«Образумьте уже эту вашу…», или еще раз об ИИ в DLP

23.03.2022

Вернуться к списку статей

Скоро искусственный интеллект сделает из DLP безотказное оружие массового уничтожения инсайдеров. По крайней мере, такие амбиции у стартапа Armorblox, который прикрутил к DLP фичу по умному распознаванию «естественной речи» в электронных письмах.

Киберпанк наступает! (все права СиДи Проджект С.А. - или кто там правообладает этой картинкой)

Это не первая попытка оснастить ИБ-инструменты «разумом», но одна из немногих, которая, кажется, работает. По задумке, новая (в терминах создателей – Advanced) DLP-система будет сканировать электронную почту, фильтровать спам и различный вредоносный контент благодаря лингвистическому анализу, а заодно самообучаться: выявлять закономерности, как общаются реальные пользователи, а как – мошенники.

Технология, особенно заработай она, как заявляется, станет хорошим подспорьем для борьбы с BEC-атаками. Это когда пользователь получает фишинговое письмо не с левого или похожего ящика, а с реального адреса – скажем, от коллеги, с которым у пользователя уже есть ветка переписки. К примеру, бухгалтеру приходит письмо от директора с просьбой перечислить определенную сумму на указанные реквизиты. Вроде бы ничего подозрительного. Но ИИ в «продвинутой DLP» проанализирует письмо и определит, что директор обычно так не пишет и скорее всего его почту захватили злоумышленники.

Идея здравая, но при чем тут DLP? Если система анализирует в том числе входящую почту, то такая задумка может иметь место. Например, чтобы система помечала «сымитированные» письма как опасные, в идеале – огромным баннером «осторожно, мошенники!» и краткой справкой о сути атаки. Видите, мол, такую маркировку? Не поленитесь, позвоните в приемную шефа, а то и постучитесь в кабинет, но обязательно уточните: мы точно-точно покупаем долю в гугл, как вы написали мне пару минут назад?

Да вроде и встроить фичу есть куда: например, в нашем КИБе есть карантин для исходящей почты, по его логике можно было бы создать карантин для почты входящей (даже с внутрикорпоративных адресов), куда и внедрить ИИ-фильтрацию опасного спама.

Но всюду есть «но». Интереснее всего задумка смотрится с исследовательской точки зрения. Недаром полмира ученых и айтишников бьется над обучением машин естественному языку. Но в то, что предложенная стартапом технология заработает «из коробки», пока что поверить сложно. Принципиальное отличие от «традиционных» DLP в том, что здесь для анализа не предполагается использовать ключевые слова, словари или признаки по метаданным, вместо этого – весь массив перехвата, который ИИ должен вычитать и сам для себя маркировать. Сразу встает вопрос ресурсов: на каких мощностях должна стоять DLP, чтобы кормить такую непрерывно самообучающуюся нейросеть? И уж отдельно, если идея уже реализована, я взглянул бы на то, заработает ли она без багов.

В общем, нельзя даже утверждать, что фича должна стать частью DLP-системы. Скорее идея «взлетела» бы в более нишевых решениях, которые занимаются мониторингом и выявлением фишинга и прочего скама. Такой «умный» антиспам я и сам использовал бы с удовольствием.

Автор - Алексей Дрозд, начальник отдела информационной безопасности "СёрчИнформ"


Алексей Дрозд ИБ-практика


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними