Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor – о практике использования машинного обучения в DLP-системах

26.12.2023 |

Некоторые процессы обеспечения безопасности, которые сейчас решаются с помощью искусственного интеллекта, уже становятся для сотрудников службы ИБ обыденными. Например, в DLP-системе широко применяется технология машинного зрения для распознавания образов. Она позволяет в потоке трафика находить определенную графическую информацию, которая является конфиденциальной.

Мне кажется, не стоит ждать, что искусственный интеллект станет некой «серебряной пулей», которая полностью решит все проблемы. Гораздо правильнее использовать его для решения конкретных утилитарных задач: распознавания образов, классификации данных, поддержки принятия решений, поиска информации в большом объеме трафика, обработки Big Data. Также стоит отметить, что некоторые задачи вообще в принципе невозможно решить без машинного обучения.

Поэтому иногда большие данные вынуждают нас прибегать к искусственному интеллекту. Например, у одного из наших заказчиков DLP-система собирает 1,5 млн событий в сутки. В таком случае внедрение искусственного интеллекта это уже далеко не хайп, а вынужденная мера.

У нас есть реальный кейс, когда другой наш заказчик с помощью инструмента InfoWatch Data Explorer потратил на разбор 4000 событий «серой зоны» всего один час. Система машинного обучения классифицировала все документы, составила аннотацию для каждой категории и таким образом помогла быстро рассмотреть потенциальный инцидент. После этого она же помогла быстро создать в DLP-системе двенадцать новых словарей. С помощью Data Explorer генерация словаря занимает максимум две минуты, тогда как профессиональный лингвист на работу такого же качества тратит от трех до семи рабочих дней.

Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor