + любом другом месте
данные аномалии и индикаторы.
Находит новый тип вредоносного ПО,
который может быть причастен к
данному поведению.
Находит название
вредоносного ПО
Ищет ещё сайты с информацией о индикаторах
компрометации систем данным вредоносным ПО,
собирает информацию из интернета
Находит статью,
описывающую индикаторы
компрометации в интернете,
и ищет данные индикаторы
в SIEM
Находит другие внутренние
IP адреса, которые могут
быть потенциально
заражены данным
вредоносомНачинает расследование
вокруг этих
подозрительных
IP адресов
Работа аналитика в отделе ИБ

9. 9 IBM Security
УЗНАТЬ О НОВЫХ
АСПЕКТАХ СИТУАЦИИ
УМЕНЬШИТЬ НЕДОСТАТОК
ЗНАНИЙ ИБ
АНАЛИТИК ИБ и ИИАНАЛИТИК ИБ
Знания о ИБ
созданные
Человеком
• Использовать огромные массивы
существующих данных для
обнаружения новых шаблонов атак
• Становиться умнее и построить
“инстинкты ИБ”
!!!
Аналитики ИБ
одной компании
Когнитивные технологии,
эмулирующие человеческий
интеллект при работе со
сложными угрозами
• Приоретизировать угрозы и
подготовить рекомендации по их
устранению, с уверенностью,
масштабируемостью и скоростью
Чем может помочь искусственный интеллект
в работе аналитиков ИБ

10. 10 IBM Security
Устранение
Расследывание и
анализ влияния
Приоретиза
ция
инцидентов
ИИ помогает анализировать угрозы
Быстрый и точный анализ
угроз ИБ, для экономии
времени и ресурсов
От
минут
до
часов
УстранениеРасследывание и анализ влияния
Приоретизация
инцидентов
От
дней
до
недель
ИИ значительно уменьшает время расследования угроз,
конкретных инцидентов и время реакции на инцидент

11. 11 IBM Security
ИИ
для кибербезопасности
Собрание знаний
Базы угроз
Отчеты исследований
Книги по ИБ
Раскрытые уязвимости
Популярные сайты
Блоги и соцсети
Другое
События ИБ
Активность пользователей
Информация о конфигурациях
Данные сканирования
Логи систем и ПО
Политики ИБ
Другое
ПРОВЕРКА
ОБУЧЕНИЕ
АНАЛИЗ
Созданные Человеком
Знания в области ИБ Инструменты
Аналитики ИБ
ИИ позволяет больше проникать в суть через усвоение
обширного числа источников данных

12. 12 IBM Security
Обширные словари позволяют ИИ
объединять отдельные элементы единой сущности
Машинное обучение позволяет ИИ
самообучаться со временем
ИИ создает
графы знаний
ИИ применяет
аннотации к тексту
Логика
аннотаций
ПРОВЕРКА
АНАЛИЗ
ОБУЧЕНИЕ
Хэш
Индикаторы
Компрометации
Метод
Заражения
Имя Угрозы
Не просто поиск, важно научить ИИ понимать и
интерпретировать язык ИБ

13. 13 IBM Security
Оценка
и Вес
Извлечение
Доказательств
Объекты
Поиска
Вопрос
• Количество
• Близость
• Отношения
• Истины домена /
бизнес правила
Какие
уязвимости
относятся к
этому типу
заражения?
• Отчеты по
исследованиям
• Сайты ИБ
• Публикации
• Базы угроз
• Внутреннее
сканирование
• Информация
об активах
АНАЛИЗ
ОБУЧЕНИЕ
ПРОВЕРКА
Кроме простых алгоритмов ИИ оценивает дополнительные
доказательства

14. 14 IBM Security
• Расследования быстрее
• Легче вычищать бэклог
• Улучшить возможности расследований
• Множество тяжелой работы делается
заранее
Чем помогает ИИ

15. 15 IBM Security
Искусственный интеллектИнструменты Аналитики ИБ
ВНУТРЕННИЕ СОБЫТИЯ И
ИНЦИДЕНТЫ ИБ
ВНЕШНЯЯ БАЗА ЗНАНИЙ ИБ
Send to Watson for
Security
Интеграция ИИ с Инструментами Аналитики ИБ для
внедрения когнитивной безопасности

16. 16 IBM Security
ВЫЯВИТЬ Подозрительные
активности
ПОНЯТЬ • Целевые системы
• Мотив
• Объекты атаки
• Продолжительность
ВЫЯВИТЬ Скомпрометированные
хосты
ПОНЯТЬ • Целевые уязвимости
• Объекты атаки
• Последствие атаки
• Размер атаки
ВЫЯВИТЬ Начало заражения
ПОНЯТЬ • Название
• Группу
• Источники
• Метод доставки
• Влияние
ИИ автоматизирует когнитивные задачи необходимые для обогащения
инцидентов ИБ.
Аналитики ИБ наделяются действенными вводными для выявления и
понимания сложных угроз.
ВРЕДОНОСНОЕ
ПО
ЭКСПЛОИТЫ
ПОДОЗРИТЕЛЬНЫЕ
АКУТИВНОСТИ
Выявлять и понимать сложные угрозы

17. 17 IBM Security
Усилить
аналитиков
Ускорить реакцию
через внешний
интеллект
Выявлять угрозы
через
расширенную
аналитику
Усилить
безопасность
приложений
Снизить
потенциальны
е риски
Несколько потенциальных примеров использования,
где когнитивная кибербезопасность играет ключевую роль

18. 18 IBM Security

19. ОТВЕТСТВЕННОСТЬ
ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ
?

20. ДОСТОВЕРНОСТЬ
ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ
?

21. АКТУАЛЬНОСТЬ
ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ
?

22. ibm.com/security
securityintelligence.com
xforce.ibmcloud.com
@ibmsecurity
youtube/user/ibmsecuritysolutions
© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind,
express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products
and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service
marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your
enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others.
No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems,
products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or
services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.
FOLLOW US ON:
СПАСИБО

23. 23 IBM Security
Когнитивные технологии IBM Watson for Cyber Security
X-Force Exchange
Базы угроз
доверительных партнеров
Другие базы угроз
Open source
Ответы на бреши
Отчеты по атакам
Лучшие практики
Курс действий
Исследования
Web-сайты
Блоги
Новости
Крупнейшее собрание
знаний в области
кибербезопасности
10 Млрд элементов плюс
4 Млн добавляется ежечасно
1,25 Млн документов плюс
15 Тысяч добавляется ежедневно
Миллионы
Документов
Миллиарды
Элементов Данных
Структурированные
данные
НЕструктурированные
данные
Поисковый робот
страниц интернета
5-10 обновлений в час!
100 тысяч обновлений в
неделю!