Искусственный интеллект на защите информации
- 1. Искусственный интеллект на защите информации Олег Бакшинский ITSF 2017 RCIS Executive Security Advisor
- 2. 2 IBM Security А почему собственно IBM ?
- 3. 3 IBM Security Утечки данных продолжаются, не смотря на принимаемые усилия Отсутствие своевременной и действенной информации становится проклятием безопасников Огромные пробелы в экспертизе команд ИБ по всему миру IBM X-Force Threat Intelligence Index 2017 54 миллиона событий кибербезопасности на одну компанию 4 миллиарда записей персональных данных скомпрометированы по официальным отчетам Основные проблемы отдела ИБ
- 4. 4 IBM Security Криминальный БОСС Помощник босса Поставка троянов и серверов управления и контроля Владельцы инструментария для взлома Распространение троянов через “легитимные” сайты Управляющие компаниями Аффилированные сети Продавцы украденных данных Внешние источники аналитики по угрозам Внутренний обмен Центры Анализа и Обмена Информацией Частный / Публичный обмен Глобальные центры Состояние по аналитике ИБ в 2016 Защищающие имеют большие проблемы с обменом информацией об угрозах и атаках, в то время как атакующие активно обмениваются знаниями
- 5. 5 IBM Security Традиционные данные ИБ Примеры включают: • Исследовательские документы • Публикации по индустрии • Информация о расследованиях • Комментарии по угрозам и аналитике ИБ • Презентации на конференциях • Отчёты аналитиков • Веб страницы • Вики • Блоги • Новостные источники • Новостные рассылки • Микроблоги/ твиттер/ВК… Целая вселенная знаний ИБ выпадает из поля зрения средств защиты Типичная организация видит только 8% данных знаний Знания, генерируемые людьми • События ИБ • Данные логов и конфигураций • Активность пользователей и сети • Подписки на угрозы и уязвимости но большая часть этих знаний не охвачена инструментами Огромное количество знаний об информационной безопасности создаётся для прочтения людьми…
- 6. 6 IBM Security Человеческая экспертиза Когнитивная безопасность Аналитика ИБ • Корреляция данных • Идентификация паттернов • Детектирование аномалий • Приоретизация • Визуализация данных • Рабочие процессы • Анализ неструктурированных данных • Натуральный язык • Вопросы и ответы • Машинное обучение • Устранение человеческого фактора • Аналитика по компромиссам • Здравый смысл • Мораль • Сострадание • Абстракции • Дилеммы • Обобщения АНАЛИТИКИ ИБ АНАЛИТИКА ИБ КОГНИТИВНАЯ ИБ Когнитивные системы устраняют этот разрыв и открывают новые возможности партнёрства между аналитиками ИБ и поддерживающими их технологиями
- 7. 7 IBM Security Я расследую потенциальные угрозы… Как и почему это отличается от обычного поведения систем?ВНЕШНЯЯ АНАЛИТИКА ПО УГРОЗАМ Знания о бизнесе и релевантных трендов ИБ для индустрии ВНУТРЕННЯЯ АНАЛИТИКА ИБ Расследования о потенциальных сетевых проблемах МОНИТОРИНГ Очереди оповещений и потенциальных угроз ОТЧЁТНОСТЬ Уязвимости и проблемы НАСТРОЙКА Улучшение правил корреляции Информируется о… Консультирует по… Подотчётен по … Отвечает за… Насколько это может повредить компании? Надо ли мне разобраться с этим сейчас? Откуда поступила эта информация? Можно ли доверять источнику? Работа аналитика в отделе ИБ
- 8. 8 IBM Security Просматривает инциденты ИБ в консоли SIEM Решает, каким следующим инцидентом заняться Просматривает данные (события / потоки, из которых состоит инцидент) Расширяет поиск для захвата большего количества данных по инциденту Рассматривает данные с разных сторон для нахождения аномалий (например необычные домены, IP адреса, доступы к файлам…) Проверяет содержимое соседних событий на наличие чего-либо интересного (домены, хэши и т.д.) Ищет в X-Force Exchange + Google + Virus Total + любом другом месте данные аномалии и индикаторы. Находит новый тип вредоносного ПО, который может быть причастен к данному поведению. Находит название вредоносного ПО Ищет ещё сайты с информацией о индикаторах компрометации систем данным вредоносным ПО, собирает информацию из интернета Находит статью, описывающую индикаторы компрометации в интернете, и ищет данные индикаторы в SIEM Находит другие внутренние IP адреса, которые могут быть потенциально заражены данным вредоносомНачинает расследование вокруг этих подозрительных IP адресов Работа аналитика в отделе ИБ
