Разработки по направлению информационной безопасности сегодня ведутся во всех развитых странах мира. Все понимают, что уметь отражать кибератаки для государства так же важно, как добывать сырье, поддерживать экономику и проводить грамотную социальную политику. Каждый день появляются новые технологии, в которых выявляются уязвимости, на которых кто-то начинает зарабатывать. Уязвимости в итоге закрываются, но с появлением новой технологии вновь замыкается этот порочный круг.
Недавно СМИ сообщили о том, что компания IBM работает над новым проектом, целью которого стало создание когнитивной вычислительной службы по борьбе с кибератаками. Привлекло всеобщее внимание заявление о том, что вместе с новой системой будет запущена работа экспериментального голосового помощника Havyn. Общаясь с компьютером, он сможет предоставлять специалистам необходимую информацию. Система, над которой сейчас работают сотрудники IBM, сможет не только оповещать об угрозе кибератаки, но и предлагать варианты решения подобных проблем. Главное преимущество работы новой системы, по словам разработчиков, заключается в экономии времени.
Подтверждением тенденции к использованию искусственного интеллекта для отражения кибератак стало выступление Стюарта Маклюра, главы технологической компании Cylance, в феврале 2017 года в ходе Всемирного экономического форума в Давосе. Специалист заявил о намерении изменить подход к кибербезопасности при помощи ИИ и возможностей машинного обучения. По мнению представителей компании, использование алгоритмов искусственного интеллекта станет наиболее эффективным решением для отражения атак. Машинное обучение поможет создать программное обеспечение, которое сможет в режиме онлайн анализировать осуществленные кибератаки для предсказания их в будущем.
Что же, ИИ — панацея от всех «кибербед»? Не факт. Если вы видите домен «ai», вы должны понимать, что в ядре решения задействованы алгоритмы машинного обучения, которое является подразделом ИИ. Несмотря на огромные вливания капиталов в разработки ИИ, сегодня в профессиональной среде звучит вопрос: на самом ли деле машинное обучение — это новый шаг в области кибербезопасности или это акция, раздутая СМИ и самими компаниями?
Если говорить об отечественной IT-индустрии, то и она не отстает в разработках в области информационной безопасности.
«В России существуют специальные подразделения, занимающиеся противодействием киберугрозам, в том числе в правоохранительных органах, но также есть и коммерческие организации, оказывающие подобные услуги. Безусловно, реакция на инциденты является одним из важнейших этапов в предотвращении таких угроз в будущем. Поскольку именно анализ уже осуществленных атак, успешных или неуспешных, позволяет определить уровень безопасности той или иной системы и понять, какие именно угрозы действительно становятся актуальными для определенной системы в конкретный период времени ее „жизни“. Научные прикладные исследования в этой области ведутся активно, в том числе в пределах нашей кафедры и лаборатории», — рассказывает Павел Кузьмич, директор лаборатории компьютерной криминалистики и расследований преступлений в области информационных технологий Университета ИТМО.
Игорь Зикратов, заведующий кафедрой безопасных информационных технологий Университета ИТМО, отмечает, что студенты вуза активно вовлечены в работу над этими проектами. С некоторыми из них можно познакомиться на Конгрессе молодых ученых, где студенты демонстрируют свои наработки. Нам удалось пообщаться с несколькими разработчиками, которые занимаются проектами по безопасности информационных систем.
Предотвращение атак на прошивку материнской платы
Захар Дементьев, студент кафедры безопасных информационных технологий Университета ИТМО, больше шести месяцев занимается проблемой атак, совершаемых на прошивку материнской платы.
«Представьте, что у вас есть компьютер, он заразился вирусом, но вы можете отформатировать жесткий диск, поставить операционную систему, и проблема решится. Но сейчас есть такие вредоносные программы, которые могут заразить всю материнскую плату. Мы провели тест на нескольких машинах и выявили, что 25% машин от них не защищены. То есть можно так заразить компьютер, что вирус всегда будет жить в прошивке», — рассказывает наставник Захара Ханов Артур, тьютор кафедры безопасных информационных технологий Университета ИТМО.
