Вся пресса
Статьи

Как AIOps меняет подход к обнаружению угроз и реагированию на них

    Киберугрозы больше не являются вопросом исключительно ИТ-департамента. Сегодня они напрямую влияют на финансовую устойчивость компаний, их рыночные позиции и доверие со стороны клиентов.

    Проблема усугубляется тем, что каждое предприятие генерирует колоссальные объемы данных. Миллионы логов, событий, транзакций и запросов создают такой информационный шум, в котором крошечный сигнал атаки легко теряется. Человеческие ресурсы здесь оказываются бессильны: команда безопасности физически не способна вручную обработать такой поток информации и вовремя выделить признаки угрозы. В результате компании получают задержку в обнаружении атак, утечки данных, остановки критичных сервисов и многомиллионные убытки.

    По данным Cybersecurity Ventures, киберпреступность в мировом масштабе уже в 2025 году обойдется компаниям и правительствам более чем в 10,5 трлн долларов ежегодно. Для бизнеса это означает, что инвестиции в кибербезопасность перестают быть «страховым полисом» и становятся вопросом выживаемости и конкурентоспособности.

    Этот растущий риск кибербезопасности требует более интеллектуальных, быстрых и масштабируемых решений. Именно здесь на помощь приходит AIOps. Эти платформы используют машинное обучение, автоматизацию и аналитику больших данных для обнаружения аномалий, прогнозирования проблем и предотвращения атак до того, как они нанесут серьезный ущерб.

    Почему традиционные подходы к кибербезопасности не работают

    Традиционные подходы теряют эффективность на фоне роста объемов данных и усложнения тактик противника. Подразделения безопасности ежедневно обрабатывают тысячи оповещений, значительная часть которых оказывается ложными срабатываниями. При этом злоумышленники используют автоматизацию, искусственный интеллект и социальную инженерию, чтобы масштабировать свои усилия и использовать уязвимости быстрее, чем организации могут их исправить.

    Традиционный подход, заключающийся в установке заранее определенных правил и реагировании на известные угрозы, больше не работает. Современные условия требуют анализа в реальном времени, контекстной корреляции событий, приоритизации по уровню риска и прогнозной аналитики. Эти функции обеспечивают AIOps-платформы: агрегирование и нормализация разнородных данных, автоматическая корреляция сигналов, расстановка приоритетов и упреждающее выявление отклонений.

    В результате появляется необходимость в механизмах, способных выявлять не только известные, но и принципиально новые сценарии атак. Именно здесь ключевую роль играет обнаружение аномалий.

    Аномалией может быть все, что выходит за рамки привычного поведения системы: нетипичный рост трафика, нестандартное обращение к внутреннему сервису, скачок активности пользователя в нерабочее время. Такие события сложно заранее прописать в правилах, но именно они становятся индикаторами взлома или утечки.

    Роль AIOps в кибербезопасности

    AIOps-платформы (Artificial Intelligence for IT Operations) изначально создавались для повышения эффективности ИТ-операций, но их значение для кибербезопасности стремительно растет: их все чаще используют в кибербезопасности для анализа больших массивов данных, обнаружения аномалий и автоматизации реагирования.

    Мониторинг обширных и сложных сред в режиме реального времени

    AIOps-решения используют алгоритмы машинного обучения для анализа больших наборов данных, включающих информацию о поведении сети и безопасности. Это помогает своевременно обнаруживать угрозы безопасности и предотвращать вредоносную деятельность в ИТ-системе. Машинное обучение позволяет системе учиться на данных, выявлять закономерности и принимать решения с минимальным вмешательством человека. AIOps обнаруживает нестандартные или вредоносные действия, которые не соответствуют обычным закономерностям. 

    За счет этого угрозы выявляются на ранних стадиях,  когда атака еще не успела нанести значительный ущерб.

    Согласно отчету Statista, «Основные преимущества внедрения ИИ в операции по кибербезопасности»,в опросе специалистов по кибербезопасности почти 60 % респондентов по всему миру считают улучшение обнаружения угроз наиболее значимым преимуществом внедрения ИИ в свои операции по кибербезопасности.

    Сокращение количества ложных срабатываний и выявление только значимых угроз

    В отличие от традиционных средств мониторинга, которые генерируют множество ложных срабатываний, AIOps фильтруют «шум» и оставляют только события с высокой долей вероятности реальной угрозы

    AIOps-платформы используют искусственный интеллект для корреляции оповещений из разных источников, автоматического нивелирования ложных срабатываний и приоритизации событий только с высоким уровнем риска. Это повышает точность обнаружения и помогает аналитикам по безопасности сосредоточить свое внимание на самых важных вопросах. 

    По данным IBM, компании, использующие методы искусственного интеллекта и машинного обучения,  автоматизацию в своей стратегии кибербезопасности, сократили жизненный цикл нарушений в среднем на 74 дня.

    Автоматизация реагирования на угрозы

    Задержки в обнаружении и реагировании могут стоить организациям миллионы. AIOps помогает автоматизировать процесс реагирования на инциденты, запуская заранее определенные действия при достижении определенных пороговых значений угроз (изоляция затронутых систем, отмена доступа и т.д.).

