F6 усиливает управленческую команду
Image

F6 усиливает управленческую команду

От ключевых клиентов до кресла зама гендиректора: компания готовит выход на зарубежные рынки.

Как заставить работать ИИ на ИБ – и чего ждать в результате

69442
Как заставить работать ИИ на ИБ – и чего ждать в результате
image

Сегодня практически каждый разработчик внедряет ИИ в свои продукты. Но где тут погоня за трендом, а где – работающие инструменты, которые облегчают задачи пользователя? Несколько месяцев назад мы интегрировали ИИ-модуль в «СёрчИнформ КИБ», систему защиты от утечек (DLP). С самого начала стремились, чтобы в нашей системе ИИ показывал результат, а не был просто красивой деталькой. Теперь на реальном опыте готовы рассказать, как это работает и что в итоге получает ИБ-специалист.

Зачем ИИ в системе защиты от утечек?

ИИ – мощный инструмент с огромными возможностями. Но встраивать его бездумно – значит, нерационально удорожать свой продукт. ИИ не нужен там, где все уже работает: например, искать утечки номеров паспортов проще с классическим алгоритмом поиска по регулярным выражениям, эффективность такая же. Так что мы решили применять ИИ только там, где стандартных методов не хватало. И четко обозначить круг его задач.

Сначала речь шла о разных классификаторах на основе машинного обучения, потому что нейросети отлично работают с распознаванием объектов «по подобию» и выделением тенденций и аномалий в больших массивах информации. В инфобезе это важно, чтобы снять со специалиста рутину по анализу сложных типов данных (аудио, видео, графики), с которыми до сих пор приходилось разбираться вручную. Например, при расследовании обстоятельств внутренних инцидентов: кто именно сидел за ПК, когда произошла утечка? Что за странный архив фото пользователь скопировал в облако? О чем сотрудник говорил с поставщиком, прежде чем подписать с ним подозрительно поспешный договор? Так в КИБ за годы появилось распознавание лиц и объектов на фото с веб-камер, классификация изображений без извлечения текста («фото похоже на скан паспорта»), расшифровка аудио. Это ускорило стандартные поиски, но не решало принципиально новых задач.

Технологии шагнули дальше: ИИ становится полноценным помощником ИБ-специалиста, который должен делиться экспертизой и помогать принимать решения. Тут подходят большие языковые модели (LLM), потому что они принципиально отличаются от классических алгоритмов – понимают «живой» язык и контекст, самообучаются, учитывают при анализе массу параметров и вероятностей, которые не пропишешь в обычной политике безопасности.

Такой инструмент позволяет решить задачу выявления инцидентов на качественно новом уровне. Главное – «погрузить» ИИ в нужный контекст. Поэтому мы решили внедрить в КИБ ИИ-модуль, заранее заточенный под специфику ИБ. Интегрировали решение «ИИ Ассистент КиберЗащиты» от компании «Системные технологии» и помогли разработчику с «фактурой» для обучения модели. Коллеги проанализировали опыт и запросы наших заказчиков, систематизировали их и создали промпты, по которым модель наиболее точно обнаруживает инциденты внутренней безопасности. В результате получились готовые ИИ-политики, которые теперь доступны в КИБ.

Как работают ИИ-политики безопасности?

Для анализа «ИИ-Ассистент» получает из КИБ сообщения пользователей в почте, мессенджерах и соцсетях, а также все вложения, и затем «прогоняет» по политикам. Так как ИИ-модуль разворачивается локально, это безопасно: корпоративные данные не отправляются ни на какие публичные сервера.

Внутри политик промпты, которые задают условия поиска разных нарушений. На старте они готовые, потому ИБ-специалисту не приходится тратить силы и время: подбирать точную формулировку запроса или экономить токены.

В промпты зашиты:

  • описание задачи;
  • основные триггеры;
  • примеры «правильных» и ложных сработок;
  • исключения (например, слово «премия» от руководителя – это нормально, а в диалоге с подрядчиком – подозрительно и намекает на откат);
  • пояснения терминов (например, ИИ нужно объяснить разницу между личной и бизнес-выгодой).

Сейчас «ИИ-Ассистент» в КИБ обнаруживает:

  • Раскрытие тайны: попытки получить доступ к «закрытым» данным через коллег, кражу интеллектуальной собственности, пробивы данных за вознаграждение, пересылки чужих платежных данных.
  • Корпоративное мошенничество: откаты, просьбы переводов «на карту» или в криптовалюте за «неофициальные» услуги, работу «налево», попытки скрыть переписку.
  • Группы риска среди пользователей: опасные зависимости и нарушения закона.
  • Проблемы в коллективе: конфликты и оскорбления, сплетни.

Пример ИИ-политик в «СёрчИнформ КИБ».

