Интеллектуальные системы как вектор развития информационной безопасности предприятия Текст научной статьи по специальности «Компьютерные и информационные науки»

ИНТЕЛЛЕКТУАЛЬНЫЕ СИСТЕМЫ КАК ВЕКТОР РАЗВИТИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

INTELLIGENT SYSTEMS AS A VECTOR OF ENTERPRISE INFORMATION SECURITY DEVELOPMENT

УДК 004.056 : 004 .8 DOI: 10.25631/PEJ.2020.1.147.154

ГНИДЕНКО Ирина Геннадиевна

доцент кафедры вычислительных систем и программирования Санкт-Петербургского государственного экономического университета, кандидат экономических наук, доцент, gir_608@mail.ru

GNIDENKO, Irina Gennad'evna

Associate Professor, Department of Computer Systems and Programming, Saint Petersburg State University of Economics, Candidate of Economic Sciences, Associate Professor, gir_608@mail.ru

ЕГОРОВА Ирина Владимировна

доцент кафедры вычислительных систем и программирования Санкт-Петербургского государственного экономического университета, кандидат экономических наук, доцент, egorova1363@mail.ru

EGOROVA, Irina Vladimirovna

Associate Professor, Department of Computer Systems and Programming, Saint Petersburg State University of Economics, Candidate of Economic Sciences, Associate Professor, egorova1363@mail.ru

МЕРДИНА Ольга Дмитриевна

доцент кафедры вычислительных систем и программирования Санкт-Петербургского государственного экономического университета, кандидат экономических наук, доцент, oldmmer@gmail.com

MERDINA, Olga Dmitrievna

Associate Professor, Department of Computer Systems and Programming, Saint Petersburg State University of Economics, Candidate of Economic Sciences, Associate Professor, oldmmer@gmail.com

Аннотация.

В статье сделана попытка разобраться в том, насколько оправдано применение методов искусственного интеллекта для обеспечения информационной безопасности экономических субъектов в настоящее время. Приведен перечень методов искусственного интеллекта. Описаны основные сферы возможного их использования для обеспечения информационной безопасности хозяйствующих субъектов. Авторами предлагается использовать класс эвристических методов для разработки антивирусного программного обеспечения информационной безопасности хозяйствующих субъектов. Интеллектуальные системы являются основным вектором развития информационной безопасности предприятия.

© Гниденко И. Г, Егорова И. В., Мердина О. Д., 2020.

Ключевые слова: искусственный интеллект, информационная безопасность, методы искусственного интеллекта, эвристические методы, ки-беругрозы, антивирусное программное обеспечение.

Abstract.

The article attempts to understand how justified the use of artificial intelligence methods to ensure information security of economic entities at the present time. The list of artificial intelligence methods is given. The main areas of their possible use for information security of economic entities are described. The authors suggest using a class of heuristic methods for developing antivirus software for information security of economic entities. Intelligent systems are the main vector of enterprise information security development.

Key words: artificial intelligence, information security, artificial intelligence methods, heuristic methods, cyber threats, antivirus software.

Экономическое развитие страны тесно связано с внедрением и развитием новых информационных технологий. Одним из важнейших условий эффективного развития страны и общества в целом является цифровизация экономики.

Новые средства и возможности анализа информационной безопасности являются важнейшими технологиями в условиях цифровой экономики.

В последнее время появилось много публикаций о возможности применения методов искусственного интеллекта как для повышения уровня безопасности компьютерных систем, так и для отражения хакерских атак.

Под искусственным интеллектом, с точки зрения авторов, понимается возможность системы выполнять ряд функций, традиционно связанных с человеческим разумом. В частности, способность к самообучению, к принятию решений, основанных на изучении ранее полученного опыта, в том числе и в экономической деятельности хозяйствующих субъектов.

Нет сомнений, что сфера применения методов искусственного интеллекта будет расширяться. Интересно оценить, какие преимущества может обеспечить этот подход в данный момент применительно к информационной безопасности автоматизированных систем предприятия, так как исследования в

этой области не закончены и, вероятно, далеки от своего завершения.

