Security Vision

Введение

В современном мире compliance (соответствие требованиям) становится всё более сложной задачей. Организации должны соблюдать множество стандартов, регуляторных требований и внутренних политик, что требует значительных ресурсов и времени. Мы в Security Vision заинтересованы в быстром прохождении процесса соответствия стандартов.  В этой статье мы рассмотрим, как нейронные сети могут автоматически оценивать соответствие активов требованиям, анализируя их свойства и текстовку требований.

Современный ландшафт киберугроз характеризуется беспрецедентной сложностью и динамичностью. По данным исследования IBM Security X-Force, среднее время пребывания злоумышленника в системе до обнаружения составляет 204 дня, а каждая пятая организация сталкивается с так называемыми «живучими» угрозами (persistent threats), которые остаются незамеченными месяцами. В этих условиях традиционные подходы к информационной безопасности, основанные на периметровой защите и сигнатурных методах обнаружения, демонстрируют свою неэффективность. Концепции Managed Detection and Response (MDR) и Threat Detection, Investigation and Response (TDIR/XDR) представляют собой эволюционный сдвиг в кибербезопасности, предлагая комплексные платформы для активного противодействия современным угрозам.

Security Vision

С ростом распространенности искусственного интеллекта (ИИ) и машинного обучения (ML) в бизнесе и промышленности, вопросы безопасности этих технологий становятся все более актуальными. Например, согласно отчету «Яков и Партнеры», всего треть опрошенных компаний в РФ находятся на стадии погружения в область ИИ, 23% уже экспериментируют с этой технологией, а 17% в своих стратегических целях отметили масштабирование показавших себя решений. В отчете McKinsey, для сравнения, говорится, что среди стратегических целей развитие и масштабирование ИИ имеют от 15% до 19% опрошенных компаний.

Современные модели машинного обучения обладают огромным потенциалом, но в то же время они открыты для множества угроз, включая кражу интеллектуальной собственности, атаки на конфиденциальные данные, манипуляции моделями и многое другое. В связи с этим, на рынке появляются специализированные платформы и решения, направленные на защиту ML-систем, особенно заметно это в зарубежном пространстве. В этой статье мы рассмотрим ключевые концепции и решения в области безопасности машинного обучения, а также приведем примеры некоторых продуктов и платформ. Некоторые из мер противодействия угрозам ИИ и видов продуктов безопасности будет возможно реализовать на основе платформы Security Vision, о чем мы более подробно скажем в конце статьи.

Концепции безопасности машинного обучения

Безопасность ML систем – это комплексная задача, требующая применения различных методов и технологий на разных стадиях жизненного цикла модели: от разработки и обучения до эксплуатации и обновления. Разработка делится на такие шаги, как сбор данных, их исследование и изыскание подходящей архитектуры модели, обучение, и валидация модели, а эксплуатация — это автоматизация этих процессов, вкупе с системой мониторинга и оптимизации кода для эффективного потребления ресурсов. Подробнее о практических аспектах практического машинного обучения — тут и тут. А исходная спецификация процесса разработки и внедрения в эксплуатацию ML описана в данной статье.

Максим Анненков, Борис Захир, Security Vision

Введение

В эпоху цифровизации и постоянно растущего количества киберугроз каждая компания стремится понять, сколько она вкладывает в кибербезопасность и какую отдачу это приносит. Кибербезопасность — небесплатное предприятие, и для эффективного управления рисками и оценки отдачи от инвестиций в безопасность требуется грамотный подход.

Один из ключевых аспектов такого подхода — оценка рисков. Это важный инструмент, который помогает понять соотношение затрат на меры защиты со степенью снижения подверженности угрозам, которой можно добиться за счет их внедрения. Оценка рисков может быть как качественной, так и количественной, но самое важное — извлечь из этого процесса полезные выводы, чтобы принять взвешенные и обоснованные решения.

За последнее десятилетие мы убедились, что выполнение вручную процессов расследования и реагирования ограничивает нас по скорости, что сильно сказывается на возможности обрабатывать прирастающий с каждым днем поток инцидентов и угроз. Для того, чтобы помочь в решении складывающейся ситуации специалисты ИБ начинают применять в своей практике новые подходы, такие как Everything as Code (EaC), который зародился на базе практик разработки ПО.

Одна из основных проблематик обнаружения инцидентов, процедур Threat hunting и обнаружения угроз (TI) — высокая гранулярность скриптов и функций, необходимость контроля версий и учета изменений. Поэтому инженеры по информационной безопасности, стремясь повысить эффективность детекта и улучшить качество работы переняли лучшие практики из IT-разработки и назвали этот метод Configuration-as-Code. Давайте разберемся, что он из себя представляет.

В предыдущей статье мы рассказывали про методику оценки качества процесса расследования и реагирования. В двух словах: мы рассуждали, каким образом сформировать систему метрик на основе статистики действий аналитиков SOC, которые позволят проанализировать процессы и процедуры security operation. Применение системы метрик позволит, с одной стороны, оптимизировать действия аналитиков за счет исключения лишних действий (возможно, сделав их необязательными), автоматизировать повторяющихся действий, разработать воркэраунды для слишком долгих действий, пополнить плейбуки действиями, которые в них отсутствуют, но в реальности всегда выполняются. С другой стороны, система метрик позволит повысить качество детекта за счет сбора статистики по условиям, при которых правило коррреляции фолзит из раза в раз. И, в конце концов, система метрик может помочь проанализировать утилизацию средств защиты, а также экономическую эффективность подписок на аналитические сервисы и фиды. Каким образом? Давайте разбираться на реальных примерах.

Оптимизация планов реагирования за счет анализа статистики действий по инцидентам

Анализ планов реагирования стоит начать с проверки достижения им цели полноценного анализа ландшафта инцидента. Почему именно с этого? Да потому, что весь security management стремится в первую очередь к максимальной полноте и актуальности контекста: чем чище и корректнее данные, тем вернее будет решение. Поэтому для выстраивания хорошего процесса расследования надо понять:

·  Насколько качественно мы анализируем все артефакты, собранные в инциденте.