Злоумышленники используют современные технологии, чтобы повысить эффективность своих техник, тактик и схем. Поэтому в арсенале специалистов должны быть передовые инструменты. Как на новые вызовы отвечают борцы с киберугрозами?
Внедрение машинного обучения в продукты и процессы компаний — не просто модный тренд, но и насущная необходимость, если речь идет о сфере информационной безопасности. Руководитель группы исследований и разработки технологий машинного обучения «Лаборатории Касперского» Владислав Тушканов в интервью BFM.ru рассказал о том, как большие языковые модели меняют мир кибербеза и как искусственный интеллект помогает эффективно бороться с потоком угроз.
Теме машинного обучения не один десяток лет, однако за последние полтора-два года она стала звучать буквально везде. Что изменилось?
Владислав Тушканов: С появлением больших языковых моделей, чат-ботов, с которыми любой человек может поговорить обычным языком, дать им какую-то команду — написать список фильмов, сочинить стихотворение, — эта тема очень активно и очень плотно вошла в публичное поле. Все стали говорить о том, что искусственный интеллект изменит мир, что он даст нам новые возможности. Наверное, действительно так и будет. Большой интерес к этой теме привлекает инвестиции, внимание заказчиков, разработчиков.Искусственный интеллект упрощает многие задачи и делает процессы более эффективными. А как он повлиял на деятельность киберзлоумышленников?
Владислав Тушканов: Могут ли злоумышленники применять большие языковые модели (от англ. Large Language Models, LLM. — BFM) для своих целей? Конечно, могут. В частности, мы видели в даркнете их обсуждения о написании скриптов с использованием того же самого ChatGPT для парсинга больших массивов данных, применение чат-ботов для повышения эффективности мошеннических писем — чтобы они стали более таргетированными, адаптированными под конкретного получателя. С одной стороны, это не сильно меняет существующий ландшафт угроз, потому что мы и так очень давно уже живем в мире, где есть вредоносный код и зловредные письма. Мы умеем их обнаруживать и блокировать. Но, с другой стороны, безусловно, технологии ИИ привлекают злоумышленников, с их помощью они пытаются быстрее адаптироваться, двигаться вперед. К тому же потенциально может снизиться «порог входа» для тех, кто только вступает на эту темную дорожку.Для решения каких актуальных задач используется машинное обучение и ИИ в компаниях, занимающихся кибербезопасностью?
Владислав Тушканов: Мы в «Лаборатории Касперского» уже почти 20 лет используем технологии машинного обучения. И есть очень большое количество сценариев, где без этих технологий фактически невозможно обойтись. Это, например, детектирование вредоносного кода, мошеннических веб-страниц, спам-писем. Все это требует обработки огромных массивов информации. Если не применять технологии автоматизации, в том числе с использованием искусственного интеллекта, справиться с этим потоком просто невозможно.
Пользователи решений «Лаборатории Касперского» получают защиту, основанную, в частности, на моделях искусственного интеллекта, которые работают у нас в компании через облачную инфраструктуру Kaspersky Security Network (KSN). Мы обрабатываем моделями машинного обучения большое количество в основной массе деперсонализированных данных об угрозах, вердикты по ним публикуются в облако, и все заказчики защищаются от тех угроз, которые мы обнаруживаем 24/7. К слову, в 2023 году мы обнаруживали в среднем 411 тысяч новых вредоносных файлов ежедневно.
Вообще, для того чтобы заниматься машинным обучением, нужно накопить достаточно большой объем данных. Благодаря KSN у нас есть возможность видеть, что происходит в мире с точки зрения киберугроз для обеспечения безопасности наших заказчиков. Поскольку эта система существует и используется практически во всех странах мира уже достаточно давно, мы накопили большой объем данных, который позволяет нам обучать модели, например, для детектирования вредоносного ПО, фишинговых страниц, мошеннических писем и многих других задач. Это преимущество, которое доступно компаниям, инвестирующим в инфраструктуру для обработки данных. Оно в том числе позволяет применять технологии машинного обучения и внедрять их в продукты.В каких еще продуктах и решениях для кибербезопасности используются технологии машинного обучения?
Владислав Тушканов: Так или иначе, инструменты на основе машинного обучения присутствуют в большинстве решений «Лаборатории Касперского». Есть корпоративные продукты, в которых применяются специализированные технологии искусственного интеллекта. Например, в решении Kaspersky Managed Detection and Response есть компонент под названием AI-аналитик. Он позволяет на 30-40% снизить нагрузку на аналитиков в центрах мониторинга безопасности (SOC), что позволяет им экономить время на разбор простых в обработке событий и больше времени тратить на, например, проактивный поиск сложных угроз. Учитывая, насколько технологии ИИ, например те же чат-боты, активно проникают в нашу жизнь, в том числе и в рабочие процессы, мы считаем достаточно важным делиться экспертизой, которая наработана в «Лаборатории Касперского». Именно поэтому мы добавили обучающий модуль, посвященный безопасной работе с ИИ и нейросетями, в нашу платформу для повышения цифровой грамотности сотрудников компаний Kaspersky ASAP.
Кроме того, у компании есть и внутренние сервисы, благодаря которым мы можем упрощать процессы разработки, процессы работы с документацией. Мы очень активно инвестируем в расширение экспертизы по тому, как применять большие языковые модели и другие передовые инструменты.Насколько конкурентоспособны отечественные ИИ-решения в области кибербезопасности?
Владислав Тушканов: «Лаборатория Касперского» — международная компания. Это позволяет нам видеть целостную и наиболее актуальную картину ландшафта угроз. В том числе благодаря этому наши решения из года в год поддерживают эталонное качество обнаружения киберугроз, что подтверждается независимыми тестированиями.
В России очень активно идет развитие и внедряется поддержка технологий искусственного интеллекта, в том числе на государственном уровне. Те, кто планирует использовать продукты, содержащие в себе технологии ИИ, при покупке могут рассчитывать на определенные налоговые преимущества. Целый ряд наших ключевых продуктов, среди которых, например, SIEM-система Kaspersky Unified Monitoring and Analysis Platform (KUMA), официально относится к ПО в сфере искусственного интеллекта.Насколько искусственный интеллект, большие языковые модели, машинное обучение — основательный тренд в информационной безопасности?
Владислав Тушканов: Мы видим тренд на повышение количества и разнообразия тех угроз, с которыми сталкиваются организации, в том числе наши заказчики. И для того, чтобы им противостоять, нужно постоянно развивать и внедрять новые решения — в том числе, конечно же, и основанные на машинном обучении, больших языковых моделях. Я уверен, что благодаря развитию технологий генеративного искусственного интеллектав наших продуктах, таких как KUMA, Kaspersky Symphony XDR и других, мы поможем нашим заказчикам быстрее и эффективнее реагировать на угрозы, с которыми они сталкиваются сегодня, и быть готовыми к отражению новых угроз в будущем.