Прежде всего, отметим, что за термином «искусственный интеллект» стоит несколько разнородных технологий и подходов.

Например, традиционно к методам искусственного интеллекта относят [1]:

• экспертные системы, основанные на правилах. Такие системы имеют узкую направленность. Перед использованием экспертной системы правила должны быть «извлечены» и сохранены в базе знаний. Процесс извлечения знаний предполагает привлечение наиболее компетентных специалистов в той области, в которой предполагается применять экспертную систему. Эксперты, при помощи специалиста в области разработки экспертных систем, должны сформулировать правила поведения системы на основе собственного опыта;

• эволюционные вычисления. Эти системы охватывают круг теоретических и практических задач, связанных с использованием моделей автономного поведения, а также самосборки, самоконфигурирования и самовосстановления систем, состоящих из множества взаимосвязанных и совместно функционирующих узлов;

• причинно-следственные сети (байесовские сети доверия). Эти сети применяются

для моделирования ситуаций, содержащих неопределенность, в которых случайные события соединены причинно-следственными связями. С математической точки зрения, байесовская сеть представляет собой графическую модель, где узлы - это события, а дуги - возможные связи между событиями;

• нейронные сети. Это направление искусственного интеллекта связано с моделированием работы человеческого мозга. Исследования работы мозга привели к созданию модели его работы на основе нейронных сетей. Нейронные сети объясняют способность человека к обучению и самообучению. Нейронные сети могут быть успешно смоделированы на современных компьютерах, что позволяет создавать самообучающиеся компьютерные программы;

• системы нечеткой логики. В этих системах моделируется обработка лингвистических переменных, т. е. высказываний на естественном языке. При работе системы используется аппарат алгебры и правила логического вывода, установленные экспертом [1].

Постоянно возрастающее количество угроз информационной безопасности и связанные с этим потери делают проблему обеспечения информационной безопасности все более актуальной. Так, в 2018 г. убытки компаний от кибератак составили 1,5 трлн долл., а в 2019 г. (по данным Сбербанка) они достигли 2,5 трлн долл. К 2022 г., по прогнозу Всемирного экономического форума, сумма ущерба от кибератак может вырасти до 8 трлн долл. [2].

В эпоху цифровой экономики информация является ценнейшим ресурсом. Статистика показывает, что по мере роста цифрового бизнеса риск кибератак экспоненциально возрастает. По данным одной из крупнейших в мире консалтинговых компаний в сфере менеджмента и информационных технологий Capgemini, 21% опрошенных ею компаний заявили, что в 2018 г. их организация столкнулась с нарушением кибербезопасности, что привело к несанкционированному доступу к их корпоративным данным [3].

Соответственно 20% компаний сообщают о потерях, связанных с нарушением кибер-безопасности, в размере более 50 млн долл.

Причем большая часть всех нарушений (74%) связана с доступом к привилегированной учетной записи. Это говорит о том, что целью киберпреступников является целенаправленный поиск учетных записей, обладающих максимальным количеством прав, что позволяет глубоко проникнуть в информационную систему и осуществить хищение ценной информации [3].

В то время, как для проникновения и компрометации информационной системы кибер-преступникам бывает достаточно нескольких часов, а иногда и минут, обнаружение и блокирование угроз, как правило, требует значительно большего времени.

По данным компании IDG Research, около 18% новых вредоносных программ остаются необнаруженными в течение первых 24 часов, а 2% не обнаруживаются и спустя три месяца после первых случаев заражения [3].

Время обнаружения угроз и реакции на них со стороны системы обеспечения кибербезо-пасности показано на рисунках 1-3.

Аналитики в области кибербезопасно-сти делают все возможное - быстро изучают новые угрозы, выпускают средства для защиты от них, которые оперативно распространяются. Однако факт остается фактом: в промежутке между первой атакой и появлением соответствующего средства противодействия пользователи остаются беззащитными. Поэтому весьма актуальным является поиск средств отражения именно неизвестных атак.

