Недавно мы внедрили в нашу систему защиты от утечек (DLP) «СёрчИнформ КИБ» ИИ-модуль для оптимизации процессов безопасности. Со встроенным ИИ-модулем система научилась выявлять скрытые инциденты, которые невозможно обнаружить стандартными методами – коротко рассказываем, как это работает.
Что за модуль?
Это «ИИ Ассистент КиберЗащиты» от компании «Системные технологии» – локально работающая большая языковая модель (LLM), заранее натренированная на распознавание инцидентов внутренней безопасности. Она анализирует сообщения и файлы в корпоративной почте и мессенджерах, и выявляет сложные инциденты, которые невозможно обнаружить стандартными методами.
У него три основные задачи.
1. Выявление скрытых инцидентов
Новый инструмент определяет контекст переписки и распознает скрытые признаки нарушений.
ИИ-модуль работает по предустановленным промптам, доступным в «СёрчИнформ КИБ» в виде готовых ИИ-политик безопасности. По этим промптам система выявляет угрозы в диалогах в почте и мессенджерах и присваивает им метки. Например, «откат», «просьба перевода на карту», «воровство» или «раскрытие коммерческой тайны». Такую классификацию может выполнить только ИИ-модуль, поскольку он понимает контекст, бизнес-процессы и учитывает тональность общения.
Контекст важно учитывать и при поиске других нарушений внутренней безопасности: мошеннических схем, откатов, саботажа и др. Ведь когда слово «премия» звучит в письме от HR/руководителя – это норма, но в переписке между закупщиком и поставщиком – высокий риск. ИИ это умеет. А заодно «смотрит шире»: в отличие от стандартных политик безопасности, ИИ-политики обрабатывают сразу цепочки писем и целые ветки в чатах, а не сообщения по отдельности. Поэтому фиксируют инцидент, даже если его признаки разбросаны в длинном обсуждении.
Сейчас модуль «ИИ Ассистент КиберЗащиты» умеет обнаруживать около десятка видов внутренних нарушений:
-
Раскрытие тайны: например, попытки получить доступ к «закрытым» данным через коллег, кражу интеллектуальной собственности, пробивы данных за вознаграждение.
-
Корпоративное мошенничество: откаты, просьбы переводов «на карту» или в криптовалюте за сомнительные услуги, работу «налево», попытки скрыть переписку.
-
Группы риска среди пользователей: опасные зависимости и нарушения закона.
-
Проблемы в коллективе: конфликты и оскорбления, сплетни.
Это только начало. В планах – расширить число ИИ-политик в КИБ, чтобы обнаруживать больше типов нарушений. ИИ-ассистент фокусируется на распознавании неявных инцидентов: завуалированных обсуждений, попыток замаскировать данные или скрыть проблемы.
«ИИ-ассистент распознает даже хорошо замаскированные попытки обойти корпоративные правила. При этом модуль работает локально: конфиденциальные данные компании не покидают ее пределов», – объясняет Алексей Парфентьев, заместитель генерального директора по инновационной деятельности «СёрчИнформ».
2. Резюме чатов и документов
ИИ-модуль также представляет ИБ-специалисту краткое содержание длинных переписок и документов для быстрого ознакомления.
ИБ-специалист получит готовую сводку о сути обсуждения, не тратя время на ручной разбор «фактуры». Резюме переписки – готовая база для докладной записки по инциденту, это экономит силы. Больше того: модуль сразу «подсвечивает» подозрительные детали переписки. То есть аргументирует, по каким признакам выявил нарушение. Это страхует от галлюцинаций ИИ и помогает ИБ-специалисту проверить результаты, если инцидент неоднозначный. Главная экспертиза – у человека, ИИ помогает взвешенно принять решение по дальнейшему реагированию.
«ИИ-ассистент помогает автоматизировать рутинные задачи и экономит часы работы, – комментирует Алексей Парфентьев. – Например, при расследовании возможного отката в переписке с иностранным партнером ИИ сразу помечает диалог, переводит ключевые фрагменты и создает краткую сводку. Это позволит ИБ-службе сосредоточиться на принятии решений».
3. Автоматический перевод
Одновременно ИИ-модуль может переводить тексты прямо в интерфейсе DLP на несколько языков. Это особенно актуально для компаний, у которых есть филиалы за рубежом или иностранные партнеры, клиенты и контрагенты – ИБ-специалист не пропустит инцидент, потому что не понял, о чем общаются сотрудники.
ИИ-ассистент переводит переписки и документы со 120 разных языков на русский, английский, испанский, французский, немецкий, арабский и турецкий, этот список расширяется. Автоперевод происходит в реальном времени и без подключения ко внешним сервисам, что также соответствует задачам безопасности.
Все новые возможности доступны в десктопной и веб-версии «СёрчИнформ КИБ» при внедрении ИИ-модуля. Модуль разворачивается локально, для внедрения необходим выделенный сервер с графическим ускорителем.
Если хотите попробовать, оставьте заявку – будем рады обратной связи!
ссылка на оригинал статьи https://habr.com/ru/articles/1035186/