Роль машинного обучения и искусственного интеллекта в обеспечении безопасности IT-индустрии

Учитывая возрастающую эскалацию появления все большего числа вредоносных программ и их глобальную и молниеносную скорость распространения, проблема своевременной реакции и оперативного ответа для обеспечения защиты сети и данных бизнеса от угроз вирусных атак становится все более актуальной, — пишут ARN. Например, вредоносное глобальное воздействие трояна-вымогателя WannaCry на пользователей вне зависимости от вида их деятельности – от малого бизнеса, железнодорожных станций и до больниц – в значительной степени объясняется скоростью его распространения, которое можно сравнить с масштабным лесным пожаром. В течение 5 дней этот троян–вымогатель был обнаружен на различных устройствах, используемых в 250 тыс. точках 116 стран.

Скорость распространения вредоносных программ является настоящим вызовом для бизнеса; к тому времени, когда новая частичка вредоносного кода обнаружится и проанализируется, большое количество компьютеров или сетей будет инфицировано.

С другой стороны, индустрия безопасности IT–инфраструктуры в целях решения обостряющейся проблемы защиты сетей и устройств осуществляет значительные инвестиции в развитие технологий машинного обучения (МО) и искусственного интеллекта (ИИ).

Технология МО предполагает проведение анализа тысячи и тысячи разрозненных частичек данных и со временем, по мере «обучения», обретает способность отличать вредоносный код от нормального кода. Структура МО также предполагает, что технологические решения по безопасности IT–систем предусматривают возможность обучения обнаружению вероятного вредоносного кода даже в том случае, когда данный код является абсолютно новым или измененной частичкой кода. И эти технологические решения являются критически важными для современной IT–среды, в которой новые частички вредоносного кода создаются довольно часто.

Бизнес с перспективным видением уже осознал ценность машинного обучения для обеспечения безопасности IT–систем. По информации недавно проведенного исследования, почти половина компаний (47%) уже осуществили деплой решений МО, а 23% компаний занимаются пилотными проектами. В исследовании отмечено, что ключевой проблемой для 31% компаний, в которых системы обнаружения основаны на проверке подписей, являются вредоносные программы, против которых еще не разработана защита, а также новые или неизвестные неустраненные уязвимости. Около 29% компаний считают основным вопросом в безопасности IT–инфраструктуры является обеспечение защиты от безфайловых атак, использующих вредоносный контент. На долю компаний, по мнению которых защита от троянов–вымогателей является первостепенной задачей безопасности, приходится 23%.

Машинное обучение и качество данных

Решения МО не могут быть оперативно развернуты в живой среде IT–инфраструктуры. Технология машинного обучения предполагает до осуществления деплоя машин проведение сбора, анализа и обработки огромного массива данных с тем, чтобы в процессе «вживления» в окружающую IT–среду, время не тратилось на обучение машин методам обнаружения различий между нормальным и вредоносным кодом.

Hilary Sanders, эксперт по аналитическим данным компании Sophos, подчеркивает, что без наличия данных у бизнеса не будет хорошей модели машинного обучения. Он отметил, что его компания получает данные, которые были сгенерированы старой, основанной на проверке подписей, системой безопасности, а также от аналитиков. По словам Hilary Sanders, компания уже создала массивную базу данных нормальных и вредоносных файлов, и Sophos использует этот массив для обучения машин до их деплоя.

Данные являются товаром, за который борются вендоры систем безопасности. Всеобъемлющая, полная и обширная база данных обеспечивает более высокую эффективность решений машинного обучения в обнаружении угроз в режиме реального времени.

Для компании Sophos решения МО являются значительной частью ее будущего. В начале текущего года Sophos приобрела за $100 млн. компанию Invincea, которая являлась вендором систем безопасности на основе машинного обучения и занималась разработкой решений для борьбы с неустановленными угрозами, получившими широкое распространение во Всемирной сети.

Kris Hagerman, главный исполнительный директор компании Sophos, отметил, что Invincea занимает лидирующие позиции на рынке систем обнаружения угроз, которые основаны на технологии МО. По мнению Kris Hagerman, компания Invincea усилит разрабатываемые Sophos системы безопасности следующего поколения с дополнительной предиктивной защитой.

Компания Sophos уже разработала комплекс эффективных продуктов с использованием технологий машинного обучения. Технологии МО имеют одну важную дополнительную особенность и преимущество – они не требует наличия у пользователя специфических навыков или прохождения специализированных тренингов. Например, предлагаемый компаний Sophos продукт –XG Firewall способен блокировать неизвестные угрозы, автоматически реагировать на инциденты и скрытые риски, при этом обеспечивая пользователя абсолютной транспарентностью и легко управляемым центром контроля. Другой продукт компании – Sophos Sandstorm, являясь облачным сервисом, который совместим с другими файрволами, веб–и e–mail приложениями, предоставляет дополнительную защиту, разработанную на основе МО. Так же облачный сервис позволяет пользователям управлять приложением, работая с партнерами дистанционно.

Только технологии машинного обучения могут сканировать новые файлы и определять, являются ли они вредоносными или нет. МО не заменит существующие методы и подходы к обеспечению безопасности IT–инфраструктуры, но с увеличением скорости распространения атак, на которые трудно реагировать и предотвращать до их проникновения и инфицирования IT–систем, машинное обучение будет лучшей и перспективной защитой бизнеса.