Использование методов искусственного интеллекта может повысить уровень безопасности информационных систем. Методы искусственного интеллекта могут использоваться для быстрого обнаружения угроз, что повышает защищенность информационной системы. Использование интеллектуальных технологий повышает уровень обнаружения угроз, сокращая время реакции и совершенствуя техники, способные различать реальные попытки преодоления периметра безопасности информационной системы и действия, которые могут быть проигнорированы в связи с отсутствием риска с их стороны.

Годы

Месяцы г _ ¡па! п I.

53%

Рисунок 1

Время от начала атаки до первого взлома [4]

Секунды

_ О%

Недели 19%

Рисунок 2

Время от первого взлома до обнаружения атаки [4]

Интеллектуальный анализ данных является основой технологий UEBA (User and Entity Behavior Analytics). Данные технологии позволяют выявлять различные аномалии в поведении пользователя в корпоративной си-

стеме. Например, потенциально злонамеренные активности, которые в дальнейшем могут привести к ущербу для организации.

Можно выделить следующие основные сферы применения методов искусственно-

Рисунок 3

Время от обнаружения атаки до ее нейтрализации [4]

го интеллекта в области информационной безопасности [5]:

• быстрое распознавание угроз;

• оптимизация процесса поиска вредоносных источников;

• анализ поведения системы и выявление на основе этого анализа скрытых угроз;

• приобретение новых знаний в процессе обучения и построение на их основе более мощной системы защиты;

• борьба с вредоносным программным обеспечением, которое так же может являться самообучающимся;

• обслуживание средств управления идентификацией и аутентификации пользователей и доступом к ресурсам и средств администрирования доступа;

• совершенствование современного антивирусного программного обеспечения.

Искусственный интеллект в области кибер-безопасности помогает эффективнее решать задачи, которые ранее решались традиционными способами. В частности, искусственный интеллект поможет устранить существующие бреши в сфере информационной безопасности, которые появляются вслед-

ствие стремительного развития современных технологий, включая интернет вещей. Для обнаружения и предотвращения атак требуется собирать и анализировать огромное количество информации, поступающей из самых разных источников. Искусственный интеллект способен оперативно переработать и выявить факты и закономерности для их дальнейшей оценки и принятия решений человеком. Улучшение качества аналитики и исключение человеческого фактора позволяют эффективнее обнаруживать и отражать новые атаки.

Системы искусственного интеллекта передают предупреждения и объявляют тревогу, вычисляют типичные состояния работы систем, ищут отклонения от них - делают все то, что человеку выполнить практически невозможно. Искусственный интеллект используют системы класса SIEM (Security Information and Event Management), системы обнаружения (IDS), системы предотвращения вторжений (IPS), системы управления идентификацией и доступом (IAM), аналитические системы и системы продвинутой антивирусной защиты.

Остановимся подробнее на методах искусственного интеллекта, применяемых в области защиты от вирусов.

Стимулом для применения новых технологий при создании антивирусов является наличие ряда недостатков, свойственных антивирусному программному обеспечению при традиционном подходе к разработке. Основными недостатками являются: необходимость частого обновления информационных баз, что обычно требует наличия подключения к интернету, относительно низкое быстродействие, не всегда оперативное реагирование на новые угрозы.

Необходимость обновления баз связана с тем, что вирусы распознаются по сигнатурам. Сигнатурой является часть кода вируса, достаточная для его распознавания и в то же время уникальная. Она не должна встречаться в других программах, чтобы обеспечить отсутствие ложных срабатываний антивируса. Процесс поиска вредоносных программ сводится к перебору имеющихся в базе сигнатур и проверке того, что сигнатура встречается в программном коде.

Это упрощенная схема, часто антивирус должен распаковать код проверяемой программы, который может быть сжат архиватором. Также код может быть зашифрован и обработан обфускатором. Обфускатор - это специальная программа, которая не изменяет функции обрабатываемого кода, но снижает его читаемость после декомпиляции и поиск в нем сигнатур.

