​Interjú: gépekkel vezérelt információbiztonság

Az informatikai biztonság is egyre inkább alapoz a mesterséges intelligencia és a gépi tanulás vívmányaira. E technológiák nélkül ma már roppant védtelenek lennénk.
 

A mesterséges intelligencia és a gépi tanulás védelembe történő bevonásával minden nagyobb biztonsági cég kiemelten foglalkozik. Sok helyen intenzív fejlesztések folynak annak érdekében, hogy a milliószámra terjedő kártékony programok, valamint az egyéb, gyorsan változó fenyegetettségek detektálása hatékonyabbá válhasson. Ács Györgyöt, a Cisco IT biztonsági konzultánsát a mesterséges intelligencia információbiztonságban betöltött szerepéről, lehetőségeiről és jövőjéről kérdeztük.
 
Biztonságportál: A mesterséges intelligencia térhódítása egyre nagyobb léptékekben zajlik. E korszerű technológiák miként formálják át az információbiztonságot?

Ács György: A mesterséges intelligencia alapvetően abban segít, hogy a döntéseket felgyorsítsa, és minél gyorsabban tudjunk egy malware mintáról, támadó kódról véleményt mondani. Nagyságrendileg 100 millió új minta keletkezik évente, és ezek feldolgozása mindenképpen gépi segítséget igényel. Manuálisan ez a munka már követehetetlen, kivitelezhetetlen lenne.  
A gépi tanulás megoldásai (neurális hálók, nem felügyelt tanulás algoritmusai stb.) milyen módon öltenek testet a védelmi eszközökben? Miként válnak ezek kézzelfoghatóvá a biztonság megerősítésében?

Az egyik legklasszikusabb példa a spam detektálás. Minden gépi tanulással foglalkozó tanfolyam azzal kezdődik, hogy spamfelismerőt kell készíteni, amely képes megkülönböztetni a kéretlen leveleket a hasznos küldeményektől. Mindez már évek óta bevett technológiákra épül.
 
Ezeket olyan megoldások egészítik ki, mint amilyenek például a reputációs, valamint fájlelemzésre épülő technológiák. Ilyen az AMP (Advanced Malware Protection) is. Ennél az úgynevezett random forest módszert használjuk, ami arra alapoz, hogy különböző paramétereket (feature) számolunk ki, majd ezek alapján döntési fát alkotunk.
 
Egy másik megoldás a mi portfóliónkban az OpenDNS akvizícióra épülő Umbrella, amely több statisztikai modellt alkalmaz. Vizsgálja például, hogy egy adott domain esetében mik voltak az előzmények vagy milyen a geolokációs modell. Naponta több mint 100 milliárd domain kérést elemzünk egyebek mellett a Spike rank technikával, aminek segítségével a domain kérések időbeli lefolyása és eloszlása alapján támadási mintákat lehet azonosítani. Egy nyelvi modell segítségével pedig azt is vizsgáljuk, hogy milyen domain neveket regisztrálnak be, amik gyanúsak lehetnek (például go0gle.com). Emellett alkalmazzuk az úgynevezett Live DGA predikciót is. Reverse engineering módszerrel vissza tudjuk fejteni a DGA algoritmusok működését, és ez alapján akár előre is tudunk jelezni nemkívánatos domain neveket.
   
Mindezek mellett egy új irányba is elmozdultunk, amivel a titkosított C&C kommunikációt azonosítjuk. Körülbelül két évig tanítottuk a rendszerünket sandboxban futtatott malware-ekkel. Megtanítottuk a malware-ek viselkedési mintáit, és nyilván rögzítettük az ártalmatlannak számító műveleteket is. Ennek alapján tudunk ártalmas adatforgalmat detektálni, akkor is, ha az titkosított. Eddig 99,6 százalékos felismerési arányt sikerült elérni az ismert mintákon.
 
Ide sorolható még a Cognitive Threat Analytics technológiánk is, amely azt vizsgálja, hogy miként lehet a felhőben pusztán web logok alapján malware kommunikációt azonosítani. Ez egy több láncú folyamat, amely a hosztok által felkeresett URL-ek alapján kategorizál, osztályoz, majd támadási modellekkel veti össze az eredményeket, és szükség esetén riasztást generál.
   
