Публикации
ИИ для улучшения кадровой политики, статья
HPE InfoSight – искусственный интеллект для центров обработки данных, статья
Violin Systems: новые решения для новых вызовов, статья
SweRV Core – первое RISC-V процессорное ядро Western Digital, статья
Преимущества использования SCM-кэша в составе внешних СХД HPE, статья
Новый RAID-стек – новые возможности, статья
MAX Data: SCM для ускорения БД, статья
Преимущества интегрированных бандлов HPE и Commvault, статья
Intel: новые флэш-устройства, статья
SCM – перспективы одноуровневой памяти, статья
 
Обзоры
Все обзоры в Storage News
 
Тематические публикации
Flash-память
Облачные вычисления/сервисы
Специализ. СХД для BI-хранилищ, аналитика "больших данных", интеграция данных
Современные СХД
Информационная безопасность (ИБ), борьба с мошенничеством
Рынки
ИИ для улучшения кадровой политики

17, декабрь 2018  — 

С середины 2018 г. группа компаний InfoWatch стала продвигать решения с использованием технологий машинного обучения, в частности, стал продвигаться продукт InfoWatch Prediction в классе UEBA (User and Entity Behavior Analytics). Комментариями по новому продукту делится Рустэм Хайретдинов – генеральный директор компании AttackKiller.

Рустэм Хайретдинов – генеральный директор компании AttackKiller (резидент «Сколково»), вице-президент ГК InfoWatch.

SN. Как технологии анализа, основанные на машинном обучении и искусственном интеллекте (ИИ), позволяют решать прикладные задачи бизнеса в области кадровой и финансовой политики организации? Например, решение InfoWatch Prediction позволяет заранее спрогнозировать намерение сотрудника уволиться, минимизировать для компании связанные с этим риски ИБ.

Р.Х. Инструменты ИИ позволяют найти неочевидные, неявные зависимости, при анализе данных. Например, если у вас есть исторические «размеченные» данные, например – архив электронной почты компании и известно, какие люди уволились, то можно поручить искусственному интеллекту найти признаки, общие для уволившихся людей и затем находить их уже в реальном времени. Такие признаки у каждой компании свои, поэтому требуется переобучение на данных клиента. А после обучения система будет уведомлять отдел кадров о том, что переписка сотрудника напоминает переписку человека перед увольнением. Такая информация нужна для разных целей – кадровики получают запас времени для выяснения причин и предотвращения увольнения, ИТ-служба будет более внимательно относиться к запросам на доступ к информации, служба безопасности будет считать более рискованными инциденты с участием конкретного сотрудника, а непосредственный начальник может как-то перераспределить нагрузку на сотрудника и его задачи. Даже ложные срабатывания такой системы выявляют уменьшение активности сотрудника, отклонение его коммуникаций от привычных паттернов – возможно, это связано с «выгоранием», ухудшением самочувствия, внешними условиями (например, рождением ребёнка и недосыпанием), что тоже даёт возможность воздействовать на режим работы (отправить в отпуск, уменьшить нагрузку, поработать с психологом), чтобы уменьшить, в частности, вероятность ошибок и сбоев.

SN. Как происходит переобучение модели на данных клиента? Например, выгружается архив электронной почты или это можно делать на продуктивных системах и др.? Какие аппаратные ресурсы требуются? Можно ли это делать локально или только в облаке разработчика? Обучение происходит только на архиве почты или можно использовать и другие источники? Какие? Как? Как это работает на практике? (можно не указывать клиента).

Р.Х. Предварительное обучение лучше проводить на исторических данных, потом уже постепенно дообучая модель на актуальных данных. Обучение сегодня клиенты предпочитают проводить внутри своей информационной системы, выделяя виртуальные или реальные вычислительные ресурсы – передавать огромное количество сырых внутренних данных даже в доверенные облака клиенты пока не решаются. Соотношение стоимости вычислительных ресурсов для таких задач к стоимости программного обеспечения и консалтинга относительно невелико, поэтому стоимость инфраструктуры под такой внутренний проект не является отсекающим.

