Золтан Дъёрку, генеральный директор компании BalaBit
Неужели это когда-нибудь станет реальностью? Суперкомпьютер HAL 9000 из фильма «2001: Космическая Одиссея», Скайнет из «Терминатора» или мир, управляемый роботами, из «Матрицы»?
Никто не может дать однозначный ответ на этот вопрос. Исследования искусственного интеллекта начались ещё в 50-х годах прошлого века, но пока ни один из вышеупомянутых сценариев не воплотился в жизнь. Вместе с тем, одно из направлений в исследованиях — машинное обучение — демонстрирует впечатляющие успехи в последнее время и становится востребованным в самых разных областях.
Машинное обучение — это именно то, что помогает смартфонам воспринимать и обрабатывать человеческий голос, контролирует беспилотные автомобили и обеспечивает подбор подходящих ответов на запросы в поисковых системах. По сути, такое обучение наделяет компьютеры способностью «учиться», без применения явных признаков программирования. И это вполне закономерно: даже маленький ребёнок не прикоснется к горячей поверхности снова, если уже один раз обжёг ладошки об неё. Но в мире высоких технологий всё намного сложнее, так как компьютер может без труда и в точности исполнить ранее запрограммированную команду. Это основная причина, по которой машины являются наиболее совершенными средствами для таких задач, как супервычисления. Но нужно помнить о том, что эффективность компьютеров может заметно снизиться при постановке задачи, в ходе выполнения которой нельзя применить простые правила логики. Даже программисты не всегда знают, какие команды должны быть заложены в программу.
Технологии машинного обучения способны выявить тенденции и закономерности на основе имеющихся данных. С помощью сортировки и группировки данных алгоритмы машинного обучения могут составлять прогнозы. Система рекомендации товаров в интернет-магазинах является наглядным примером того, как работает машинное обучение. Оно позволяет предлагать книги, диски и другие товары — например, диски с джазовой музыкой, научно-фантастические романы или острую приправу — и всё это происходит с учётом того, что обычно приобретает сам пользователь или пользователи с похожими запросами.
Машинное обучение на страже IT-безопасности
В последнее время машинное обучение начало активно применяться в сфере IT-безопасности. Причиной тому служит новый тренд, который ставит контроль активности внутренних пользователей во главу угла в вопросах информационной безопасности в компаниях, отодвигая контроль доступа и мониторинг устройств на второй план. Решения, заточенные под контроль, хорошо справляются с известными вирусами или вредоносными программами, но они почти бессильны против широко распространённых в последнее время таргетированных угроз (APT-угрозы). Стандартная АРТ-угроза включает в себя использование хакером уязвимости «нулевого дня» и установку кейлоггера. Воспользовавшись похищенными учетными записями, хакер получает доступ в IT-системы и имеет возможность скачать конфиденциальную корпоративную информацию. Даже SIEM-системы не способны обеспечить полную защиту от угроз уязвимости «нулевого дня», следовательно, этот вид атаки становится практически нераспознаваемым, а шансы предотвратить его — крайне низкими. Всё это послужило причиной тому, что компании из сферы IT-безопасности уже начали разрабатывать и применять свои собственные решения, связанные с анализом поведения пользователей (User Behavior Analytics, UBA).
Анализ поведения на практике
Основная концепция UBA-анализа заключается в том, что программное обеспечение способно распознавать пользователей, основываясь на каком-либо специфическом признаке, а также если пользователь делает что-то не укладывающееся в рамки, обозначенные программой. Решения по мониторингу и анализу привилегированной активности обладают более, чем достаточным архивом информации, чтобы уловить такие тонкости и несовпадения в манере пользования, как время и место входа в аккаунт, экранное разрешение и операционную систему устройства, список протоколов и наиболее часто использующиеся приложения, а также скорость, с которой пользователь вводит данные. В то время, как вся эта информация абсолютно бесполезна для традиционных систем безопасности, она представляет огромную ценность для решений по мониторингу поведения пользователей, так как может быть трансформирована в особый механизм «умной разведки».
Анализ поведения пользователя имеет и другие применения, помимо предотвращения APT-угроз. Например, сотрудники, уходящие из компании, довольно часто забирают с собой большое количество конфиденциальной корпоративной информации — исходные коды или базы клиентов — всё это просто сохраняется на флэшку и уносится за пределы компании. Поэтому в данном случае решения по мониторингу и анализу привилегированных пользователей помогут зафиксировать и отправить предупреждение об угрозе в отдел безопасности. Данные о происшествиях сохраняются, тем самым остается юридическое доказательство для работодателя и для тех, кто несёт ответственность за корпоративные данные.
О компании BalaBit
BalaBit является европейским новатором в области информационной безопасности, который специализируется на анализе протоколов и расширенных функциях мониторинга. Штаб-квартира находится в Люксембурге. Офисы продаж компании расположены во Франции, Германии, Венгрии, России, Великобритании и США, а партнеры работают в более, чем 40 странах. Основные центры разработок находятся в Венгрии. Клиентами компании BalaBit являются заказчики по всему миру, включая 23 компании из списка Fortune100. Компания широко известна, благодаря решению для анализа протоколов syslog-ng™, которое используют более миллиона клиентов по всему миру.
BalaBit™, Shell Control Box™, syslog-ng™ и Contextual Security Intelligence™ являются торговыми марками BalaBit. Все остальные продукты, упомянутые в тексте, являются торговыми марками соответствующих владельцев.