A szervezetek mennyire együttműködők, amikor – adott esetben érzékeny adatokat is tartalmazó – logokat kell megosztaniuk. Felvet-e ez adatvédelmi aggályokat?

Az ügyfelek nagyrészt már megértették, hogy nekik is kell információt biztosítaniuk ahhoz, hogy védelmet kaphassanak. Nyilván az adott gyártónak publikálnia kell, hogy pontosan milyen adatokat vár. Ha ezt megteszi, akkor az ügyfelek általában hajlandók arra, hogy adott szintig megadják a legszükségesebb információkat.
 
A mesterséges intelligencia mennyiben fogja megváltoztatni a vállalati biztonságmenedzsmentet? Mely folyamatokat lehet leginkább „gépiesíteni”?

Úgy látom, hogy a mesterséges intelligencia még évekig nem fogja átvenni a „vezérlést”, és nem fogja teljesen tehermentesíteni a kutatókat. Még sokáig egy hasznos eszköz marad a szakemberek kezében. Azonban a gyors válaszreakciókban sokat tud segíteni, vagyis, hogy minél gyorsabban detektáljuk a támadásokat. A Cisconál alkalmazunk olyan mérőszámokat, amik azt mutatják meg, hogy milyen gyorsan lehet azonosítani egy malware-t. Az időnek kritikus szerepe van! Minél hamarabb detektálunk egy malware-t, annál kisebbek lesznek a veszteségek. Az iparban átlagosan 100 nap körül mozog a detektálás időszükséglete, a Cisconál ez átlag 3 óra. Ugyanakkor percekre is csökkenhet mindez, ha egyszerűbb, sandboxban kiszűrhető mintáról van szó.
 
Egyebek mellett a mesterséges intelligencia fejlődésnek köszönhetően a gép-gép közötti kommunikáció egyre fajsúlyosabbá válik (akár az iparban, akár a közlekedésben). Hogyan védhetjük az ilyen jellegű adatáramlást?
 
Napjainkban a kommunikáció zöme DNS-feloldással kezdődik. Igaz ez a malware-ek kommunikációjára is. A kártékony programok 91,3 százalékban használnak DNS-t. A kérdés főleg az IoT szempontjából kritikus, amit jól mutatnak az IoT-alapú DDoS támadások is.
 
A megoldásainkban vannak speciális protokollokat védő vizsgálati motorok. Például a Snort szignatúralapú IPS rendszer esetében is gyakorta alkalmazunk gép-gép közötti kommunikációt védő IPS-szabályokat.
 
Elképzelhető-e, hogy a jövőben a mesterséges intelligenciát is meg kell védenünk például a tanító adatbázisok megfertőzésétől vagy egyéb manipulációktól?

A védelmi oldal nagy versenyelőnye, hogy ezek a rendszerek többnyire a felhőben működnek. De miért fontos ez? Mert a kiberbűnözők nem fogják tudni megvásárolni ezeket. Nyilván szolgáltatásokat tudnak venni, de nem tudják majd a teljes rendszert átlátni és kezelni. Ha kiberbűnözői szemszögből gondolkodunk, akkor az imént említett Cognitive Threat Analytics-be is beküldhetnek naplóadatokat, és vizsgálhatják, hogy a rendszer mit képes detektálni. De azért ez egy jóval bonyolultabb folyamat, mintha egy tűzfalat vásárolnának, és azt elemeznék.
 
A gépi tanulás komoly erőforrásokat igényel. Ahhoz, hogy be lehessen tanítani ezeket, grafikus és cél processzorokat kell alkalmazni, valamint nagyteljesítményű szerver infrastruktúrára van szükség. Tehát komoly befektetést igényel kiberbűnözői oldalon is. Ezért azt gondolom, hogy csak évek múlva következhet be az, hogy a kiberbűnözők mesterséges intelligenciát fognak széles körben használni.
 
Persze vannak már most is ilyen kezdeményezések: a vírusírók azon is gondolkodnak, hogy miként lehet automatizálni a malware készítést. Ilyen módon addig alakítgatják az egyes mutációkat, amíg elérik, hogy azokat ne detektálják a védelmi technológiák.