В течение многих лет технология информационной безопасности, которая обнаруживала и удаляла компьютерные вирусы, полагалась на сигнатуры для идентификации вредоносного кода на машинах. Используя различные технологии для повышения эффективности, защитное программное обеспечение, по сути, поддерживало базу данных о том, как выглядели многие штаммы вредоносных программ, и сканировало файловые системы и память на наличие определенных шаблонов кода, которые соответствовали известным сигнатурам в базе данных.

Сигнатурный подход хорошо работал на заре компьютерного вредоносного ПО — каждый день создавалось лишь небольшое количество новых штаммов, вирусы не были полиморфными, а распространение вирусов занимало довольно много времени (в те времена вредоносное ПО распространялось с диска и загрузка с BBS, а не через Интернет), что позволяет поставщикам антивирусных программ относительно обновлять свои базы данных сигнатур.

Конечно, с течением времени росло число случаев, когда вредоносное ПО было слишком новым, чтобы его можно было поймать с помощью сигнатур — такие ситуации возникали все чаще по мере того, как Интернет входил в свою нынешнюю коммерческую итерацию, а хакеры все чаще создавали новые штаммы. Такой сценарий произошел со мной в конце 1990-х — я буквально прошел несколько кварталов в центре Манхэттена в компанию Egghead Software (помните?), чтобы купить антивирусное программное обеспечение, потому что вредоносное ПО проникло в сеть моего тогдашнего работодателя — с пакетом от другого поставщика. используется в офисе, пока не может обнаружить новый штамм.

В конечном счете, для борьбы с неизвестным вредоносным ПО защитное ПО начало искать действия, похожие на вредоносное ПО, — со временем оно в некоторой степени трансформировалось в соответствии с подходом систем обнаружения вторжений. На самом деле, сегодня предприятия, стремящиеся предотвратить катастрофы информационной безопасности, довольно часто используют инструменты обнаружения аномалий в качестве важного уровня защиты на случай, если враждебная сторона проникнет в их инфраструктуру. Поиск необычной активности может предотвратить кражу данных вредоносными программами и хакерами.

Но обнаружение аномалий также создает проблему.

Часто определение аномалии — это просто что-то, что отличается от того, что считается «нормальным» — специалисты по безопасности либо настраивают правила, определяющие нормальное, либо машинное обучение «узнает» со временем, как выглядит нормальное использование систем и сетей. Однако, конечно, поведение пользователя и системы со временем меняется, и «нормальное» — это движущаяся цель, часто со многими допустимыми исключениями. Таким образом, обнаружение аномалий иногда может привести к большому количеству «ложных срабатываний» — многочисленным «аномальным», но безвредным действиям, которые вызывают предупреждения о подозрительной активности. Из-за нехватки ресурсов поток предупреждений может перегрузить сотрудников службы информационной безопасности, которые не только не смогут изучить каждое предупреждение, но и в результате перегруженности могут также пропустить наиболее важные предупреждения, т. е. которые представляют реальную враждебную деятельность.

Имейте в виду, что обучать системы понимать аномальную активность непросто — нет единой базы данных, в которую можно было бы загрузиться, как, например, для аутентификации, или абсолютного набора правил, как в брандмауэре. Между средами могут быть огромные различия в том, что следует считать аномальным, и в отношении того, какие аномальные действия являются вероятными индикаторами проблемы.

Таким образом, одна из областей, в которой искусственный интеллект может предложить как преимущества безопасности, так и эффективности, — это анализ аномалий, который помогает определить, что является действительно враждебным, ненормальным поведением, а что — просто приемлемой, но аномальной активностью. Интеграция контекстуальной информации из каналов аналитики угроз также может помочь выяснить, какие необычные действия, скорее всего, являются симптомами кибератаки, а какие, скорее всего, представляют собой вполне приемлемые действия.

Конечно, включение информации постфактум — например, о том, что конкретная аномалия была исследована и предупреждение о ней было определено как ложное срабатывание — также может уменьшить количество ложных срабатываний в будущем.

Помните, обнаружение аномальной активности и понимание аномальной активности — две разные вещи. Для безопасности нужно и то, и другое.

Статья изначально была опубликована в блоге Reveelium Inc.:

https://www.reveelium.com/en/anomaly-detection-cybersecurity-defense/