Будущее машинного обучения в кибербезопасности

Сегодня машинное обучение (ML) широко используется практически во всех секторах IT. И, хотя им часто пользуются для осмысления больших данных — для повышения эффективности бизнес-процессов, а также для помощи в прогнозировании — оно оказалось бесценным также и в других приложениях, включая кибербезопасность.

Потребность в машинном обучении связана со сложностью процессов. Многие организации сегодня обзавелись всё более растущим числом устройств Интернета вещей (IoT), которые им не все известны или управляются IT-специалистами. Все данные и приложения не работают локально, поскольку гибридные и многооблачные среды сегодня стали нормой. Пользователи больше не находятся в основном в офисе, так как удалённая работа широко распространена.

Не так давно предприятия часто полагались на обнаружение вредоносных программ на основе сигнатур, статические правила брандмауэра для сетевого трафика и списки контроля доступа (ACL) для определения политик безопасности. В мире с большим количеством устройств, в большем количестве мест, чем когда-либо, старые способы обнаружения потенциальных угроз безопасности не в состоянии идти в ногу с масштабом и сложностью.

На основе ML система может затем выявлять тенденции, аномалии, давать рекомендации и, в конечном итоге, выполнять действия. Для решения всех новых проблем безопасности, с которыми сталкиваются организации, существует очевидная потребность в ML. Только ML может решить растущее число проблем в области кибербезопасности: масштабирование решений безопасности, обнаружение неизвестных атак и обнаружение сложных атак, включая полиморфное вредоносное ПО. Усовершенствованное вредоносное ПО может изменять форму, чтобы избежать обнаружения, а использование традиционного подхода, основанного на сигнатурах, очень затрудняет обнаружение таких сложных атак. ML оказывается лучшим решением для борьбы с ним.

ML хорошо изучено и широко используется во многих областях. Среди самых популярных — обработка изображений для распознавания и обработка естественного языка (NLP), помогающая понять, что говорит человек или фрагмент текста.

Кибербезопасность в некоторых отношениях отличается от других вариантов использования ML.

Использование ML в кибербезопасности сопряжено со своими проблемами и требованиями. Вот три уникальные проблемы для применения машинного обучения в кибербезопасности:

• Вызов 1: Гораздо более высокие требования к точности. Например, если вы просто выполняете обработку изображений, а система ошибочно принимает собаку за кошку, это может раздражать, но, скорее всего, не повлияет на жизнь или смерть. Если система машинного обучения ошибочно примет мошеннический пакет данных за подлинный, что приведёт к атаке на больницу и её устройства, последствия неправильной категоризации могут быть серьёзными.

• Вызов 2: Доступ к большому количеству обучающих данных, особенно размеченных данных ML, требует большого объёма данных, чтобы сделать модели и прогнозы более точными. Получение образцов вредоносных программ намного сложнее, чем получение данных при обработке изображений и НЛП. Многие данные об угрозах безопасности являются конфиденциальными и недоступными из соображений конфиденциальности.

• Вызов 3: В отличие от изображений, основная правда о кибербезопасности не всегда может быть доступна или исправлена. Ландшафт кибербезопасности динамичен и постоянно меняется. Ни одна база данных вредоносных программ не может претендовать на охват всех вредоносных программ в мире. Какова основная истина, с которой мы должны сравнить данные, чтобы определить нашу точность?

Существуют и другие проблемы, общие для ML во всех секторах, но более серьёзные для ML в кибербезопасности:

• Вызов 1: Объяснимость моделей ML. Всестороннее понимание результатов ML имеет решающее значение для нашей способности предпринимать правильные действия.

• Вызов 2: Нехватка талантов. Мы должны сочетать знание предметной области с опытом ML, чтобы ML было эффективным в любой области. Трудно найти специалистов, которые разбираются и в ML, и в безопасности.

• Вызов 3: Безопасность ML. Машинное обучение может интеллектуально выявлять ранее неизвестные формы вредоносных программ и атак, помогая защитить организации от потенциальных атак нулевого дня. Машинное обучение может делать то, что не могут люди, обеспечивая автоматизацию для масштабного анализа.

Поскольку каждый день в сети появляется всё больше устройств и угроз, а ресурсов для обеспечения безопасности людей не хватает, только машинное обучение может сортировать сложные ситуации и сценарии в масштабе, чтобы организации могли решать задачи кибербезопасности сейчас и в будущем.

Подписывайтесь на журнал «Вестник ГЛОНАСС» и навигационный Telegram-канал