В КИБ они доступны «из коробки», как только произведена интеграция с ИИ-модулем. В будущем мы планируем добавить возможность ИБ-специалистам корректировать промпты или создавать собственные. Пока же готовый «стартовый набор» позволяет закрывать основные риски внутренней ИБ без лишних усилий – к тому же мы вместе с разработчиком модели открыты предложениям по разработке новых ИИ-политик под задачи клиентов.

Также ИИ-модуль умеет готовить резюме длинных текстов и автоматически переводить в реальном времени со 120+ языков на удобный ИБ-специалисту: русский, английский, немецкий, испанский, французский, арабский, турецкий и т.д. Список языков перевода постоянно расширяется, ИИ-политики одинаково хорошо отрабатывают при анализе текстов на любом из них. Вместе все функции «ИИ-Ассистента» избавляют ИБ-специалиста от рутины, когда пришлось бы долго и вдумчиво разбираться в «фактуре». При этом снижают риск ошибок из-за человеческого фактора – например, когда аналитик может «проглядеть» инцидент, потому что переписка слишком длинная, на незнакомом языке и т.д.

Что это дает?

Главная задача ИИ-модуля, по сравнению с классическими политиками безопасности – обнаружить неявные нарушения. Его использование позволяет ИБ-специалисту:

  • «Видеть» больше
    Большие языковые модели фиксируют связи между объектами, даже если они далеко друг от друга в анализируемом объеме данных. Например, «ИИ-Ассистент» понимает, что сообщения принадлежат к одной теме, даже когда в чате параллельно обсуждают другие вещи и возвращаются к искомому разговору с перерывами. Там, где классические алгоритмы в системе защиты от утечек (DLP) будут обрабатывать каждое письмо отдельно, ИИ-модуль проанализирует всю переписку. Поэтому найдет инцидент, даже если его детали разбросаны в длинном диалоге.

    • Например, сотрудник отправляет внешнему адресату серию сообщений с набором цифр. Стандартная политика безопасности не обнаружит инцидент, поскольку не имеет полной картины. ИИ сопоставит все сообщения и распознает, что по частям передается номер криптокошелька, вероятно для перечисления оплаты за сомнительные услуги.

    К тому же ИИ анализирует данные по одному принципу вне зависимости от того, на каком языке ведется общение – а для ИБ-специалиста сделает перевод.

  • Работать с контекстом
    ИИ распознает тональность переписок и учитывает особенности бизнес-процессов. Отличает использование слов в прямом и переносном, в том числе сленговом значении. Поэтому видит отклонения от нормы: замечает попытки пользователей замаскировать данные или иносказательно обсудить подозрительные темы.

    • Примеры распознавания инцидентов по контексту. ИИ-модуль учитывает тональность сообщений, поэтому видит разницу между нормальным рабочим или нейтральным сообщением и подозрительной перепиской.

  • Точнее принимать решения
    В резюме переписок, в которых ИИ-модуль нашел инцидент, он подсвечивает подозрительные признаки из сообщений, писем или прикрепленных документов. На их основе выносится предположение, какое именно нарушение содержится. Важно, что ИИ может аргументировать свое решение, прописав ход рассуждений. Это подстраховка для ИБ-специалиста, что ИИ не «галлюцинирует», а инцидент не ложный. Впрочем, с выводами модели можно и не соглашаться. В любом случае резюме от ИИ ускоряют работу и предоставляют готовую структурированную «фактуру» для докладных записок и отчетов по расследованиям.

    • Пример сработки ИИ-политики в «СёрчИнформ КИБ»: сотрудник занимается пробивом данных для иностранного заказчика за вознаграждение. Обнаруженная переписка переведена с английского на русский, в резюме выделена ее суть, приведены аргументы, почему «ИИ-Ассистент» решил, что имеет место раскрытие тайны.

В итоге в арсенале ИБ-специалиста – не просто инструмент для автоматизации рутины, а «умный» помощник, который облегчает работу и позволяет добиться лучших результатов. Система защиты от утечек находит больше инцидентов, особенно скрытых и неочевидных. Снижается число ложных срабатываний, ниже и риск пропуска инцидентов среди больших объемов данных, с которыми тяжело или невозможно работать вручную.

Локальная установка ИИ-модуля снимает риски компрометации данных и позволяет получить готовое решение, адаптированное под задачи внутренней ИБ. Для этого понадобится выделенное оборудование с графическими процессорами.

Попробовать новые возможности «СёрчИнформ КИБ» с «ИИ-Ассистентом» можно бесплатно – просто оставьте заявку.

Автор – Алексей Парфентьев, заместитель генерального директора по инновационной деятельности «СёрчИнформ».

Реклама. Рекламодатель ООО "СёрчИнформ", ИНН 7704306397,erid:2SDnjeJo8jk

MAX
MAX
[ confession.log ]
Не спрашивайте, почему
мы в MAX
Мы и сами не гордимся. Но раз уж вы здесь —
$ whoami
securitylab
$ reason?
unknown
Смотреть →
реклама