- 9. 9 IBM Security УЗНАТЬ О НОВЫХ АСПЕКТАХ СИТУАЦИИ УМЕНЬШИТЬ НЕДОСТАТОК ЗНАНИЙ ИБ АНАЛИТИК ИБ и ИИАНАЛИТИК ИБ Знания о ИБ созданные Человеком • Использовать огромные массивы существующих данных для обнаружения новых шаблонов атак • Становиться умнее и построить “инстинкты ИБ” !!! Аналитики ИБ одной компании Когнитивные технологии, эмулирующие человеческий интеллект при работе со сложными угрозами • Приоретизировать угрозы и подготовить рекомендации по их устранению, с уверенностью, масштабируемостью и скоростью Чем может помочь искусственный интеллект в работе аналитиков ИБ
- 10. 10 IBM Security Устранение Расследывание и анализ влияния Приоретиза ция инцидентов ИИ помогает анализировать угрозы Быстрый и точный анализ угроз ИБ, для экономии времени и ресурсов От минут до часов УстранениеРасследывание и анализ влияния Приоретизация инцидентов От дней до недель ИИ значительно уменьшает время расследования угроз, конкретных инцидентов и время реакции на инцидент
- 11. 11 IBM Security ИИ для кибербезопасности Собрание знаний Базы угроз Отчеты исследований Книги по ИБ Раскрытые уязвимости Популярные сайты Блоги и соцсети Другое События ИБ Активность пользователей Информация о конфигурациях Данные сканирования Логи систем и ПО Политики ИБ Другое ПРОВЕРКА ОБУЧЕНИЕ АНАЛИЗ Созданные Человеком Знания в области ИБ Инструменты Аналитики ИБ ИИ позволяет больше проникать в суть через усвоение обширного числа источников данных
- 12. 12 IBM Security Обширные словари позволяют ИИ объединять отдельные элементы единой сущности Машинное обучение позволяет ИИ самообучаться со временем ИИ создает графы знаний ИИ применяет аннотации к тексту Логика аннотаций ПРОВЕРКА АНАЛИЗ ОБУЧЕНИЕ Хэш Индикаторы Компрометации Метод Заражения Имя Угрозы Не просто поиск, важно научить ИИ понимать и интерпретировать язык ИБ
- 13. 13 IBM Security Оценка и Вес Извлечение Доказательств Объекты Поиска Вопрос • Количество • Близость • Отношения • Истины домена / бизнес правила Какие уязвимости относятся к этому типу заражения? • Отчеты по исследованиям • Сайты ИБ • Публикации • Базы угроз • Внутреннее сканирование • Информация об активах АНАЛИЗ ОБУЧЕНИЕ ПРОВЕРКА Кроме простых алгоритмов ИИ оценивает дополнительные доказательства
- 14. 14 IBM Security • Расследования быстрее • Легче вычищать бэклог • Улучшить возможности расследований • Множество тяжелой работы делается заранее Чем помогает ИИ
- 15. 15 IBM Security Искусственный интеллектИнструменты Аналитики ИБ ВНУТРЕННИЕ СОБЫТИЯ И ИНЦИДЕНТЫ ИБ ВНЕШНЯЯ БАЗА ЗНАНИЙ ИБ Send to Watson for Security Интеграция ИИ с Инструментами Аналитики ИБ для внедрения когнитивной безопасности
- 16. 16 IBM Security ВЫЯВИТЬ Подозрительные активности ПОНЯТЬ • Целевые системы • Мотив • Объекты атаки • Продолжительность ВЫЯВИТЬ Скомпрометированные хосты ПОНЯТЬ • Целевые уязвимости • Объекты атаки • Последствие атаки • Размер атаки ВЫЯВИТЬ Начало заражения ПОНЯТЬ • Название • Группу • Источники • Метод доставки • Влияние ИИ автоматизирует когнитивные задачи необходимые для обогащения инцидентов ИБ. Аналитики ИБ наделяются действенными вводными для выявления и понимания сложных угроз. ВРЕДОНОСНОЕ ПО ЭКСПЛОИТЫ ПОДОЗРИТЕЛЬНЫЕ АКУТИВНОСТИ Выявлять и понимать сложные угрозы
- 17. 17 IBM Security Усилить аналитиков Ускорить реакцию через внешний интеллект Выявлять угрозы через расширенную аналитику Усилить безопасность приложений Снизить потенциальны е риски Несколько потенциальных примеров использования, где когнитивная кибербезопасность играет ключевую роль
- 18. 18 IBM Security
- 22. ibm.com/security securityintelligence.com xforce.ibmcloud.com @ibmsecurity youtube/user/ibmsecuritysolutions © Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party. FOLLOW US ON: СПАСИБО
- 23. 23 IBM Security Когнитивные технологии IBM Watson for Cyber Security X-Force Exchange Базы угроз доверительных партнеров Другие базы угроз Open source Ответы на бреши Отчеты по атакам Лучшие практики Курс действий Исследования Web-сайты Блоги Новости Крупнейшее собрание знаний в области кибербезопасности 10 Млрд элементов плюс 4 Млн добавляется ежечасно 1,25 Млн документов плюс 15 Тысяч добавляется ежедневно Миллионы Документов Миллиарды Элементов Данных Структурированные данные НЕструктурированные данные Поисковый робот страниц интернета 5-10 обновлений в час! 100 тысяч обновлений в неделю!