Обзор применения искусственного интеллекта в кибербезопасности как с позитивной, так и с негативной стороны. Как ИИ используют безопасники. Как ИИ используют хакеры. Какие угрозы могут быть для ИИ.
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
Презентация "Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно" задает несколько вопросов относительно проектов приказов ФСБ по ГосСОПКЕ
Презентация на CyberCrimeCon про некоторые важные моменты построения SOC, включая вопросы ценообразования, оргштатной структуры, технологического стека, сервисной стратегии, Threat Intelligence и т.п.
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
Презентация рассказывает о трех ключевых направлениях регулирования ИБ в финансовых организациях в 2018+ годах (исключая удаленную идентификацию) - 187-ФЗ по критической информационной инфраструктуре, 382-П по защите информации при осуществлении денежных переводов и новый ГОСТ 57580.1
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
Опираясь на опыт службы ИБ Cisco, имеющей SOC с 19-тилетней историей, опираясь на опыт проектирования и построения SOC у сотни заказчиков, и опираясь на опыт аутсорсинга SOC у другой сотни заказчиков, у нас накопился большой опыт в области центром мониторинга ИБ и реагирования на инциденты. И вот на SOC Forum KZ я выбрал 5 советов, недооценка которых может сделать проект по SOC неудачным. Это не единственные советы, но за 20 отведенных мне минут, больше просто не получилось.
Презентация с коротким обзором применения искусственного интеллекта, читай, машинного обучения, в кибербезопасности, и вопросов, которые надо решить при выборе вендора, предлагающего ИИ, или при построении собственного решения по ИИ в ИБ.
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
Презентация "Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно" задает несколько вопросов относительно проектов приказов ФСБ по ГосСОПКЕ
Презентация на CyberCrimeCon про некоторые важные моменты построения SOC, включая вопросы ценообразования, оргштатной структуры, технологического стека, сервисной стратегии, Threat Intelligence и т.п.
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
Презентация рассказывает о трех ключевых направлениях регулирования ИБ в финансовых организациях в 2018+ годах (исключая удаленную идентификацию) - 187-ФЗ по критической информационной инфраструктуре, 382-П по защите информации при осуществлении денежных переводов и новый ГОСТ 57580.1
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
Опираясь на опыт службы ИБ Cisco, имеющей SOC с 19-тилетней историей, опираясь на опыт проектирования и построения SOC у сотни заказчиков, и опираясь на опыт аутсорсинга SOC у другой сотни заказчиков, у нас накопился большой опыт в области центром мониторинга ИБ и реагирования на инциденты. И вот на SOC Forum KZ я выбрал 5 советов, недооценка которых может сделать проект по SOC неудачным. Это не единственные советы, но за 20 отведенных мне минут, больше просто не получилось.
Презентация с коротким обзором применения искусственного интеллекта, читай, машинного обучения, в кибербезопасности, и вопросов, которые надо решить при выборе вендора, предлагающего ИИ, или при построении собственного решения по ИИ в ИБ.
"Подстрочник" для дискуссии на RIW 2018, посвященный... задумка была поговорить про Big Data, потом все перешло к Большим пользовательским данным, а закончилось персональными данными
Презентация описывает обзор изменений, произошедших в области обнаружения атак с конца 90-х годов до настоящего момента. Ключевой тезис - для обнаружения атак сегодня мало применять системы обнаружения атак
Краткое, но при этом талантливое :-) изложение ключевых идей, мыслей, новостей и фактов с Уральского форума по информационной безопасности финансовых организаций (2020).
10 заблуждений при (внедрении | использовании | аутсорсинге) SOCAleksey Lukatskiy
Презентация с SOC Forum, прошедшего в Астане (Казахстан) 12 апреля 2018 года. Описывает 10 некоторых заблуждений и ошибок при внедрении, использовании или аутсорсинге SOC.
Обзор ключевых/приоритетных мер защиты информации среди множества (тысяч) требований, указанных в различных нормативных актах и лучших практиках. Основной упор сделан на SANS Top 20 / CIS Controls и ASD 35
Мастер-класс по защите от фишинга, прочитанный на CISO Forum 2017. Подробное описание с демонстрациями того, как реализуется фишинг, и как ему противостоять организационными и техническими мерами
"Подстрочник" для дискуссии на RIW 2018, посвященный... задумка была поговорить про Big Data, потом все перешло к Большим пользовательским данным, а закончилось персональными данными
Презентация описывает обзор изменений, произошедших в области обнаружения атак с конца 90-х годов до настоящего момента. Ключевой тезис - для обнаружения атак сегодня мало применять системы обнаружения атак
Краткое, но при этом талантливое :-) изложение ключевых идей, мыслей, новостей и фактов с Уральского форума по информационной безопасности финансовых организаций (2020).