Сегодня существует ряд вредоносных ПО, которым выгодно закрепиться в компьютерной системе максимально надежно и исполнять свой код в максимально привилегированном режиме. Ядро операционной системы подходит для выполнения вредоносных целей, однако есть еще более привилегированные режимы (например, гипервизор* и SMM). Теоретически закрепиться вредоносным программам можно и на диске, но антивирусные ПО постоянно доставляют им неудобства. Гораздо выгоднее закрепиться в прошивке, где вредоносные ПО получают сразу несколько преимуществ: не зависят от операционной системы, могут переживать ее переустановку и вмешиваться в процесс ее загрузки. В своем проекте Захар Дементьев разбирает векторы атак и современные механизмы защиты. Главная идея работы — взять гипервизор (программа или аппаратная схема, обеспечивающая или позволяющая одновременное, параллельное выполнение нескольких операционных систем на одном и том же хост-компьютере — прим. ред.) и заточить его для защиты от рассмотренных атак, в том числе от перезаписи прошивки.
Метод хорош тем, что его легко применить для большинства машин: требуется только поддержка аппаратной виртуализации процессором, а ее не поддерживают только очень древние машины. К тому же, если открывается новая уязвимость, то обновить гипервизор намного проще, чем BIOS. Обновления BIOS может предоставить только его производитель, и услуга доступна только «топовым» машинам.
Распознавание DGA доменов с помощью нейронных сетей
Абакумов Андрей, выпускник кафедры безопасных информационных технологий Университета ИТМО, специалист по информационной безопасности, занялся проблемой распознавания вредоносных доменных имен, сгенерированных с использованием Domain Generation Algorithm. Эти алгоритмы используются вредоносными программами (вирусами) для определения IP-адресов управляющих серверов. Постоянно обновляющиеся имена усложняют не только составление блокирующих правил, но и обнаружение командных центров. В ходе работы выпускник Университета ИТМО проанализировал существующие методы выявления DGA-доменов, многие из которых используют методы машинного обучения (Machine Learning), а затем предложил задействовать рекуррентную нейронную сеть (Deep Learning). Этот вид нейронных сетей отличается наличием цикла. То есть архитектура такой нейронной сети может анализировать информацию, поданную ранее, для анализа данных в настоящий момент времени. В своей работе Андрей использует модель рекуррентной нейронной сети LSTM, которая сегодня широко используется для решения всевозможных классов задач, таких как распознавание речи, обработка естественных языков и т. д. В итоге разработчик спроектировал модель, которая позволяет распознавать DGA-домены и нисколько не уступает известному в этой области алгоритму Random Forest, а даже превосходит его. Подробнее с предложенной моделью можно ознакомиться в статье.
Компьютерные инциденты и кибератаки
Игорь Пантюхин, тьютор, аспирант кафедры безопасных информационных технологий Университета ИТМО, занимается исследованиями компьютерных инцидентов и кибератак (eng. Digital Forensic Science). Под компьютерным инцидентом понимается факт нарушения злоумышленником штатного функционирования средств вычислительной техники. Пример — классическая вирусная атака. Игоря Пантюхина интересует область постинцидентного аудита. Число угроз информационной безопасности постоянно растет, как и объемы хранимой и обрабатываемой информации, поэтому исследовать компьютерные инциденты становится все сложнее.
«В Университете ИТМО я вместе с магистрами и студентами кафедры безопасных информационных технологий занимаюсь исследованиями (Digital Forensic Science) и разрабатываю новые методы и подходы (например, методы исследования компьютерных инцидентов на основе анализа только атрибутов и их значений). Они позволят снизить вычислительную сложность процесса исследования компьютерных инцидентов и повысить точность их обнаружения. Полученные результаты можно будет применять при обнаружении потенциального исполнителя кибератаки и определить последовательность его действий», — рассказывает Игорь Пантюхин.
Метод исследования компьютерных инцидентов на основе анализа только атрибутов и их значений, о котором упомянул разработчик, заключается в следующем: у каждого файла, процесса, сетевого пакета есть характерные атрибуты, у которых, в свою очередь, есть значения. Разработчики исследуют в этом методе только их, без учета самих данных. Таким образом, они снижают объем обрабатываемой информации и, как следствие. вычислительную сложность.
Почему исследуются только атрибуты и их значения? При исследовании компьютерных инцидентов важны следующие сведения: кто, где и каким образом осуществлял свои воздействия на файл, процесс и т. д. Информация об этом хранится или в атрибутах и их значениях самого файла (процесса, сетевого пакета и пр.), или в специальной базе, где хранятся изменения легитимных пользователей, воздействия вирусов и пр.
На этом область применения наработок не ограничивается, их можно применять при построении предиктивных систем защиты от кибератак, оптимизации уже существующих систем защиты путем интеграции. Все это позволит не допускать возникновения компьютерных инцидентов в будущем и осуществлять оперативное реагирование на возникающие атаки.