9. Виновен по поведению
§ Модель совместных запросов
§ Геолокационная модель
§ Модель индекса безопасности
Виновен по связям
§ Модель предсказуемого IP сегмента
§ Корреляция DNS и WHOIS данных
Шаблон виновности
§ Модель всплесков активности
§ Модель оценки языкового
шаблона (NLP)
§ Обнаружение DGA
Классификация вредоносных доменов
На примере Cisco Umbrella
10. Обнаружение ВПО в шифрованном
трафике Acc. FDR
SPLT+BD+TLS+HTTP+DNS 99.993% 99.978%
TLS 94.836% 50.406%
DNS 99.496% 94.654%
HTTP 99.945% 98.996%
TLS+DNS 99.883% 96.551%
TLS+HTTP 99.955% 99.660%
HTTP+DNS 99.985% 99.956%
SPLT+BD+TLS 99.933% 70.351%
SPLT+BD+TLS+DNS 99.968% 98.043%
SPLT+BD+TLS+HTTP 99.983% 99.956%
TLS DNS
HTTP SPLT+BD
На примере Cisco ETA
20. Исследование ESG
• 29% хотят использовать ИИ для обнаружения инцидентов
• Распознавание и классификация – одно из самых популярных
направлений в применении ИИ
• 27% хотят использовать ИИ для реагирования на инциденты
• 24% хотят использовать ИИ для идентификации рисков
• 22% хотят использовать ИИ для улучшения ситуационной
осведомленности о состоянии ИБ на предприятии
22. Отличие исследователя от безопасника /
хакера
Исследователь Безопасник / хакер
Основной фокус
Что произойдет в случае
нормальных входных
данных?
Что произойдет в случае
аномальных входных
данных?
Отказ в редких
условиях и сочетаниях
Что-то, что я смогу
игнорировать или чем я
могу пренебречь
Что-то, что я смогу
использовать для
нарушения
23. Когда злоумышленник знает как
работает ИИ
Знаки распознаются автомобилями с
автопилотом как «снижение скорости» в
100% случаев
Знак «СТОП» в 100%
24. Когда злоумышленник знает как
работает ИИ
«Панда»
57,7% уверенности
«Гиббон»
99,3% уверенности
• Именно поэтому контрольные точки проверки денежных
купюр или биометрических данных держатся в секрете
26. Когда злоумышленник знает как
работает ИИ
• Компания Microsoft запустила
основанного на машинном
обучении чат-бота Тай в 2016-
м году
• Группа злоумышленников, не
имея доступа к исходным
кодам, научила чат-бота
ругаться и грубо общаться с
пользователями
32. 10 минут 8 часов 16 часов 1 день
5 дней
9 дней
18 дней
4 дня
8 дней
16 дней
3 дня
7 дней
14 дней
2 дня
6 дней
10 дней
• Компания Nvidia
создала нейросеть,
которая
«научилась» за 18
дней создавать
реалистичные
фотографии людей
33. • Вторая нейросеть Nvidia
училась распознавать
синтезированные
фотографии
• Нейросеть дала сбой и
посчитала данные
синтезированные
фотографии реальными
34. А вы хотите стать «героем» порно?
• Подмена лица
порноактрисы
в динамике на
лицо актрисы
Галь Гадот
35. Подмена голоса
• Аудиоредактор Adobe VoCo (пока проект) позволяет «произнести» все,
что угодно, голосом человека, которого предварительно
«прослушивали» в течение 20 минут и более
36.
37. Есть ли реальные примеры?
• Пока применение
ИИ по ту сторону
баррикад является
предметом
исследований (в т.ч.
и закрытых)
• … но давайте
вспомним
полиморфизм у
компьютерных
вирусов
https://socprime.com/en/blog/petya-a-notpetya-is-an-ai-powered-cyber-weapon-ttps-lead-to-sandworm-apt-group/
38. А как может быть?
• Поиск уязвимостей
• Модификация эксплойтов
• Фишинг
• Боты для обмана
пользователя
• Подбор пароля
• Подмена личности
41. 0 10 20 30 40 50 60
Как вы реализуете технологии AI/ML в своей системе ИБ?
(%)
Пока только
присматриваюсь
Использую то, что
встроено вендором
в его решение, но
не понимаю, как они
работают
Не верю в этот
маркетинг
Активно пилотирую
AI/ML в целях ИБ и
понимаю, как они
работают
Российский безопасник пока не готов
Источник: Лукацкий А.В., IDC Security Roadshow
42. В целом, рынок ИИ повторяет тенденции
Изучают
59% изучают, собирают
информацию или
разрабатывают стратегию
Пилотируют
25% пробуют поставщиков,
взаимодействуют с
потребителями, учатся на
своих ошибках
Внедряют
6%
Реализовали
6%
+4% планируют внедрить в
2018
Источник: Gartner
44. Но не все так просто
• У вас есть нужные данные, но
нет правильных моделей. У вас
есть правильные модели, но нет
нужных данных
• CISO Summit, начало 2000-х годов
• Сегодня у вас есть нужные
данные (и их слишком много) и
правильные (наверное)
модели… но нет аналитиков,
которые могут свести все это
вместе
Антон Чувакин, VP Gartner
46. Но мы еще вначале пути
Оптимизация
Информация
Взгляд в прошлое
Взгляд в будущее
В поле зренияОписательная
аналитика
Что
случилось?
Диагностичес-
кая аналитика
Почему это
случилось?
Предсказатель
-ная аналитика
Что
случится?
Предписываю-
щая аналитика
Что я должен
сделать?
Сложность
Ценность
47. Без человека пока не обойтись
Описательная
Диагностическая
Предсказательная
Предписывающая
Аналитика Участие человека
Решение
Действие
Поддержка решений
Автоматизация решений
Данные
48. Текущий статус кибербезопасности и ИИ
Впервые стали
говорить
Много
шума
Не так страшен черт,
как его малюют
Наработаны контрмеры Плато
продуктивности
технологии
О безопасности
никто не думает
Первые
уязвимости
Страх и
неопределенность
Первые решения по
безопасности с ИИ
Атаки ->
отражение ->
атаки …
ИИ тут!
!