Киберпанк наступает! (все права СиДи Проджект С.А. - или кто там правообладает этой картинкой)
Скоро искусственный интеллект сделает из DLP безотказное оружие массового уничтожения инсайдеров.
По крайней мере, такие амбиции у стартапа Armorblox, который фичу по умному распознаванию «естественной речи» в электронных письмах.
Это не первая попытка оснастить ИБ-инструменты «разумом», но одна из немногих, которая, кажется, работает. По задумке, новая (в терминах создателей – Advanced) DLP-система будет сканировать электронную почту, фильтровать спам и различный вредоносный контент благодаря лингвистическому анализу, а заодно самообучаться: выявлять закономерности, как общаются реальные пользователи, а как – мошенники.
Технология, особенно заработай она, как заявляется, станет хорошим подспорьем для борьбы с BEC-атаками. Это когда пользователь получает фишинговое письмо не с левого или похожего ящика, а с реального адреса – скажем, от коллеги, с которым у пользователя уже есть ветка переписки. К примеру, бухгалтеру приходит письмо от директора с просьбой перечислить определенную сумму на указанные реквизиты. Вроде бы ничего подозрительного. Но ИИ в «продвинутой DLP» проанализирует письмо и определит, что директор обычно так не пишет и скорее всего его почту захватили злоумышленники.
Идея здравая, но при чем тут DLP?
Если система анализирует в том числе входящую почту, то такая задумка может иметь место. Например, чтобы система помечала «сымитированные» письма как опасные, в идеале – огромным баннером «осторожно, мошенники!» и краткой справкой о сути атаки. Видите, мол, такую маркировку? Не поленитесь, позвоните в приемную шефа, а то и постучитесь в кабинет, но обязательно уточните: мы точно-точно покупаем долю в гугл, как вы написали мне пару минут назад?
Да вроде и встроить фичу есть куда: например, в есть карантин для исходящей почты, по его логике можно было бы создать карантин для почты входящей (даже с внутрикорпоративных адресов), куда и внедрить ИИ-фильтрацию опасного спама.
Но всюду есть «но». Интереснее всего задумка смотрится с исследовательской точки зрения. Недаром полмира ученых и айтишников бьется над обучением машин естественному языку. Но в то, что предложенная стартапом технология заработает «из коробки», пока что поверить сложно. Принципиальное отличие от «традиционных» DLP в том, что для здесь для анализа не предполагается использовать ключевые слова, словари или признаки по метаданным, вместо этого – весь массив перехвата, который ИИ должен вычитать и сам для себя маркировать. Сразу встает вопрос ресурсов: на каких мощностях должна стоять DLP, чтобы кормить такую непрерывно самообучающуюся нейросеть? И уж отдельно, если идея уже реализована, я взглянул бы на то, заработает ли она без багов.
В общем, нельзя даже утверждать, что фича должна стать частью DLP-системы. Скорее идея «взлетела» бы в более нишевых решениях, которые занимаются мониторингом и выявлением фишинга и прочего скама. Такой «умный» антиспам я и сам использовал бы с удовольствием.