10 заблуждений при (внедрении | использовании | аутсорсинге) SOCAleksey Lukatskiy
Презентация с SOC Forum, прошедшего в Астане (Казахстан) 12 апреля 2018 года. Описывает 10 некоторых заблуждений и ошибок при внедрении, использовании или аутсорсинге SOC.
Обзор ключевых/приоритетных мер защиты информации среди множества (тысяч) требований, указанных в различных нормативных актах и лучших практиках. Основной упор сделан на SANS Top 20 / CIS Controls и ASD 35
Мастер-класс по защите от фишинга, прочитанный на CISO Forum 2017. Подробное описание с демонстрациями того, как реализуется фишинг, и как ему противостоять организационными и техническими мерами
Кибервойна давно шагнула со страниц фантастических романов в реальный мир. Что нас ждет сегодня и завтра? По каким сценариям будут развиваться кибернетические войны? Кибероружие - буря в социальных сетях или оружие массового поражения? Боевой потенциал кибервооружений различных стран мира. Мы их или они нас?
Услуги и решения Softline в области информационной безопасности. Прикладные и инфраструктурные решения. Соответствие требованиям (compliance). Сетевая безопасность. Аудит информационной безопасности.
Мое выступление на Kaspersky ICS Security Conference в сентябре 2020 года в Сочи о том, на что обращать внимание при разработке дашбордов по ИБ АСУ ТП для лиц, принимающих решения
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
Презентация на GDPR Day Online про техническую защиту персональных данных в соответствие с GDPR и ФЗ-152. Куча ссылок на стандарты и методички по защите ПДн в облаках, блокчейне, BYOD, ML, Big Data и т.п., а также чеклисты по технической защите ПДн от CNIL, ICO и др.
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
Презентация о том, как можно вынести тему ИБ на руководство финансовой организации? Как говорить с ним на языке денег и какие метрики использовать, если мы не можем монетизировать тему ИБ?
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
Презентация с обзором 17 способов проникновения в корпоративную сеть, минуя межсетевой экран. В качестве примера решения для борьбы с многими из них описывается Cisco Stealthwatch и Cisco ISE.
10. Виновен по поведению
§ Модель совместных запросов
§ Геолокационная модель
§ Модель индекса безопасности
Виновен по связям
§ Модель предсказуемого IP сегмента
§ Корреляция DNS и WHOIS данных
Шаблон виновности
§ Модель всплесков активности
§ Модель оценки языкового
шаблона (NLP)
§ Обнаружение DGA
Классификация вредоносных доменов
На примере Cisco Umbrella
20. Когда злоумышленник знает как
работает ИИ
Знаки распознаются автомобилями с
автопилотом как «снижение скорости» в
100% случаев
Знак «СТОП» в 100%
21. Когда злоумышленник знает как
работает ИИ
«Панда»
57,7% уверенности
«Гиббон»
99,3% уверенности
• Именно поэтому контрольные точки проверки денежных
купюр или биометрических данных держатся в секрете
23. Когда злоумышленник знает как
работает ИИ
• Компания Microsoft запустила
основанного на машинном
обучении чат-бота Тай в 2016-
м году
• Группа злоумышленников, не
имея доступа к исходным
кодам, научила чат-бота
ругаться и грубо общаться с
пользователями
28. И считаем что нашу личность нельзя
украсть
• Отрезанный палец
• Как поддерживать температуру тела?
• Отрезанная рука
• Как поддерживать кровообращение?
• Вырванный глаз
30. 10 минут 8 часов 16 часов 1 день
5 дней
9 дней
18 дней
4 дня
8 дней
16 дней
3 дня
7 дней
14 дней
2 дня
6 дней
10 дней
• Компания Nvidia
создала нейросеть,
которая
«научилась» за 18
дней создавать
реалистичные
фотографии людей
31. • Вторая нейросеть Nvidia
училась распознавать
синтезированные
фотографии
• Нейросеть дала сбой и
посчитала данные
синтезированные
фотографии реальными
32.
33. А вы хотите стать «героем» порно?
• Подмена лица
порноактрисы
в динамике на
лицо актрисы
Галь Гадот
34. Аудиоредактор Adobe VoCo
• Аудиоредактор Adobe VoCo (пока проект) позволяет «произнести» все,
что угодно, голосом человека, которого предварительно
«прослушивали» в течение 20 минут и более
37. Есть ли реальные примеры?
• Пока применение
ИИ по ту сторону
баррикад является
предметом
исследований (в т.ч.
и закрытых)
• … но давайте
вспомним
полиморфизм у
компьютерных
вирусов
https://socprime.com/en/blog/petya-a-notpetya-is-an-ai-powered-cyber-weapon-ttps-lead-to-sandworm-apt-group/
38. А как может быть?
