Журнал "Системы Безопасности" № 4‘2020

Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я : A I , У М Н Ы Й Г О Р О Д , I o T 34 П рикладывая пропуск к считывающему устройству на входе в офисное здание, мы редко задумываемся о том, что в этот же момент через проходную войдет еще десяток человек, что единовременно система контроля управле- ния доступом (СКУД) считывает информацию с каждого пропуска, фиксирует факты перемеще- ния через контрольные точки, разрешает либо отклоняет доступ, обрабатывает сотни запросов. Однако подчас получают развитие опасные сце- нарии, от перехвата персональных данных для компрометации или создания клона до уничто- жения информации из системы. Традиционные инструменты защиты В каждой организации есть множество систем, собирающих и обрабатывающих информацию, – серверы, автоматизированные рабочие места, сетевое оборудование, программное обеспече- ние с установленными средствами защиты. Спе- циалисты информационной безопасности еже- дневно работают с множеством программных и технических инструментов, которые непре- рывно собирают логи со всех систем. Среди всего многообразия инструментов для защиты можно выделить следующие классы: l DLP-системы, предотвращающие утечки информации из внутреннего периметра ком- пании; l IPS-/IDS-системы для обнаружения и пред- отвращения вторжений на уровне сети; l комплексы WAF и межсетевые экраны, скани- рующие сетевой трафик веб-приложений и блокирующие нелегитимный трафик; l антиспам-системы для сканирования почто- вого трафика и защиты электронной почты от спама и вирусов; l журналы событий серверов и рабочих стан- ций для контроля доступа, обеспечения непрерывности, соблюдения политик инфор- мационной безопасности; l антивирусное ПО – программы для обнару- жения и профилактики вирусов в файловой или операционной системе, а также другие. В целом эти инструменты справляются с локаль- ными задачами. Но что делать, когда информа- ции слишком много? Вручную поток разнород- ной информации не обработать, а предотвра- тить угрозы необходимо. В таком случае обра- ботку данных берут на себя инструменты машинного интеллекта в комплексных системах анализа данных. Давайте попробуем разобраться, какие методы интеллектуального анализа существуют в информационной безопасности и для чего они применяются. Методы анализа данных в системе информационной безопасности Самый простой метод – сопоставление данных, или классификация. К примеру, сотрудникам информационной безопасности необходимо сопоставить количество правильных и непра- вильных попыток ввода логина и пароля. Зачем? Чтобы сформировать диапазон показателя, счи- тающийся нормой. Впоследствии на основе этого анализа действия пользователей делятся на классы, например "некритичные", "подозри- тельные" и "критичные". Этот метод помогает выявлять факты попыток перебора паролей. Инструменты для формирования интеллектуаль- ного анализа создать несложно. Вся информа- ция хранится в базах данных, и простой скрипт поможет нам отслеживать подозрительные моменты, зафиксированные системой. Метод, при котором мы сверяем пару сопостав- лений, сложнее и требует глубокого анализа. К примеру, специалистам информационной безопасности необходимо не только опреде- лить, сколько раз в сутки каждый сотрудник проходит через контрольную точку, но и прове- сти сравнительный анализ с другими сотрудни- ками компании, чтобы вычислить среднюю норму по пропускным пунктам. Инструменты для такого анализа тоже несложно построить. В базе хранятся все данные, которые нужно правильно извлечь с помощью специализиро- ванного ПО или скриптов в автоматическом режиме. Уровень сложности скриптов растет вместе с требованием более глубокого анализа систем безопасности организации. Соответ- ственно, методы такого анализа тоже пропор- ционально усложняются. Появляются такие методы, как кластеризация, ассоциация, после- довательность, визуализация и др. Один из самых сложных методов – прогнозная модель – предполагает построение потенциаль- ных сценариев событий информационной без- опасности. Прогнозная модель основывается на опыте сотрудников службы информационной безопасности, а инструментом для ее реализа- ции является специализированное ПО. В каких случаях поможет этот метод? Например, для защиты от взлома личных аккаунтов. Каждый понимает, что человек физически не может вве- сти пароль 10 раз в течение трех секунд, не используя специализированные программы. Система распознает эти действия как попытку компрометации данных и ее блокирует. Однако возможен вариант, когда злоумышленник будет подбирать пароль каждые 15 минут по два раза. В этом случае зафиксировать попытку перебора практически невозможно. Необходим более глубокий анализ для интерпретации события, например, с помощью специализиро- ванного ПО, работающего на основе правил корреляций. Это и есть частный случай реали- зации прогнозных моделей. Описанные методы вместе с другими инстру- ментами используются в комплексных системах аналитики, например SIEM-системах (Security Information and Event Management), которые агрегируют данные из всех ИБ-инструментов в организации и, таким образом, могут охва- тить наиболее уязвимые, незащищенные места в ПО – там, где заканчивается работа одного локального инструмента и начинается работа другого. Как устроена умная комплексная защита Когда SIEM-система получает данные из всех источников, она переводит их с языка машины на "человеческий" для последующего анализа и написания правил, учитывающих более глубо- кую проработку инцидентов. При срабатывании таких правил система моментально оповестит специалиста, и он сможет оперативно среагиро- вать на инциденты информационной безопасно- сти, а в будущем выстроить новые взаимосвязи между показателями. Так интеллектуальный машинный анализ помогает находить уникальную пользу в данных, которые производятся десятка- ми различных систем защиты информации. Можно сказать, что SIEM-система является сред- ством интеллектуального анализа данных, кото- рое позволяет агрегировать и анализировать данные, предоставлять консолидированные отчеты и статистику службе информационной безопасности, а также помогает выстраивать индивидуальную систему информационной без- опасности в соответствии с особенностями орга- низации и ее требованиями. Система интегриру- ется с инфраструктурой безопасности и позво- август – сентябрь 2020 www.secuteck.ru Мурад Мустафаев Руководитель службы информационной безопасности компании "Онланта" (ГК ЛАНИТ) Искусственный интеллект для эффективной системы безопасности Какие инструменты защиты используются сегодня специалистами информационной безопасности? Справляются ли они со своими задачами и когда необходимо под- ключать более сильное оружие – искусственный интеллект? Какова роль человека при использовании искусственного интеллекта? В данной статье вы найдете ответы на эти и другие вопросы по ИБ