
Сегодня практически каждый разработчик внедряет ИИ в свои продукты. Но где тут погоня за трендом, а где – работающие инструменты, которые облегчают задачи пользователя? Несколько месяцев назад мы интегрировали ИИ-модуль в «СёрчИнформ КИБ», систему защиты от утечек (DLP). С самого начала стремились, чтобы в нашей системе ИИ показывал результат, а не был просто красивой деталькой. Теперь на реальном опыте готовы рассказать, как это работает и что в итоге получает ИБ-специалист.
ИИ – мощный инструмент с огромными возможностями. Но встраивать его бездумно – значит, нерационально удорожать свой продукт. ИИ не нужен там, где все уже работает: например, искать утечки номеров паспортов проще с классическим алгоритмом поиска по регулярным выражениям, эффективность такая же. Так что мы решили применять ИИ только там, где стандартных методов не хватало. И четко обозначить круг его задач.
Сначала речь шла о разных классификаторах на основе машинного обучения, потому что нейросети отлично работают с распознаванием объектов «по подобию» и выделением тенденций и аномалий в больших массивах информации. В инфобезе это важно, чтобы снять со специалиста рутину по анализу сложных типов данных (аудио, видео, графики), с которыми до сих пор приходилось разбираться вручную. Например, при расследовании обстоятельств внутренних инцидентов: кто именно сидел за ПК, когда произошла утечка? Что за странный архив фото пользователь скопировал в облако? О чем сотрудник говорил с поставщиком, прежде чем подписать с ним подозрительно поспешный договор? Так в КИБ за годы появилось распознавание лиц и объектов на фото с веб-камер, классификация изображений без извлечения текста («фото похоже на скан паспорта»), расшифровка аудио. Это ускорило стандартные поиски, но не решало принципиально новых задач.
Технологии шагнули дальше: ИИ становится полноценным помощником ИБ-специалиста, который должен делиться экспертизой и помогать принимать решения. Тут подходят большие языковые модели (LLM), потому что они принципиально отличаются от классических алгоритмов – понимают «живой» язык и контекст, самообучаются, учитывают при анализе массу параметров и вероятностей, которые не пропишешь в обычной политике безопасности.
Такой инструмент позволяет решить задачу выявления инцидентов на качественно новом уровне. Главное – «погрузить» ИИ в нужный контекст. Поэтому мы решили внедрить в КИБ ИИ-модуль, заранее заточенный под специфику ИБ. Интегрировали решение «ИИ Ассистент КиберЗащиты» от компании «Системные технологии» и помогли разработчику с «фактурой» для обучения модели. Коллеги проанализировали опыт и запросы наших заказчиков, систематизировали их и создали промпты, по которым модель наиболее точно обнаруживает инциденты внутренней безопасности. В результате получились готовые ИИ-политики, которые теперь доступны в КИБ.
Для анализа «ИИ-Ассистент» получает из КИБ сообщения пользователей в почте, мессенджерах и соцсетях, а также все вложения, и затем «прогоняет» по политикам. Так как ИИ-модуль разворачивается локально, это безопасно: корпоративные данные не отправляются ни на какие публичные сервера.
Внутри политик промпты, которые задают условия поиска разных нарушений. На старте они готовые, потому ИБ-специалисту не приходится тратить силы и время: подбирать точную формулировку запроса или экономить токены.
В промпты зашиты:
Сейчас «ИИ-Ассистент» в КИБ обнаруживает:
Пример ИИ-политик в «СёрчИнформ КИБ».
В КИБ они доступны «из коробки», как только произведена интеграция с ИИ-модулем. В будущем мы планируем добавить возможность ИБ-специалистам корректировать промпты или создавать собственные. Пока же готовый «стартовый набор» позволяет закрывать основные риски внутренней ИБ без лишних усилий – к тому же мы вместе с разработчиком модели открыты предложениям по разработке новых ИИ-политик под задачи клиентов.
Также ИИ-модуль умеет готовить резюме длинных текстов и автоматически переводить в реальном времени со 120+ языков на удобный ИБ-специалисту: русский, английский, немецкий, испанский, французский, арабский, турецкий и т.д. Список языков перевода постоянно расширяется, ИИ-политики одинаково хорошо отрабатывают при анализе текстов на любом из них. Вместе все функции «ИИ-Ассистента» избавляют ИБ-специалиста от рутины, когда пришлось бы долго и вдумчиво разбираться в «фактуре». При этом снижают риск ошибок из-за человеческого фактора – например, когда аналитик может «проглядеть» инцидент, потому что переписка слишком длинная, на незнакомом языке и т.д.
Главная задача ИИ-модуля, по сравнению с классическими политиками безопасности – обнаружить неявные нарушения. Его использование позволяет ИБ-специалисту:
Например, сотрудник отправляет внешнему адресату серию сообщений с набором цифр. Стандартная политика безопасности не обнаружит инцидент, поскольку не имеет полной картины. ИИ сопоставит все сообщения и распознает, что по частям передается номер криптокошелька, вероятно для перечисления оплаты за сомнительные услуги.
К тому же ИИ анализирует данные по одному принципу вне зависимости от того, на каком языке ведется общение – а для ИБ-специалиста сделает перевод.
Примеры распознавания инцидентов по контексту. ИИ-модуль учитывает тональность сообщений, поэтому видит разницу между нормальным рабочим или нейтральным сообщением и подозрительной перепиской.
Пример сработки ИИ-политики в «СёрчИнформ КИБ»: сотрудник занимается пробивом данных для иностранного заказчика за вознаграждение. Обнаруженная переписка переведена с английского на русский, в резюме выделена ее суть, приведены аргументы, почему «ИИ-Ассистент» решил, что имеет место раскрытие тайны.
В итоге в арсенале ИБ-специалиста – не просто инструмент для автоматизации рутины, а «умный» помощник, который облегчает работу и позволяет добиться лучших результатов. Система защиты от утечек находит больше инцидентов, особенно скрытых и неочевидных. Снижается число ложных срабатываний, ниже и риск пропуска инцидентов среди больших объемов данных, с которыми тяжело или невозможно работать вручную.
Локальная установка ИИ-модуля снимает риски компрометации данных и позволяет получить готовое решение, адаптированное под задачи внутренней ИБ. Для этого понадобится выделенное оборудование с графическими процессорами.
Попробовать новые возможности «СёрчИнформ КИБ» с «ИИ-Ассистентом» можно бесплатно – просто оставьте заявку.
Автор – Алексей Парфентьев, заместитель генерального директора по инновационной деятельности «СёрчИнформ».
Реклама. Рекламодатель ООО "СёрчИнформ", ИНН 7704306397,erid:2SDnjeJo8jk