Почему глубокое обучение должно стать новым стандартом в сфере кибербезопасности?

Применение глубокого обучения в сфере кибербезопасности имеет множество преимуществ, таких как прогнозирование неизвестных угроз и классификация с нулевым временем реакции. Но смогут ли в обозримом будущем решения кибербезопасности совершить переход от машинного обучения к глубокому обучению?

Использование глубокого обучения в пространстве кибербезопасности — относительно новая тенденция. И у такого подхода есть потенциал для качественной трансформации существующей модели информационной безопасности, которая все меньше отвечает ожиданиям рынка. Ведь существующие решения не способны предвидеть новые атаки до того, как они проникнут в сеть или устройства организации.

Нейронные модели с глубоким обучением могут предсказывать новые варианты существующих кибератак, которые могут начаться в любой момент, в то время как большинство текущих решений на рынке должны сразу обнаруживать зараженные системы или аномалии, а лишь затем начать действовать — сдерживать и устранять их. Образно говоря, кибербезопасность сталкивается с «короновирусной угрозой» каждый день. Но существующим решениям необходимо дождаться, пока что-то произойдет, прежде чем на это реагировать. Это дорого и недостаточно надежно.

Технология глубокого обучения, являющаяся подмножеством алгоритмов машинного обучения (которое само по себе является подмножеством алгоритмов искусственного интеллекта), может предсказывать известные и неизвестные кибератаки в режиме реального времени и защищать от них организации, одновременно устраняя проблему ложных срабатываний. Это кардинально меняет подход к тому, как компании создают и управляют своим стеком кибербезопасности.

Кроме того, многие существующие традиционные решения могут защищать только определенные домены или операционные системы (например, один поставщик для Windows, другой — для Android). Единая платформа, способная справиться с любой угрозой в любое время, будет гораздо более жизнеспособной.

Но прежде чем углубляться в тему преимуществ использования глубокого обучения для кибербезопасности, давайте разберемся, почему существующая модель кибербезопасности перестала отвечать потребностям рынка.

Почему существующая модель кибербезопасности поломана?

Согласно данным исследовательской компании Statista, за последние 10 лет количество инцидентов, связанных с утечкой данных в результате успешно реализованных запланированных кибератак на базы данных организаций выросло вдвое, а количество похищенных файлов и учетных записей достигло 446,5 миллиона/год во время своего пика в 2018 году. Проблема усугубляется тем, что все это происходит несмотря на стабильный рост инвестиций в кибербезопасность на уровне 30 %. А исследователи Gartner прогнозируют, что рынок кибербезопасности продолжит свой рост в обозримом будущем и достигнет стоимости 248,6 млрд долларов к 2023 году.

Рис 1. За последние 10 лет количество инцидентов, связанных с утечкой данных в результате успешно реализованных кибератак на базы данных организаций выросло вдвое

Эти цифры говорят, что что-то определенно не так. Но что именно?

1. Объем. Ежедневно создается более 350 000 новых вредоносных программ (в основном отдельными людьми на отдельных машинах). Любой человек даже обладая минимальными знаниями в этой области может легко изменить существующее вредоносное ПО и создать совершенно новую кибератаку. Такие масштабы ошеломляют.
2. Основной вопрос «когда», а не «если». Согласно опросу, проведенному институтом Понемона (Ponemon Institute) в 2018 году, 67% опрошенных ИТ-директоров были уверенны, что в течение года они столкнутся с проблемой утечки данных или кибератакой, но никто из них не имел даже приблизительного представления о том, когда именно и как это произойдет.
3. Стоимость. Согласно оценкам, серьезное нарушение кибербезопасности может обойтись предприятиям от 40 до 350 миллионов долларов.
4. Нехватка навыков и человеческих ресурсов в сфере кибербезопасности. 69% организаций заявляют, что их группы по кибербезопасности недоукомплектованы, а по состоянию на начало 2021 году в отрасли существовало 3,5 миллиона незаполненных вакансий.
5. Сложность кибератак. Уровень изощренности и сложности кибератак постоянно растет. Более того, вредоносные программы на основе искусственного интеллекта и состязательного обучения (способ обучения нейронной сети как на базе модели машинного обучения, так и модели глубокого обучения, при которой атакуется другая нейронная сеть) также начинают угрожать сетям компаний по всему миру.

Глубокое обучение в области кибербезопасности: возможно ли обнаружение и предотвращение угроз в режиме реальном времени?

Используя алгоритм нейронной сети с глубоким обучением, организации могут обнаруживать и предотвращать известные и неизвестные угрозы кибербезопасности в режиме реального времени. Так, например, представители компания Deep Instinct, которая является пионером применения глубокого обучения в области кибербезопасности, утверждают, что время, необходимое их решению для анализа файла до того, как пользователь даже нажмет на него, составляет 20 миллисекунд. При этом система никогда раньше не видела этот файл, чтобы успеть оценить заранее, вредоносен он или нет. Еще через 50 миллисекунд система кибербезопасности на основе глубокого обучения сможет сообщить, откуда произошла атака и какая именно это атака. И все это происходит автономно, то есть без какого-либо участия человека в процессе. Таким образом, общее время, необходимое для обнаружения, сдерживания и устранения кибератаки, составляет менее минуты.

