Banki sięgają po AI. Pomaga zapobiegać wyciekom danych

Eksfiltracja danych to jedno z najpoważniejszych zagrożeń dla współczesnych instytucji finansowych. Banki, borykając się z ogromną skalą potencjalnych incydentów, postawiły na innowacyjne podejście wykorzystujące uczenie maszynowe do automatyzacji procesów wykrywania i zapobiegania wyciekom danych. To był jeden z wątków tegerocznej edycji The Hack Summit.

Problem skali

Banki mierzą się z wyzwaniem, którego rozmiar może zaskakiwać nawet doświadczonych specjalistów od cyberbezpieczeństwa. System Data Leak Prevention w banku ING generuje około 12 milionów zdarzeń w ciągu zaledwie 30 dni. To astronomiczna liczba, której tradycyjne zespoły analityków nie są w stanie przetworzyć bez zaawansowanej automatyzacji.

Każde z tych zdarzeń może być zarówno nieszkodliwym, rutynowym działaniem użytkownika, jak i próbą wycieku kluczowych informacji biznesowych.

Eksfiltracja danych w organizacji takiej jak bank przyjmuje dwie główne formy: nieświadomą i świadomą. Pierwsza kategoria obejmuje błędy ludzkie, takie jak omyłkowo wysłana wiadomość email do niewłaściwego odbiorcy czy przypadkowe udostępnienie poufnego dokumentu. Druga to celowe działania, których wykrycie wymaga znacznie bardziej zaawansowanych mechanizmów analitycznych.

Uczenie maszynowe jako analityk nowej generacji

Odpowiedzią na to wyzwanie jest wdrożenie rozwiązań opartych na uczeniu maszynowym, które mają za zadanie nie tylko automatyzować rutynowe czynności, ale przede wszystkim myśleć jak najlepszy analityk bezpieczeństwa. Jak wyjaśniają specjaliści z banku, ich celem jest przekształcenie modelu w świetnego analityka, który potrafi rozpoznawać wzorce i anomalie w morzu codziennych zdarzeń.

Kluczowym elementem systemu jest aktywne wyszukiwanie zagrożeń, czyli threat hunting. Uczenie maszynowe automatyzuje konsole bezpieczeństwa i łączy dane z różnych narzędzi w jednym spójnym interfejsie, co pozwala analitykom na szybszą i bardziej efektywną pracę.

Trening na wiedzy ekspertów

Najbardziej fascynującym aspektem rozwiązania jest sposób, w jaki modele uczą się od ludzkich analityków. Proces treningowy opiera się na rzeczywistych decyzjach specjalistów od bezpieczeństwa, klasyfikujących wiadomości email i inne zdarzenia jako bezpieczne lub potencjalnie niebezpieczne. Te oznaczone dane stają się materiałem treningowym, który uczy model rozpoznawania wzorców charakterystycznych dla różnych kategorii zagrożeń.

System przypisuje każdemu zdarzeniu etykietę określającą poziom ryzyka: krytyczny, niski lub nieszkodliwy. To właśnie analitycy, pracując z interfejsem SIEM, gdzie gromadzone są wszystkie alerty, dostarczają modelowi informacji zwrotnej niezbędnej do ciągłego doskonalenia. Monitoring modelu mailowego stał się rutynową praktyką w codziennej pracy zespołu.