Стартап PatternEx, созданный выходцами из лаборатории искусственного интеллекта МТИ, выпустил платформу безопасности, которая самостоятельно обучается на основе откликов аналитиков об отмечаемых ею утечках данных и банковских мошенничествах.
Система, ведя мониторинг протоколов работы межсетевого экрана, а также входящего и исходящего трафика сети, предупреждает аналитиков заказчика о подозрительных пакетах, могущих использоваться вредоносами для связи с управляющими серверами или содержащих данные, которые несанкционированно покидают пределы сети, объясняет генеральный директор и сооснователь PatternEx Удай Вирамачанени.
Модуль искусственного интеллекта получает сведения о том, как аналитики реагируют на каждое предупреждение, и на основании этих данных обновляет модель, прогнозирующую реакции. Таким образом, со временем число ложноположительных срабатываний системы уменьшается.
По мере роста клиентуры в компании смогут собирать все больше учебных данных для PatternEx, и точность прогнозной модели будет повышаться.
Система машинного обучения обещает усовершенствования по сравнению с обычной процедурой, когда специалистам приходится выяснять, является ли тот или иной вид трафика следствием инцидента безопасности, и нередко атака обнаруживается слишком поздно.
Эрик Огрен, аналитик 451 Group, считает, что новая система может быть полезной крупным компаниям, которым сложно набрать достаточный штат дефицитных сейчас квалифицированных аналитиков по безопасности. По словам Огрена, ту же проблему пытаются решить другие разработчики средств безопасности, в частности Exabeam, Securonix и Red Owl, предлагающие средства анализа поведения пользователей и систем.
Как объясняют в PatternEx, ее технология Active Contextual Modeling отличается от систем машинного обучения, рассчитанных на распознавание аномалий, тем, что она не пользуется наборами правил, а пытается имитировать интуицию людей. В компании утверждают: ее решение распознает угроз на порядок больше по сравнению с другими, а ложноположительных срабатываний выдает впятеро меньше.
Среди входных данных, используемых алгоритмом PatternEx, — количество отправленных и принятых байтов, IP-адрес источника и назначения, продолжительность соединений, интервалы между соединениями и т. д. Если сгенерированная алгоритмом модель ошибается хотя бы в четырех из десяти прогнозов, то взамен нее создается новая, говорит глава компании.
Данные собираются малоресурсоемкими агентами на оконечных устройствах, а накапливаются и анализируются на сервере, который может размещаться в облаке PatternEx или локально у клиента. Система способна работать в качестве дополнения к программно-аппаратным комплексам для управления информацией и событиями безопасности.
В компании рассчитывают, что со временем технология научится распознавать больше различных категорий атак. Для этого, в частности, могут быть задействованы данные из Active Directory и корпоративных репозиториев информации. По словам руководителя компании, есть планы обучить систему выявлять нестандартное поведение веб-приложений.
Сервис уже предлагается. Расценки зависят от объема обрабатываемых данных и видов прогнозов. На сегодня система обучена распознавать утечки данных и онлайн-мошенничества.
Компания была основана около двух лет тому назад, получив 2 млн долл. на развитие от венчурных инвесторов. Как сообщают ее руководители, сейчас у PatternEx шесть заказчиков, завершающих тестирование сервиса, и пять из них — это компании, входящие в рейтинг Fortune 500.