    Реальный сценарий: если пользователь внезапно начинает загружать большие объемы конфиденциальных файлов и пытается отправить их по электронной почте за пределы организации, AIOps может автоматически заблокировать учетную запись и уведомить Центр операций безопасности.

    Прогнозирование и предотвращение будущих проблем с безопасностью

    AIOps позволяет не только выявлять текущие отклонения, но и прогнозировать и предотвращать будущие проблемы безопасности. На основе анализа временных рядов телеметрии (логи, сетевые метрики, поведение пользователей) и внешних источников разведданных об угрозах платформы формируют модели, выявляющие тренды, сезонность и опережающие индикаторы риска. 

    Система оценивает вероятность наступления событий: от всплеска подборов паролей и попыток латерального перемещения до эксплуатации конкретной уязвимости в используемом программном обеспечении, и предлагает упреждающие меры: усилить аутентификацию, ограничить права доступа, закрыть открытые порты, повысить уровень регистрации событий, установить обновления безопасности.

    Непрерывное обучение на основе данных

    Киберугрозы не являются статичными, как и AIOps. Система совершенствуется за счет непрерывного обучения на основе новых моделей и включения в себя данных о угрозах в режиме реального времени из внешних источников, таких как базы данных угроз, инструменты мониторинга даркнета и отраслевая аналитика. Эта адаптивная способность гарантирует, что защита будет развиваться одновременно с угрозами.

    Практическая ценность AIOPS в области кибербезопасности для бизнеса

    Инвестиции в AIOps имеют прямой экономический эффект. Сегодня средняя стоимость утечки данных составляет около 4,5 млн долларов. Компании, использующие интеллектуальные инструменты анализа и реагирования, сокращают время обнаружения и нейтрализации угроз (MTTD и MTTR) в несколько раз.

    Кроме этого, они получают целый спектр дополнительных выгод:

    • снижение затрат за счет автоматизации рутинных задач;
    • повышение прозрачности и управляемости в гибридных ИТ-средах;
    • улучшение соответствия отраслевым стандартам и требованиям регуляторов;
    • масштабируемость решений без пропорционального роста персонала;
    • укрепление доверия клиентов и партнеров к защите данных.

    Как устроен поиск аномалий в российской аналитической AIOPS-платформе Artimate

    В Artimate на данный момент заложены три типа детекторов аномалий, каждый из которых решает различные классы задач и поэтому их нельзя заменить одним универсальным инструментом:

    Анализ временных рядов

    Классический подход с использованием предиктивных регрессионных моделей. Эти модели предсказывают статистику различных типов событий, и когда их прогнозы сильно расходятся с реальностью, это косвенно указывает на аномалию.

    Вот наглядный пример простого правила детекции аномалий. Однако, оно более сложное, чем простой порог. Здесь мы учитываем доверительный интервал и если значения превышают даже его — это подозрительно на аномалию.

    Выделение инвариант в потоках событий

    Этот детектор анализирует цепочки событий и выявляет нарушения в привычных последовательностях. На первом этапе система обучается на исторических данных, понимая, какие цепочки событий являются нормальными.

    Аномалии здесь — это искаженные инварианты, когда привычная последовательность нарушается. Например, вместо обычной цепочки «открытие формы логина → ввод логина → ввод пароля → успешный вход» происходит пропуск шага ввода пароля, и сразу следует успешная авторизация.

    Детектор аномалий плотности

    Самый сложный и чувствительный инструмент. На основании исторических данных строится граф, отражающий периодическую плотность событий — отдельно для будних и выходных дней, для разного времени суток. Эта карта плотностей показывает не только интенсивность событий, но и вероятностные переходы между ними, восстанавливая причинно-следственные связи.

    Этим методом можно выловить едва заметные нехарактерные перераспределения плотностей событий. Например, плотность обращений к базе данных или к внешним ресурсам может не превышать обычные пороги (что не вызвало бы тревоги у классических систем мониторинга), но конфигурация плотностей за последние несколько часов оказывается нехарактерной для обычного поведения системы.

    Ниже — интерпретируемый простой пример:

    Заключение

    Кибербезопасность вступила в новую эпоху. Злоумышленники используют автоматизацию и искусственный интеллект, и компании должны отвечать тем же уровнем технологий. Обнаружение аномалий с помощью AIOps позволяет бизнесу уйти от устаревшей модели реагирования «по факту» и построить систему, где угрозы предсказываются, изолируются и нейтрализуются ещё до того, как они успевают нанести ущерб. Организации, которые уже сегодня интегрируют AIOps в свою систему безопасности, завтра окажутся на шаг впереди не только злоумышленников, но и конкурентов.

    Будьте в курсе

    Наблюдаемость и ее роль в управлении инцидентами

    В этой статье мы разберемся, что такое наблюдаемость, чем она отличается от мониторинга, и как AIOps в синергии с наблюдаемостью улучшает управление сложными ИТ-инфраструктурами
    Подробнее
    Продолжая использовать сайт, вы соглашаетесь на обработку файлов cookie.
    Принимаю