Проблемы с производительностью связаны как с ростом базы данных, содержащей сигнатуры вирусов, так и с необходимостью проверки большого числа файлов и фрагментов кода. Особенно это сказывается при оперативной проверке, осуществляемой при получении данных из внешних источников, таких как интернет или переносные внешние диски.

Внесение новых сигнатур выполняется производителями антивирусных средств после того, как ими получен и исследован код нового вируса. Это означает, что каждый вирус может успеть инфицировать какое-то количество компьютерных систем. Чтобы повысить оперативность реагирования на новые угрозы,

разработчики встраивают возможность использования «эвристических методов».

Фактически возможность использования эвристических методов уже можно рассматривать как применение искусственного интеллекта, так как набор эвристических методов является базой знаний, а их применение - это работа простой экспертной системы, построенной на применении правил. Недостатком применения этого подхода являются:

• необходимость затрат дополнительного времени и других ресурсов;

• не всегда точная диагностика.

При этом, если пользователь антивируса использует эвристические методы, то обычно он может настроить работу своего антивируса так, чтобы информация о подозрительных файлах отправлялась разработчикам антивируса для дальнейшего анализа. Эта возможность позволяет повысить скорость реагирования на угрозы безопасности.

Антивирусные средства, основанные на применении машинного обучения, могут работать по иным принципам. Примером может служить антивирус «Cylance Protect» американской фирмы «Cylance» [6]. Компания «Cylance» была создана в 2012 г. как стартап, она владеет сайтом www.cylance.com. Одной из целей, которую поставила перед собой эта компания, является создание антивируса, который будет обнаруживать вирус или другое опасное программное обеспечение до того, как оно успеет нанести хоть какой-то вред.

«Cylance Protect» не использует базы данных сигнатур и эвристические методы. Вместо этого она опирается на математическую модель, которая описывает работу программного обеспечения. На основе статистического анализа характеристик кода определяются функции программы. Если среди них оказываются небезопасные, то использование программы блокируется. Основной упор делается не на лечение, а на предотвращение атак [6].

Модель может совершенствоваться, а антивирусное программное обеспечение может самостоятельно обучаться, чтобы приспособиться к новым угрозам безопасности. Обновления не требуется выполнять часто, только при изменении математических моделей. Кроме

того, в разы снижается нагрузка на системные ресурсы, и время проверки не зависит от размера баз сигнатур, которых просто нет [7].

В компьютерных изданиях появлялась информация о разработке антивируса, который использует искусственный интеллект, сотрудниками и студентами Томского университета систем управления и радиоэлектроники (ТУСУР) [8]. Судя по приведенному описанию, эта система, подобно «Cylance Protect», также не использует сигнатуры и может самообучаться.

Этот проект упоминается на сайте разработчиков антивируса «Доктор Веб», в одном из выпусков информационного бюллетеня «Антивирусная правДА!» [9]. Мнение авторов антивируса о публикациях, об использовании искусственного интеллекта в борьбе с вирусами отрицательное, поскольку многие статьи и заметки пересказывают содержимое друг друга и содержат явные ошибки. Примеры таких заметок приводятся в [9].

Разработчики антивируса «Доктор Веб», судя по этой публикации, пока скептически относятся к возможности создания самообучающихся антивирусных программ, не опирающихся на применение баз данных сигнатур.

И все же самообучающиеся системы значительно повышают уровень защиты от ки-беругроз. Такие системы на основе анализа огромного объема данных могут формировать образцы поведения системы и своевременно выявлять отклонения от них. Система постоянно находится в процессе обучения, накопленная в ней информация не забывается и не теряется, поэтому чем больше информации накоплено в системе, тем выше уровень ее интеллектуальности.

Что касается использования методов искусственного интеллекта во вредоносном

программном обеспечении, то здесь возможно применение методов машинного обучения при разработке вредоносного кода. Так в [10] приводятся данные о возможностях применения машинного обучения при выполнении обфускации. При обучении программа вносит небольшие изменения в двоичный код, не меняя его функций, затем проверяет его с помощью антивируса, оценивает результат и повторяет процесс с учетом полученных результатов. Предполагается, что такой подход может помочь обходить и антивирусные системы, которые используют машинное обучение.