• Поиск уязвимостей
• Модификация эксплойтов
• Фишинг
• Боты для обмана
пользователя
• Подбор пароля
• Подмена личности
40. Анализа 68 лайков в Facebook
достаточно, чтобы определить цвет
кожи испытуемого (с 95%
вероятностью), его гомосексуальность
(88% вероятности) и приверженность
Демократической или Республиканской
партии США (85% вероятности)
44. 4 апреля 2018 3100 сотрудников
Гугла подписали обращение к
главе компании о
необходимости пересмотра
подписанного с МинОбороны
США контракте об участии в
ИИ-проекте Project Maven
(анализ фотографий, снятых
дронами)
Нас ждет еще много сюрпризов
46. 0 10 20 30 40 50 60
Как вы реализуете технологии AI/ML в своей системе ИБ?
(%)
Пока только
присматриваюсь
Использую то, что
встроено вендором
в его решение, но
не понимаю, как они
работают
Не верю в этот
маркетинг
Активно пилотирую
AI/ML в целях ИБ и
понимаю, как они
работают
Потребитель пока не готов
Источник: Лукацкий А.В., IDC Security Roadshow
47. В целом, рынок ИИ повторяет тенденции
Изучают
59% изучают, собирают
информацию или
разрабатывают стратегию
Пилотируют
25% пробуют поставщиков,
взаимодействуют с
потребителями, учатся на
своих ошибках
Внедряют
6%
Реализовали
6%
+4% планируют внедрить в
2018
Источник: Gartner
49. Но не все так просто
• У вас есть нужные данные, но
нет правильных моделей. У вас
есть правильные модели, но нет
нужных данных
• CISO Summit, начало 2000-х годов
• Сегодня у вас есть нужные
данные (и их слишком много) и
правильные (наверное)
модели… но нет аналитиков,
которые могут свести все это
вместе
Антон Чувакин, VP Gartner
50. 1. Ползать Создание реальных ML приложений — Быть стабильным
2. Ходить Построить множество приложений — Быть повторяемым
3. Бегать Построить множество приложений для многих заказчиков —
Быть автоматизируемым
4. Летать Позволить клиентам делать это самим — Быть разработчиком
Большинство
вендоров тут
Путь к искусственному интеллекту
51. 51
Часто приходится создавать системы ИИ
самостоятельно
• Решение iCAM
разрабатывалось
внутри службы ИБ
Cisco для
мониторинга утечек
информации и
анализа поведения
пользователей
• Готового решения
мы не нашли
54. • 10 секунд на детектирование
риска
• 24 часа на устранение риска
Скорость
• 4+ миллиардов событий
ежедневно
• ±2000 инцидентов в квартал
Объемы
• 40+ миллиардов файлов Cisco
были защищены
• 16,000+ серверов мониторится
Ценность
для бизнеса
• User-To-Ops: 100,000 : 1
• 90% сигналов тревоги
управляются автоматически
• Только 1% инцидентов требует
ручной поддержки от Ops
Качество
операций
Эффект от iCAM в Cisco
15,2 миллиона долларов ежегодной экономии / сохранности
56. 0 5 10 15 20 25 30 35 40 45 50
Кто победит в неравной борьбе – хакеры или безопасники? (%)
Хакеры, потому что
они не скованы
законодательными
ограничениями
Хакеры, потому что
они более
динамичны и легки
на подъем
Скоро наступит
восстание машин и
ваш вопрос станет
неактуальным
Безопасники,
потому что на их
стороне вся мощь
индустрии ИБ
Безопасники не верят в свою победу L
Источник: Лукацкий А.В., IDC Security Roadshow
57. Поработит ли
нас
искусственный
интеллект или
мы можем ему
противостоять?
..
• Открытые алгоритмы и
фреймворки
• Сбор и хранение нужных
данных
• Использование только
достоверных источников
данных
• Предварительный анализ
качества данных
• Обучение алгоритмов
• Обучение аналитиков
58. Но мы еще вначале пути
Оптимизация
Информация
Взгляд в прошлое
Взгляд в будущее
В поле зренияОписательная
аналитика
Что
случилось?
Диагностичес-
кая аналитика
Почему это
случилось?
Предсказатель
-ная аналитика
Что
случится?
Предписываю-
щая аналитика
Как мы можем
сделать, чтобы
это случилось?
Сложность
Ценность
59. 3 поколения машинного обучения
Известные
варианты
угроз
Автоматическая
классификация
Неизвестные
угрозы
Полностью
автоматическое
обучение
Автоматическая
интерпретация
результатов
Глобальная
корреляция по
всем источникам
IoC по одному
или нескольким
источникам
Один источник
(DNS, e-mail, web,
файл и т.п.)
1-е поколение
2-е поколение
3-е поколение • Машинное обучение –
не панацея
• Интернет движется к
тотальному шифрованию
• Злоумышленники
остаются незамеченными –
стеганография
• За искусственным
интеллектом в ИБ – будущее