Искусственный интеллект + хакеры: от ненависти до любви и обратно. Часть III

Эта самая масштабная часть статьи из планирующихся четырех о том, чем ответит хакерам ИИ, и почему его ответы не всегда убедительны. Мы не стремились сделать время чтения этой части равным времени глубокого антивирусного анализа среднестатистической Windows 10 после года использования, но убеждены, что тема требует досконального освещения. А впрочем, его всё равно не добиться в полной мере. Но мы попытались.

Мы уже говорили, что искусственный интеллект — это палка о двух концах, которую можно использовать и как решение для обеспечения безопасности, и как оружие против нее. Характеристики ИИ включают в себя способность адаптироваться к конкретной среде или разумно реагировать на ситуацию, чем обусловлено то, что технологии искусственного интеллекта широко применяются в кибербезопасности. Но хакеры ничуть не хуже, и они также используют технологии для разработки интеллектуальных вредоносных программ и выполнения скрытых атак. Эту часть статьи мы посвящаем ИИ именно как решению для борьбы с ними.

Эксперты по безопасности провели много исследований, чтобы использовать возможности ИИ. Инструменты и продукты безопасности с поддержкой ИИ могут обнаруживать инциденты и реагировать на них с минимальным или нулевым участием человека. Применение ИИ в кибербезопасности оказалось очень полезным: 25% лиц, принимающих решения в области ИТ, считают безопасность основным фактором, в силу которого они внедряют ИИ и машинное обучение в организационные процессы. Это сокращает финансы и время, затрачиваемые на вмешательство в них человека.

Организации используют ИИ для моделирования и мониторинга поведения пользователей системы. Целью мониторинга взаимодействия между системой и пользователями является выявление атак с захватом. Это атаки, при которых злоумышленники крадут регистрационные данные других пользователей и используют их учетные записи для совершения различных видов киберпреступлений. ИИ изучает действия пользователя с течением времени, поэтому он считает необычное поведение аномалией.

Всякий раз, когда другой пользователь использует учетную запись, системы на основе ИИ могут обнаруживать необычные модели активности и реагировать либо блокировкой пользователя, либо немедленно предупреждая системных администраторов об изменениях. Речь идет не только о поведенческих характеристиках: в игру вступают сведения об IP, ASN-сети, DNS, системных отпечатках, дате и времени, параметрах экрана и даже установленных на компьютере программах. Противодействуют этому с помощью специальрных сборок виртуальных машин, bat-файлов, изменяющих параметры системы, OVPN, прокси, туннелей и прочего, а также с помощью антидетект-браузеров.

Вышеописанное касается не только пользователей. Антивирусные инструменты с возможностями искусственного интеллекта обнаруживают сетевые или системные аномалии, идентифицируя программы, демонстрирующие необычное поведение. Вредоносные программы запрограммированы на выполнение функций, отличных от стандартных компьютерных операций. Антивирусы с искусственным интеллектом используют тактику машинного обучения, чтобы узнать, как законные программы взаимодействуют с операционной системой, и всякий раз, когда вредоносные программы попадают в сеть, антивирусные решения на основе ИИ могут немедленно обнаружить их и заблокировать доступ к системным ресурсам. Этот подход отличается от традиционных антивирусов, которые сканируют базу данных сигнатур (определенных последовательностей битов, иными словами — шаблонов кода), чтобы определить, представляет ли программа угрозу безопасности. Какой ответный выпад могут сделать хакеры, мы описали в первой части статьи.

Автоматизированный анализ системных или сетевых данных обеспечивает непрерывный мониторинг для быстрого выявления попыток вторжений. Ручной анализ практически невозможен из-за огромного объема данных, генерируемых действиями пользователей. Киберпреступники используют тактику управления и контроля, чтобы незаметно проникнуть через сетевую защиту. Такая тактика включает встраивание данных в DNS-запросы для обхода брандмауэров и IDS/IPS. Киберзащита с поддержкой ИИ использует обнаружение аномалий, сопоставление ключевых слов и мониторинг статистики. В результате они могут обнаруживать все типы сетевых или системных вторжений.