Рис 2. Используя алгоритм нейронной сети с глубоким обучением, организации могут обнаруживать и предотвращать известные и неизвестные угрозы кибербезопасности в режиме реального времени

Их слова подтверждают в SE Labs, которые протестировали решение и обнаружили, что оно имеет 100 % оценку предотвращения с 0 % ложных срабатываний (когда система отмечает уязвимость безопасности, которой на самом деле нет).

А компания HP, которая является инвестором и стратегическим партнером Deep Instinct, настолько доверяет новой разработке, что устанавливает эту технологию во всех ноутбуках, которые они продают на корпоративном рынке.

Преимущества использования глубокого обучения в области кибербезопасности:

• Прогнозирование неизвестных угроз.
• Прогнозирование и обнаружение угроз в режиме реального времени.
• Классификация угроз в режиме реального времени.
• Работает на любом устройстве и операционной системе.
• Не зависит от наличия соединения (периферийное развертывание).

Глубокое обучение vs Машинного обучения

Рис 3. Глубокое обучение — это подкатегория семейства алгоритмов в рамках машинного обучения, а машинное обучение — это широкий набор алгоритмов в рамках искусственного интеллекта

Глубокое обучение — это подкатегория семейства алгоритмов в рамках машинного обучения, а машинное обучение — это широкий набор алгоритмов в рамках искусственного интеллекта.

Все говорят об искусственном интеллекте, но он существует уже очень много лет. Можно определить данную технологию, как систему, которая имитирует человеческий интеллект, принимая решения. Тем не менее, существует много форм проявления человеческого интеллекта. Например, следуя простейшей логике человека, если вы выполните действие «а», то произойдет событие «б» — и очень многие системы используют этот тип принятия решений на основе правил. В рамках такого простейшего определения искусственный интеллект уже давно является нормой.

Машинное обучение было разработано в 80-х годах прошлого века. В этом случае алгоритмы могут учиться на наборах данных и принимать в дальнейшем решения на основе этих знаний.

И тем не менее, машинное обучение было не способно полностью решать сложные проблемы, так как во многом опиралось на человеческий фактор. Существующие ограничения были связаны с используемыми данным (анализируется менее 2% имеющихся данных), человеком (в виде отсутствия необходимых знаний и опыта), противниками (условия изменяются, как изменяются и растущие кибератаки), а также величиной выборки данных. Пока 10 лет назад не появились нейронные сети с глубоким обучением. Во многом это стало возможным благодаря развитию графических процессоров (GPU).

Есть еще один очень важный момент, который стоит упомянуть в разрезе кибербезопасности. Это то, что злоумышленники могут скрыть вредоносные функции с помощью таких вещей, как шифрование, способом известным как обфускация функции.

В этом случае сквозная структура глубокого обучения — единственный алгоритм в семействе искусственного интеллекта, который без участия человека может анализировать и делать предположения на основе всех необработанных данных.

Решения для глубокого обучения обеспечивают точность более 99 % с неизвестными вредоносными программами при 0,0001 % ложных срабатываний. Решения на основе традиционного машинного обучения обеспечивают точность порядка 50-70 % с неизвестными вредоносными программами при 1-2 % ложных срабатываний.

Распространение глубокого обучения в реальных решениях:

• Компьютерное зрение: 98 % глубокое обучение, 2 % традиционное машинное обучение.
• Распознавание речи: 80 % глубокое обучение, 20 % традиционное машинное обучение.
• Понимание текста: 65 % глубокое обучение, 35 % традиционное машинное обучение.
• Кибербезопасность: 2 % глубокое обучение, 98 % традиционное машинное обучение.

Сквозное глубокое обучение для кибербезопасности

Сквозная структура глубокого обучения может предсказывать мутации существующих вредоносных программ и предотвращать их в режиме реального времени, прежде чем воздействие можно будет почувствовать на устройстве или в сети.

Но на данный момент существует ряд проблем, препятствующих развитию этой технологии в сфере кибербезопасности. И главная из них заключается в критической нехватке специалистов, которые могут создавать алгоритмы глубокого обучения. Даже студентов после университетов мгновенно сметают крупные компании, такие как Baidu (распознавание речи) и Google (обработка текстов на естественном языке (Natural Language Processing, NLP)).

Вступайте в Telegram канал проекта NetworkGuru, чтобы не пропустить интересные статьи и вебинары.

Появились вопросы или нужна консультация? Обращайтесь!

Вечный параноик, Антон Кочуков.