Когда мы говорим об анализе архива почты, мы имеем в виду не только собственно переписку и её содержание, но и все другие данные, которые хранятся в архиве коммуникаций: атрибуты сообщений (когда, из какого почтового клиента, изнутри информационной системы или удалённо). Для анализа, кроме семантической, смысловой характеристики коммуникаций, используются и статистические характеристики: частота (как часто общается сотрудник), вариативность (комуникации с одним и тем же списком абонентов или всё время с разными), плотность (количество коммуникаций с основными в единицу времени), мощность (как много информации содержится в каждой коммуникации), распределение коммуникаций по времени дня и дням недели и т.п. Всего используется около трёхсот признаков коммуникаций, значения которых в совокупности образуют практически однозначную биометрическую характеристику сотрудника, изменения которой в определённом направлении с хорошей, более 90%, точностью, коррелирует с предувольнительным состоянием сотрудника.

SN. Бизнес сегодня нуждается в переходе к проактивной защите от ИБ-угроз, которая достигается при внедрении ИИ-технологии в каждый узел системы информационной безопасности предприятия. Расскажите, пожалуйста, о такой защите подробнее.

Р.Х. При цифровой трансформации бизнеса не только повышается роль информационных систем, но и сами системы становятся очень гибкими и быстро меняются. Сегодня атака на ИТ-систему означает атаку на бизнес, поскольку большинство процессов не имеют дубликатов в офф-лайне, а происходят только внутри информационных систем. Бизнесу уже недостаточно мониторинга и расследований инцидентов, он хочет предотвращения, а этого невозможно достигнуть, не понимая сути защищаемых процессов. Поэтому сегодня информационная безопасность стремится защищать не инфраструктуру, приложения или данные, а процессы, реализованные в этой инфраструктуре с помощью этих приложений и данных. В такой постановке задачи бизнесу не интересна причина отклонения от процесса – кибератака это, компьютерный сбой, ошибка оператора или мошеннические действия, ему нужно предотвратить нештатное выполнение своих процессов. Такую задачу практически невозможно решить навесными инструментами, нужно встраивать контроли безопасности в сами процессы. А поскольку процессы, за редким исключением, мало того, что неполно описаны, но ещё и часто меняются, то и встроенные контроли безопасности должны постоянно адаптироваться под эти изменения при недостатке информации. Такую задачу можно смело поручить ИИ: обычно он хорошо и быстро справляется с самообучением. Например, вы выкатили новый функционал на сайт, встроенная система защиты быстро изучила его, определила уязвимые места и автоматически изменила настройки фильтров трафика, чтобы не допустить атаки на уязвимости. При таком подходе можно полностью обойтись без «белкового оператора», человека, заменив его роботом.

SN. Нам важно любой ценой поддержание какой-то функции/процесса при этом нас не волнует, что к этой функции имеют доступ посторонние лица? Или поддержание процесса также включает и разграничение доступа и защиту хотя бы чувствительных данных? Это относится только к простым web-приложениям, например, заполнение заявки на товар в браузере, или можно контролировать более сложные ERP/CRM приложения с подсистемами для аналитики/обучения/интеграции данных и др.?

Р.Х. Бизнесу, по большому счёту, от безопасности нужно только одно: чтобы хорошие процессы происходили без задержек, а плохие не происходили вообще. Поэтому им приветствуется встроенный контроль любого процесса, а в каких системах он реализован – не так важно, все системы автоматизации и роботизации бизнес-процессов – ERP, CRM, АБС, биллинг, веб-приложения, системы документооборота – умеют обмениваться данными и позволяют встраивать внутренние роботизированные контроли. Ни один процесс не реализован полностью в одном приложении – всегда есть не только транзакционный, но и коммуникационный, и поведенческий слой процесса. Поэтому от встроенных контролей требуется умение обрабатывать не только неких правил внутри ключевого приложения процесса, но и данные о поведении участников процесса и их коммуникациях. По нашему опыту и опыту наших коллег по уже реализованным проектам успешно встроить роботизированную самозащиту можно в сложные процессы, построенные большом количестве приложений: управление складом и логистикой, найм сотрудников, закупочные процедуры, управление счетами клиентов в банке, кассовые операции в розничной торговле, контроль исполнения инвестиционных проектов и т.п.

Разграничение доступа и невозможность хищения данных это естественная и встроенная часть любого цифрового процесса, их можно отнести к неспецифическим инфраструктурным контролям, то есть они приблизительно одинаково реализованы в большинстве цифровых процессов.

Публикации по теме
Специализ. СХД для BI-хранилищ, аналитика "больших данных", интеграция данных
 
Новости InfoWatch

© "Storage News" journal, Russia&CIS
Редакция: 115516, Москва, а/я 88; тел./факс - (495) 233-4935;
www.storagenews.ru; info@storagenews.ru.