Хакеры предпочитают общение по электронной почте в качестве основного метода доставки вредоносных ссылок и вложений, используемых для проведения фишинговых атак. Symantec заявляет, что 54,6% полученных сообщений электронной почты являются спамом и могут содержать вредоносные вложения или ссылки. Антифишинговые средства от ИИ с возможностями машинного обучения очень эффективны для выявления фишинговых электронных писем. Мониторинг осуществляется путем проведения углубленных проверок ссылок. Кроме того, такие антифишинговые инструменты имитируют клики по отправленным ссылкам для обнаружения признаков фишинга. Они также применяют методы обнаружения аномалий для выявления подозрительных действий во всех функциях отправителя. К ним относятся вложения, ссылки, тела сообщений и другие элементы.

Однако всё, как говорится, не так однозначно.

Понятие арбитражных возможностей пришло из биржевой торговли. Когда масса участников рынка выявляет какую-либо рыночную неэффективность, такая торговая модель со временем перестает быть прибыльной. Иными словами — открытие возможности арбитража со временем убивает возможность арбитража. Рыночная неэффективность — это возможность арбитража, или закономерность, позволяющая заметить ее и заработать.

Первым на рынке зарабатывает тот, кто открыл новую возможность. И, пока «на запах» не подтянулись остальные, ему необходимо быстро «наесться». Со временем о новой торговой модели узнает достаточно трейдеров — и она перестает быть прибыльной. Как в дикой природе — тушу поедает сперва охотник, а затем вся компания, которая приходит на запах и отодвигает удачливого охотника локтями.

Если исходить из того, что рынок быстро адаптируется к тем, кто на нем зарабатывает, то мы получаем быструю изменчивость рынка — торговые системы, которые работали год назад, сегодня безнадежно убыточны и не адаптированы к сегодняшним рынкам. Однако зафиксирован и факт, что прибыльность параметров может «всплыть» через 3–5 и более лет. Это времени достаточно, чтобы те трейдеры, которые на этих параметрах зарабатывали ранее, уже «вымерли».

Той же самой болезнью наделен и антифрод. Она своего рода расплата за несовершенство, которым грешит любой интеллектуальный шлагбаум по защите от мошеннических действий. Искусственный интеллект антифрода работает по принципу выявления отклоняющегося поведения, аномалий и, напротив, типичных паттернов. А это значит, что его можно бить в самое уязвимое место — сбивать с толку, делая то, чего не делают 90% всех мошенников, которых благодаря одинаковости действий видно как стайку бурых хомяков на белом снегу. А если экспансировать такой подход на все эти 90%, или хотя бы на 85, что останется антифроду? Как выявлять аномалии которых нет, как идентифицировать у человека неправомерные намерения, если он действует также, как и тысячи честных пользователей?

Остаётся только одно — ужесточать порядки и вводить дополнительные проверки, что неизбежно повлечет за собой отток, но не только злоумышленников, а ещё и тех самых честных пользователей, которых первые потянут за собой. Нивелировать потери можно, раскручивая гайки в тех областях, откуда мошенники уже выкинуты, т.е. оттуда, где гайки за последнее время были закручены очень уж сильно. Так мы и получаем «блуждание арбитражных возможностей».

Но вместе с тем, что всё неоднозначно, всё не так уж и плохо. Мы уже говорили о делении хакеров на профессионалов и скрипт-кидди, где первых можно пересчитать, говоря обще, по пальцам. Малограмотные же хакеры о существовании таких возможностей и не подозревают. Это может показаться слабым утешением, а потому приведем другое, фундаментальное: методы ИИ для антифрода не стоят на месте, и если проследить их историю (от нулевых годов, когда в интернет-магазинах можно было совершать покупки с несуществующих, сгенерированных данных карты, и до сегодняшнего дня), это станет очевидным. Порог входа в киберпреступность неизбежно растет, оставляя за бортом тысячи и тысячи некогда успешных в своем деле злоумышленников.