Журнал "Information Security/ Информационная безопасность" #3, 2023

ние технологии ИИ для подготовки и повышения квалификации сотрудников позволяет компаниям выстраивать эффективные бизнес-процессы, экономя ресурсы. Например, алгоритмы прогно- зирования карьерных перспектив помо- гают выявлять амбициозных сотрудни- ков, готовых к повышению, или тех, кто планирует увольняться. Екатерина Вайц, МГТУ им. Н.Э. Баумана: 1. Автоматизация процесса определе- ния поверхности атаки. 2. Автоматическая оценка качества ведения фаззинг-тестирования на основе суммы всех факторов: покрытия кода, стабильности, выставленных аннотаций и т.д. 3. Автонаписание машиночитаемых аннотаций. 4. Автоматическое написание фаз- зинг-оберток. Иван Панченко, Постгрес Профессиональный: В этом вопросе мы не будем бежать впереди паровоза, хотя тема, скорее всего, перспективная. Обнаруживать похожие на ошибки фрагменты кода ИИ сможет. А вот надежно устранять их – вряд ли. Впрочем, будущее покажет. Сергей Груздев, Аладдин Р.Д.: ИИ будет развиваться в сторону авто- матизации большого объема рутинных операций в интересах инженеров ИБ, выполнение сложных задач будет уско- ряться. Вреда в этом нет. Валерий Богдашов, R-Vision: Инструменты на базе искусственного интеллекта смогут помочь обогащать данные по найденным уязвимостям и повысить производительность коман- ды, например более точно прогнозиро- вать достижение атакующим уязвимого кода и обеспечить AppSec-специалисту возможность более быстро обойти фильтры при верификации и тестирова- нии потенциальной уязвимости. Однако стоит учитывать, что ИИ – не панацея и он способен выдавать неверные реше- ния или пропускать уязвимости. Владимир Пономарев, Гарда Технологии: Надеюсь, что скоро мы увидим прорыв в статическом анализе в части разметки предупреждений. Впрочем, важно пони- мать, что ИИ добавит (и уже добавил) новые риски безопасности, у нас их пока не обсуждают широко. Как дока- зать, что используемая в вашем про- дукте предобученная нейронная сеть безопасна? Чему еще ее научили и зачем? Нужны новые методы: стати- ческий анализ и фаззинг тут бесполезны. Эта задача носит скорее научный харак- тер, и я пока не видел полноценных под- ходов к ее решению. Александр Дубинин, YADRO: ИИ – средство автоматизации, избав- ляющее от огромного количества рутин- ной работы, оставляющее больше места для работы более творческой. ИИ уже присутствует в AppSec, и его будет там все больше. Но любой инструмент нужно уметь правильно использовать, поэтому ИИ не заменяет эксперта. Роман Карпов, Axiom JDK: ИИ может быть использован в реше- нии задач, требующих применения эври- стических алгоритмов. Например, при оценке схожести некоторых объектов использование ИИ будет хорошим допол- нением к сигнатурному анализу. Сергей Сергеев, КСБ-СОФТ: Мы считаем, что ИИ мог бы использо- ваться для автоматического обнаруже- ния уязвимостей приложений и быстрого реагирования на атаки. Это позволило бы снизить затраты на безопасность, а также сократить время на выявление и устранение уязвимостей. Кроме того, хочется верить, что ИИ сможет анали- зировать логи приложений для обнару- жения зарождающейся атаки. В этом случае ИИ значительно сократит время реакции на угрозы безопасности. Сергей Трандин, Базальт СПО: ИИ в AppSec позволит в значительной степени упростить массовую трудоемкую работу по первоначальному анализу исходного кода и результатов работы инструментария. Но без квалифициро- ванных специалистов ИИ невозможен, и заменить им на 100% людей в AppSec в ближайшей перспективе маловеро- ятно. Сергей Деев, МТС RED: Назрела необходимость обновления основного стандарта в области ИТ и ИБ ГОСТ Р 56939–2016. Принятый в 2016 г., он привнес в практику раз- работки в России строго определенные термины из области безопасной раз- работки, и в этом его большая заслуга. Он сделал возможным выставление требований к безопасной разработке в стране для разных групп организаций через НПА. Однако он основан на уже устаревших практиках разработки, поэтому в современных реалиях тре- буется сформулировать принципиаль- но новые подходы, в частности, к оцен- ке уязвимостей в ПО. Правок назрело множество. Например, было бы полез- но закрепить в стандарте понятие автоматизации процессов безопасной разработки. При этом требования к безопасности ПО необходимо сфор- мулировать так, чтобы они не проти- воречили важным для бизнеса про- цессам, они должны быть выполнимы- ми и финансово по силам компаниям. Например, для объектов КИИ нужны более строгие требования к безопас- ности процессов разработки, чем для небольших стартапов, для которых можно разработать минимальные тре- бования соответствия. Карина Нападовская, Лаборатория Касперского: Из интересного отмечу, конечно же, новую редакцию ГОСТа по безопасной разработке, подготовленную "Лабора- торией Касперского". Мы очень поста- рались отойти от привычного стиля напи- сания документов, не подгоняли ГОСТ под текущую ситуацию, а нарисовали идеальную картину мира. До соответ- ствия этой картине всем предстоит активно работать, и нам в том числе. Это и интересно: постоянное развитие! Чего явно не хватает, так это аттестации специалистов в области безопасной раз- работки. Я уверена, что такие специа- листы сейчас на вес золота. Мы должны работать в этом направлении, и все будет. Алексей Смирнов, CodeScoring: В нормативке важно, чтобы были стандарты, на которые можно опе- реться. Нужны четкие и понятные материалы с актуальной терминоло- гией, отражающие потребности рынка безопасной разработки. Мы видим, что ФСТЭК России активно работает с сообществом и позволяет активно участвовать в создании и проработке таких документов. Уверен, что скоро мы увидим качественные и полезные результаты для всех участников рынка. Борис Позин, ЕС-лизинг: Нормативка в обсужаемой области довольно новая. Думаю, нужно ее системно применять и выявлять нехватку по мере применения. Сергей Груздев, Аладдин Р.Д.: По динамическому и статическому анализу регуляторика находится сей- час в активной разработке, мы очень сильно ждем ее утверждение и согла- сование. Из тех правил, которые утверждены и работают, я отмечу рег- ламентирование использования таких инструментов, как фаззинг-тестиро- вание, регрессионный анализ, функ- циональное тестирование. Упомянутые нормы закреплены еще в приказе ФСТЭК России № 76 от 02.06.2020 г. И конечно, стоит отметить принятые Что в актуальной нормативке вам кажется самым интересным, пусть и тяжелым? Что, на ваш взгляд, в нормативку явно стоит добавить? 54 • СПЕЦПРОЕКТ