Управление уязвимостями с помощью ИИ
Андрей Макаренко, 07/05/24
Процесс управления уязвимостями играет важную роль в деле защиты инфраструктуры. Основой превентивной подготовки к атакам можно назвать управление (можно читать: выявление и устранение) уязвимостями, которое является эффективным инструментом уменьшения поверхности атаки, то есть сокращение векторов атаки злоумышленников. Передовые решения управления уязвимостями (Vulnerability Management) уже обеспечивают обогащение информации из разных источников об уязвимостях, выделяют в результатах сканирования наиболее важные и критичные для устранения уязвимости. Посмотрим, как функциональность ИИ в том виде, как мы понимаем ее сейчас, может поддержать и ускорить тренды развития систем класса Vulnerability Management в ближайшие годы.
Автор: Андрей Макаренко, руководитель отдела по развитию бизнеса Angara Security
Технологии искусственного интеллекта всего за год прошли путь от любопытных исследований до мощнейшего инструмента, массово внедрямого в информационные системы. Уже можно с уверенностью сказать, что внедрение технологий ИИ в инструменты информационной безопасности и, в частности, управления уязвимостями способно революционизировать область их применения и по-новому распределить задачи между оператором и системой. ИИ позволяет анализировать и обучаться на огромных объемах данных из разных источников, обеспечивает такую же (а иногда даже выше) точность выявления уязвимостей за меньшее время, автоматизирует распределение и обработку запросов при взаимодействии с другими подсистемами ИБ и ИТ для сбора дополнительных данных. ИИ готов работать с одинаковым уровнем эффективности в режиме 24х7х365.
Тренд первый. Непрерывная оценка уязвимостей и их устранение
Проходят времена периодических проверок активов на уязвимости. В мире наблюдается активное движение в сторону постоянного мониторинга состояния безопасности в режиме реального времени. Обеспечить это можно сверхчастотным сканированием поверхности атаки на наличие уязвимостей и вредоносного ПО. Непрерывная оценка защищенности соответствует идее проактивной защиты и немедленного устранения уязвимостей.
Использование искусственного интеллекта может существенно улучшить эффективность и результативность различных этапов этого процесса. Системы на базе ИИ могут автоматизировать сканирование на основе появления бюллетеней от производителей или информации об атаках на похожие компании, обогащение как на основании внутренних источников, так и внешних, приоритизацию и направление всех данных в ИТ-блок для исправления. Такой подход в режиме реального времени (или почти реального) позволит выявлять и устранять уязвимости практически сразу, как только они возникают. В результате окно уязвимости сводится к минимуму.
Тренд второй. Управление активами и их приоритизация
На фоне растущей сложности информационных инфраструктур управление активами уже стало важнейшим элементом систем Vulnerability Management. Сейчас, когда организации работают с множеством устройств, приложений и данных, функционирующих в различных средах, получение целостного представления о цифровом ландшафте стало необходимостью.
Но не все активы равнозначны с точки зрения их важности для бизнеса и ИБ. Таким образом, к задаче идентификации добавляется проблема классификации активов, учитывая их важность и потенциальное влияние на работу организации и ее защищенность. Такая расстановка приоритетов позволяет сосредоточить усилия на устранении тех уязвимостей, эксплуатация которых представляет наибольший риск.
Уже сейчас имеются инструменты в решениях VM c модулями машинного обучения, которые помогают расставить приоритеты не только по уязвимостям, но и по активам, чтобы команда ИБ могла сосредоточить свои усилия в первую очередь на наиболее важных из них.
Тренд третий. Интеграция управления уязвимостями с DevOps
Разрыв между разработчиками программного обеспечения и людьми, которые обеспечивают его безопасность в процессе эксплуатации, должен сокращаться. В ближайшие годы должны появиться инструменты, которые помогут обеим сторонам работать сообща.
Речь идет как об инструментах, которые помогут найти и устранить проблемы в разрабатываемом ПО на раннем этапе,
прежде чем оно станет доступно пользователям, так и о системах, которые, обнаружив уязвимость, оперативно доставят информацию о ней разработчикам, при этом подсветив проблемные места кода для быстрого исправления, или предложат способы компенсации на основе ИТ-ландшафта и используемых ИБ-решений.
Причем все проверки и анализ на уязвимости должны проходить в автоматическом режиме. Традиционные методы сканирования, часто применяемые на этапе эксплуатации, оказываются недостаточно оперативными.
ИИ может использовать передовые методы аналитики и машинного обучения не только для выявления уязвимостей, но и для вычисления тенденций, закономерностей, чтобы прогнозировать потенциальные уязвимости еще до того, как они появились, подключая разработчиков к проактивному исправлению.
Заключение
Использование искусственного интеллекта на стороне защищающихся и нападающих, усложнение ландшафта ИТ-инфраструктуры, размытие границ периметра компании должны учитываться в развитии решений управления уязвимостями с целью опережения возникающих угроз и защиты ценных активов организаций в быстро меняющемся ландшафте киберугроз.
Однако крайне важно подчеркнуть, что ИИ следует рассматривать не как отдельное решение, а скорее как дополнительный компонент традиционных систем управления уязвимостями, дающий для экспертов возможность уменьшить вероятность ошибки, сокращения времени на реакцию, возможность спрогнозировать будущие изменения в системах для повышения их защищенности.