Исходный код примера такой программы изменения кода, без изменения его функциональности, размещен на в^ЫиЬ, ссылка приводится в [10].

Также использование машинного обучения может помочь хакерам повысить эффективность подбора паролей и кражи личных данных пользователей сетевых сервисов.

Высказываются опасения относительно возможности появления вредоносных программ со встроенным искусственным интеллектом, хотя возможный механизм их действия не объясняется. Это пока представляется не невозможным, но не особенно нужным.

Все рассмотренное выше позволяет сделать вывод о том, что интеллектуальные системы являются определяющим вектором развития информационной безопасности [11]. Внедрение систем, позволяющих осуществлять глубокую аналитику, прогнозирование, распознавание и предотвращение всего спектра рисков и угроз, требует соответствующей перестройки бизнес-процессов предприятий с учетом использования современных информационных технологий.

Список литературы

1. Абрамова Я. Гонка вооружений: искусственный интеллект и кибербезопасность // Директор информационной службы. 2017. № 10. URL: https://www.osp.ru/cio/ archive/2017/10/ (дата обращения: 10.11.2019).

2. Потери банков от киберпреступности. Tadviser, 28.09.2019. URL: http://www.tadviser. ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9F%D0%B

E%D1%82%D0%B5%D1%80%D0%B8_%D0%BE%D1%80%D0%B3%D0%B0%D0%BD% D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B9_%D0%BE%D1%82_%D0%BA%D 0%B8%D0%B1%D0%B5%D1%80%D0%BF%D1%80%D0%B5%D1%81%D1%82%D1%83 %D0%BF%D0%BD%D0%BE%D1%81%D1%82%D0%B8/ (дата обращения: 10.01.2020).

3. Информационная безопасность в мультиплатформенную эру. Москва, 14.03.2019. URL: https://idcitsecurity.com/2019/moscow/#category_55/ (дата обращения:

21.08.2019).

4. Искусственный интеллект и кибербезопасность. URL: https://www.pandasecurity. com/mediacenter/adaptive-defense/artificial-intelligence-cybersecurity/ (дата обращения:

10.01.2020).

5. Олейникова Т. В. Применение методов искусственного интеллекта в задачах обеспечения информационной безопасности. URL: http://dom8a.ru/seminar-ib/05.06.2014/ oleinikova/paper.pdf (дата обращения: 17.12.2019).

6. Уэйн Рэш. Cylance выпускает продукт будущего для борьбы с вредоносным кодом // itWeek 28.04.2015 URL: https://www.itweek.ru/security/article/detail.php?ID=174219 (дата обращения: 10.11.2019).

7. Антивирус с искусственным интеллектом не требует обновления баз и не нагружает систему. URL: https://www.osp.ru/news/2016/0614/13033043 (дата обращения: 12.11.2019)

8. Антивирус с искусственным интеллектом - выходец из России. URL: https:// neuronus.com/news-tech/1132-antivirus-s-iskusstvennym-intellektom-vykhodets-iz-rossii. html (дата обращения: 10.11.2019).

9. «Антивирусная правДА!» 06.09.2017, ИИ против антивирусов. URL: https://www. drweb.ru/pravda/issue/?number=390 (дата обращения: 05.10.2019).

10. Георгиев Р. Искусственный интеллект научился писать трояны, невидимые для антивирусов. Платформа в открытом доступе. C-News 02.08.2017. URL: http://safe. cnews.ru/news/top/2017-08-02_iskusstvennyj_intellekt_nauchilsya_pisat_troyany (дата обращения: 21.11.2019).

11. Гниденко И. Г., Егорова И. В. Искусственный интеллект и информационная безопасность // Информационная безопасность цифрового пространства: монография / под ред. Е. В. Стельмашонок. СПб.: Изд-во СПбГЭУ, 2019.