Как один ученый-аналитик внедряет методы обнаружения угроз безопасности
cloud security, modern security, защита ит-инфраструктуры
Популярность data science (науки о данных) как области для исследований только растет. Это актуально для любой отрасли. Будучи студенткой, Мария Пуэртас Кальво даже представить не могла, что когда-то она станет первопроходцем в использовании техник data science для обнаружения угроз безопасности. Она начала свою карьеру в Microsoft в команде Safety Platform, разрабатывая алгоритмы для идентификации учетных записей Microsoft, которые рассылают спам-сообщения. Затем Мария работала над машинным обучением для обнаружения взлома учетных записей Microsoft в режиме реального времени.
Сейчас Мария возглавляет группу data science по безопасности в отделе идентификации, работая сразу над несколькими вопросами: защита от взлома учетных записей пользователей и защита нашей собственной инфраструктуры от мошенничества и злоумышленных действий, в том числе контроль, чтобы спамеры и боты не создавали учетные записи, способные навредить отдельным людям или другим организациям. Ее работа оказалась настолько важной, что команда со временем расширилась вдвое, привлекая новых сотрудников от Редмонда до Дублина и Атланты.
В рамках Месяца женской истории Алекс Саймонс, вице-президент по управлению программами идентификации, пригласила Марию побеседовать и узнать больше о ее новаторской работе и вдохновляющей истории. Интервью отредактировано для большей ясности и по длине.
Алекс: Мария, как ты попала сферу инженерии?
Мария: Я родом из Мадрида (Испания). Меня всегда интересовали математика и естественные науки. С детства я всегда был отличницей – по-настоящему любила числа. Когда я начала изучать физику в старшей школе, я уже точно знала, что хочу построить карьеру в научной сфере, занимаясь чем-то новаторским.
В Испании не принято уезжать на обучение в колледж. Вы днем посещаете занятия, а вечером возвращаетесь домой к родителям. Действительно хороший университет находился всего в 10 минутах от моего дома. На самом деле он не ориентирован на инженерные профессии, однако в нем была одна техническая школа, где можно было изучать электротехнику и информатику.
Алекс: Что побудило вас перейти от чистой электротехники к чему-то более ориентированному на криминалистику, а затем, в конечном итоге, на data science?
Мария: Все это произошло совершенно случайно, я этого вовсе не планировала. Я очень хорошо училась в колледже – была первой ученицей в своем классе. Закончила обучение в 2010 году, в разгар Великой рецессии, которая крепко ударила по испанскому рынку труда. В то время уровень безработицы достиг 25%. Только такие счастливчики, как специалисты-инженеры, получали предложения о работе. Но когда вы работаете в сфере технологий в Испании, у вас есть лишь один путь: работать в консалтинговой компании, либо заниматься поддержкой или продажами. В сфере исследований и разработки не было вакансий для специалистов начального уровня.
Итак, я поступила в магистратуру с группой, которая занималась исследованиями в области биометрии. Магистратура также застрагивала область информатики, была очень связана с искусственным интеллектом и множеством смежных областей, таких, как обработка мультимедийных сигналов, компьютерное зрение и обработка естественного языка. Я написала диссертацию по статистике судебно-медицинских отпечатков пальцев и вероятности случайного совпадения между скрытым отпечатком пальца, найденным на месте преступления, и случайным человеком, которого ошибочно могли признать виновным в этом преступлении.
Алекс: Так какова вероятность, что так может случиться?
Мария: Очень-очень низкая. Но не нулевая.
Алекс: Ок, это впечатляет! Насколько я помню, вы работали в аспирантуре здесь, в Соединенных Штатах, не так ли?
Мария: На момент окончания магистратуры я уже встречалась со своим нынешним мужем, американцем. И я не хотел заканчивать всю кандидатскую диссертацию. Мне хотелось наконец-то начать работать в этой сфере, потому что я уже 7 лет была студенткой и всю жизнь ученицей. Мне хотелось начать нормальную жизнь, а не мотаться на большие расстояния между Мадридом и Вашингтоном в округе Колумбия. Поэтому я воспользовалась своим правом на стипендию и стала приглашенным исследователем в Университете Мэриленда, работая над биометрией распознавания радужной оболочки глаза. Я проработала там около девяти месяцев.
Алекс: Ого. Мой отец получил докторскую степень в Мэрилендском университете – я там родился. Как тесен мир! Итак, расскажите нам, как вы попали в Microsoft.
Мария: Я не считала для себя очень полезным академическое сообщество. Поэтому решила для себя: «Пора искать работу в отрасли». Я жила в США со своим женихом по студенческой визе. А в округе Колумбия большинство технологических компаний – государственные подрядчики, которым требуются разрешения службы безопасности, доступные только для американских граждан. У меня также не было никакого опыта в отрасли.
У меня ушло пару месяцев на поиски работы, но никто ни разу так и не перезвонил. Затем неожиданно я получил сообщение в LinkedIn от рекрутера Microsoft, в котором говорилось: «Привет, у нас есть должность специалиста по данным в команде Safety Platform в Сиэтле». И я подумала: «Сиэтл, нет, ни за что». Все, что я знал о Сиэтле, это то, что там часть льют дожди, и это на другом конце страны. И уж тем более так далеко от Испании. Но мой муж сказал: «Эй, тебя пригласили на интервью. Давай, посмотри, что из этого получится. Тебе нужна практика».
