20.07.2016

Пентест - это не искусство. Искусственный интеллект скоро вытеснит пентестеров

Продолжу позавчерашнюю заметку про машинное обучение, искусственный интеллект, нейросети в области информационной безопасности. Сегодня поговорим о некоторых, более конкретных применения этих технологий. Я позволил себе выделить несколько ИБ-стартапов, которые заявили о себе, как об использующих различные технологии искусственного интеллекта для целей кибербезопасности:
  • Cyberlytic (Великобритания). По заказу МинОбороны ее Величества разработали технологию приоритезации атак и оценки рисков ИБ.
  • Cybereason (США). Занимаются обнаружением атак.
  • Darktrace (Великобритания). Занимается анализом поведения сетей, устройств или пользователей.
  • Deep Instinct (Израиль). Говорят, что первые стали заниматься машинным обучением в ИБ (а как быть с Cognitive Security?). Борются с APT (а с чем же еще?). 
  • Fortscale (США). Мониторят поведение пользователей.
  • Jask (США). Занимается корреляцией событий ИБ из разнородных источников.
  • harvest.ai (США). Отслеживают изменения в поведении пользователей, приложений и систем.
  • Neokami (Германия/США). Идентифицируют и классифицирут данные на базе их ценности и чувствительности/конфиденциальности.
  • Pattern.Ex (США). Заявляют о создании "виртуального" аналитика ИБ, который детектирует в 10 раз больше угроз и в 5 раз быстрее, чем машинное обучение и обнаружение аномалий.
  • Status Today (Великобритания). Занимаются мониторингом аномального поведения. 
  • Vectra Networks (США). Автоматически приоритезируют атаки на базе бизнес-ценности активов внутри сети.
Разумеется, это не весь список, а только несколько примеров, которые показывают разноплановость применений машинного обучения/нейросетей в ИБ. Отдельно хотелось бы отметить тему пентестов, которая все чаще и чаще упоминается в контексте именно искусственного интеллекта (как бы к этом термину не относились разные специалисты), который может, и скорее всего, сможет заменить человека.

Ведь что-такое пентест? Процесс проникновения в сеть предприятия путем прохождения через одну или несколько выявленных уязвимостей (не путать с работой Red Team). Сами по себе уязвимости могут быть найдены с помощью различных средств анализа защищенности - от "банальных" сканеров безопасности до   анализаторов исходных кодов и исполняемых файлов (SAST/DAST/IAST). Не все, это очевидно. Ну так и пентестер их находит не все - все зависит от квалификации/технологии. Дальше происходит то, чем обычно и отличается пентестер от сканера - объединение ряда уязвимостей в цепочку последовательных шагов, которые пентестер проходит для достижения своей цели - проникновения внутрь защищаемого объекта. И вот именно эту задачу и можно попробовать автоматизировать с помощью технологий искусственного интеллекта, задача которых самообучаться и снижать число ошибок на основании предыдущего опыта (а число ошибок в случае применения автоматизации может быть сокращено очень сильно). И речь тут не о Metasploit, Core Impact или Immunity Canvas, которые пусть и автоматизируют некоторые задачи пентестера, но не могут его заменить.

Да ну, что за фигня, нельзя работу пентестера автоматизировать, - возразят мне. Это же искусство! Пентестеру так выгодно считать - тогда работу можно продать подороже. И уж точно поторговаться - ведь любое искусство неформализуемо, а значит и "фикс-прайса" быть не может (хотя опыт работы с приложением Prism показывает, что вполне себе формализуемо). Но вспомним тот же RedSeal или Skybox. Эти приложения, опираясь на информацию о конфигурации сети и существующих уязвимостях, вычисляют вектора атак и визуализируют путь движения потенциального злоумышленника (вот тут я рассказывал, как мы это делали в своей внутренней сети). Но в отличие от пентестера они не осуществляют реального проникновения. По описанию, аналогичную RedSeal задачу реализует и отечественный PT MaxPatrol SIEM.

На прошедшей PHDays от организаторов конкурса "CityF: Противостояние" я услышал мнение, что столкнувшись с реальным противодействием со стороны команд безопасников, многие пентестеры спасовали, так как не привыкли к тому, что им реально кто-то противостоит. Мол, многие команды-"хакеров" применяли наборы стандартных шагов, которые достаточно легко просчитывались и отражались. А тут еще мне вспомнился американский стартап SafeBreach, который участвовал в конкурсе инновационных ИБ-компаний на RSA в этом году, и который предложил технологию анализа уязвимостей и предсказания пути движения атакующего на основе полученных знаний. Чем не автоматизация работы пентестера? И это не единственный пример, который демонстрирует возможность подмены с будущей заменой пентестеров. Необходимо только добавить возможность перебора большого числа вариантов и обучения на своих ошибках. И такие решения уже стали появляться. Например, у High Tech Bridge есть система анализа безопасности Web-платформ ImmuniWeb, которая объединяет усилия человека и систем поиска уязвимостей, пентестеров и сканеров безопасности. Она построена именно на технологиях машинного обучения и заявляет о большей эффективности (оперативности и точности), чем может достичь человек в своей работе. Индийский стартап CloudSek также занимается разработкой технологий машинного обучения при пентесте Web-приложений.

Но это не все, кто пытается создать виртуального пентестера. Я нашел еще несколько инновационных компаний, которые предлагают схожие решения (правда, не все пока с функциями искусственного интеллекта). Первые две компании - AttackIQ и Cybric уже предлагают готовые продукты, которые автоматизируют процесс поиска, устранения, приоритезации проблем ИБ, а также измерения состояния ИБ н предприятии. Еще одна компания пока является темной лошадкой. Речь идет о Verodin. У нее интересные технологии, которые позволяют симулировать атаки и автоматизировать непростой процесс оценке защищенности предприятия. Пока готового продукта у компании нет, но она уже привлекла внимание ряда инвестиционных фондов, включая и Cisco, которая в начале июля инвестировала в Verodin некоторую сумму денег и даже помогла компании выставляться на нашей крупнейшей конференции Cisco Live US в Лас-Вегасе. Еще одной темной лошадкой является отечественная компания Awaredefense, созданная выходами из Лаборатории Касперского и которые, судя по тому, что они представляли на конкурс ИБ-стартапов в Сколково, делают схожие вещи. Но информации по заложенным технологиям и идеям в Интернет отсутствуют, поэтому что-то более конкретное сказать сложно.

И это уже готовые решения или их прототипы. Я не говорю о различных исследованиях, которые ведутся в области автоматизации обнаружения дефектов программного обеспечения. Первые серьезные публичные исследования этой темы относятся к началу 80-х годов прошлого века и они уже находят свое применение в сканерах исходных кодов (SAST/DAST/IAST). Есть проекты и по использованию существующих наработок и в целях информационной безопасности. Я видел такие исследования не только у американцев, но и у норвежцев, шведов, турков, англичан... Есть они и в России, но пока я не видел продуктов и решений, которые бы были построены на них.