Алекс: В команде Safety Platform вы проделали новаторскую работу, которая стала основой нашего успеха. Расскажи об этом подробнее.
Мария: Я работала над машинным обучением, чтобы обнаруживать взломы учетных записей Microsoft в реальном времени. Когда пользователь входил в свою учетную запись на Outlook.com, в Xbox или любом другом сервисе от Microsoft, мы запускали модель машинного обучения (ML), чтобы определить, был ли этот вход легитимным, или какой-то хакер заполучил пароль пользователя. Я была экспертом по аналитическим данным, который занимался обучением модели и повышением ее точности. Хотя недавно я уже завершила основную работу над моделью, мы все еще наблюдаем за ней, и она действительно хорошо справляется.
Алекс: пока что никому не удалось добиться таких же успехов в такой работе в этой сфере. Сегодня существует целая индустрия поведенческой аналитики пользовательских объектов, но вы были одной из первых в мире, кто это сделал! Мария, мне нравится работа вашей команды. Для меня вы- супергерои, защищающие мир, но я не уверенна, что у наших клиентов есть остаточно ясно представление о том, какое волшебство вы творите.
Мария: Спасибо, Алекс. Мы используем аналитику и машинное обучение, чтобы обнаруживать недопустимую активность в экосистеме идентификации. Наша цель – защитить наших клиентов от мошенничества и взлома аккаунтов с помощью передовых технологий искусственного интеллекта и анализа данных. Мы продумываем способы обнаружения злонамеренных атак, мошенничества или взлома учетных записей среди всех данных безопасности, которые мы проверяем в Microsoft. Это сотни терабайт ежедневно. Это сложная проблема, но действительно интересная.
Алекс: Одна из ваших наиболее инновационных работ за последнее время была связана с обнаружением паролей. Можете нам рассказать, как с помощью данных от нескольких клиентов вам удается обнаруживать вещи, которые, возможно, не удалось бы никому другому?
Мария: При атаке с использованием метода распыления пароля злоумышленник получает список адресов электронной почты, которые он находит или собирает в результате взлома. Затем он пробует несколько распространенных паролей для всех этих адресов электронной почты – подставляя их для тысяч пользователей из тысяч организаций.
Мы знали, что наши клиенты подвигаются таким атакам, но хотели обнаружить их максимально точно. Эти атаки распространяются на множество разных IP-адресов, стран и прокси-серверов, поэтому сложно выделить попытки входа, которые являются частью реальной атаки. Мы создали правило обнаружения, которое гласит: «Ок, мы видим IP-адреса с множеством неудачных попыток входа с использованием одного и того же пароль». И затем мы видим, что эти попытки происходят уже с другим паролем.
Таким образом мы можем изолировать возможную атаку, но при этом столкнемся со множеством рутинных действий. Итак, один из самых замечательных специалистов по обработке данных в моей команде, Серджио, добавил слой искусственного интеллекта и обучил модель известным атакам. Он повысил точность начальной эвристики на 50 процентов.
Алекс: Это столь важный для нас ключевой набор возможностей. Я очень рад, что мы расширяем вашу команду. Переведу тему: у нас есть еще кое-что общее – это радость быть родителем близнецов. Мои близнецы, очевидно, намного старше ваших, но расскажите нам, как вы справляетесь с дилеммой: «Хочу быть семейным человеком и в то же время – настоящим лидером в отрасли».
Мария: Я все еще не понимаю, как это совмещать! Это точно сложная задача: нужно научиться лучше управлять своим временем, чтобы добиться успеха на обеих должностях. К счастью, Microsoft обеспечивает прекрасный отпуск по уходу за ребенком, который подходит и мне, и моему мужу (он инженер в Azure). У меня потрясающая команда, и в мое отсутствие они поддерживали все в порядке. Кроме того, удаленная работа из-за пандемии облегчила мне жизнь. Я могу заниматься своими детьми в перерывах между встречами. Экономия времени на поездки на работу создает больше возможностей проводить время с моей семьей.
Алекс: Пандемия определенно ускорила переход к удаленной работе. Как родитель, я считаю, что это прекрасно – иметь возможность распоряжаться своим временем и не беспокоиться о том, где ты находишься.
Итак, Мария, последний вопрос. Допустим, я студент колледжа или, может быть, я работаю над магистерской или докторской степенью в области науки о данных и искусственного интеллекта. Если бы я захотел работать в вашей команде, над чем бы вы посоветовали мне поработать или подумать, чтобы подготовиться к такой работе?
Мария: Один действенный подход – найти стажировку, в которой будет как-то связана data science и безопасностью, борьба с мошенничеством, пусть даже не слишком. Прямо сейчас многие изучают data science и проходят машинное обучение, поэтому важно специализироваться и действительно понимать мир облака и кибербезопасности. Есть масса ресурсов, чтобы изучить этот вопрос, например, специальные курсы по кибербезопасности. Стажировка не обязательно должна быть связана с «хардкорной» безопасностью – это может быть мошенничество, например, финансовое мошенничество. Полезным будет все, что касается мира противостояния атакам, где вы пытаетесь уловить суть происходящего. Стажировку легче получить без какой-либо специализации, но прохождение стажировки дает вам возможность получить постоянную должность со специализацией на кибербезопасности. Кроме того, Microsoft Security спонсирует множество образовательных программ по кибербезопасности, и я бы посоветовала их изучать ученицам старших классов.