Video: My OCD (Song) (Prosinac 2024)
IT sigurnost je opasna i skupa rupa. Ogromne količine novca troše se na zaštitu podataka i mreža tvrtke. Horde negativaca motivirane su za proboj, a posljedice neuspjeha bolnije su od troškova zaštite.
Što je još gore, nametljivi su trenutni načini na koje se glavni sigurnosni službenici (OCD) bave sigurnošću. Iako će osnovni sigurnosni alati poput upravljane zaštite krajnje točke uvijek biti potrebni, svatko od nas je riješio poteškoće u upravljanju lozinkama, prevario se oko prava pristupa softveru koji nam je potreban i požalio se na prepreke između nas i posla koji trebamo obaviti., Da su sigurnosni postupci radili 100 posto vremena, možda bismo bili u redu s tim - ali hej, jeste li primijetili koliko je prekršaja još prijavljeno? Ja isto. Dovoljno je pogledati kako je broj kršenja podataka godišnje eksplodirao na ovoj slici ispod (analizom podataka i blogom o vizualizaciji Sparkling Data). Grafikon prikazuje kršenje podataka od 2009. godine, raščlanjeno prema vrsti industrije i koliko milijuna zapisa je ugroženo:
Izvor: 24. srpnja 2016 ; Analiza podataka o kršenju HIPAA ; Pjenušava podatka
Ali postoje i dobre vijesti. Iste tehnologije strojnog učenja i prediktivni analitički algoritmi koji vam daju korisne preporuke knjiga i napajaju vašu najnapredniju poslovnu inteligenciju (BI) i vizualizaciju podataka. alati su ugrađeni u alate za sigurnost IT-a. Stručnjaci navode da vjerovatno nećete potrošiti manje novca na IT sigurnost svoje tvrtke, ali barem će vaše osoblje raditi učinkovitije i imati veće šanse da nađe hakere i zlonamjerni softver prije nego što napravi štetu.
Kombinacija ML-a i IT sigurnosti sigurno se može označiti kao "tehnologija u nastajanju", ali ono što je cool je da ne govorimo o samo jednoj tehnologiji. ML se sastoji od nekoliko vrsta tehnologija, a svaka se primjenjuje na različite načine. Budući da na ovom području radi toliko dobavljača, moramo gledati potpuno novu kategoriju tehnologije kako se natječe, razvija i nadamo se da će svima nama biti od koristi.
Dakle, što je strojno učenje?
ML omogućuje računalu da sam nešto nauči bez potrebe za eksplicitnim programiranjem. To čini pristupom velikim skupovima podataka, često ogromnim.
"Pomoću strojnog učenja možemo računalu dati 10.000 slika mačaka i reći mu:" Ovako mačka izgleda. " A zatim možete dati računalu 10 000 neobilježenih slika i zatražiti da otkrijete koje su to mačke ", objašnjava Adam Porter-Price, viši stručni suradnik u Booz Allenu. Model se poboljšava kad sustavu dajete povratne informacije, bilo da je pretpostavka točna ili netočna. S vremenom sustav postaje precizniji u određivanju da li fotografija uključuje mačku (kao što bi, naravno, trebale biti i sve fotografije).
Ovo nije potpuno nova tehnologija, iako su nedavni napredak u bržim računalima, boljim algoritmima i Big Data alatima sigurno poboljšali stvari. "Strojno učenje (posebno primjenjivo na modeliranje ljudskog ponašanja) postoji već duže vrijeme", rekao je Idan Tendler, izvršni direktor Fortscale-a. "To je osnovna komponenta kvantitativnih strana mnogih disciplina, u rasponu od cijene avionske karte do političkog anketiranja do marketinga brze hrane sve do 1960-ih."
Najočitije i najprepoznatljivije moderne uporabe su marketinški pothvati. Kada npr. Kupite knjigu na Amazonu, njezine preporuke pokreću prethodnu prodaju i predlažu dodatne knjige u kojima ćete vjerojatno uživati (npr., Ljudima koji su se svidjeli Steven Brust's Yendi možda će se svidjeti i romani Jima Butchera), što znači više prodaje knjiga. To se primjenjuje ML baš tamo. Drugi primjer bi mogao biti posao koji koristi podatke o upravljanju odnosima s klijentima (CRM) za analizu rezultata kupca ili zrakoplovna tvrtka koja koristi ML za analizu koliko nagradnih bodova stimulira česte letke da prihvate određenu ponudu.
Što više podataka prikupi i analizira računalni sustav, bolji su mu uvidi (i njegova identifikacija fotografija mačaka). Uz to, s dolaskom velikih podataka, ML sustavi mogu okupljati informacije iz više izvora. Internetski trgovac može nadići svoje vlastite skupove podataka, na primjer, uključiti analizu korisnikovih web preglednika i podatke s partnerskih web mjesta.
ML uzima podatke koje su previše razumljivi ljudima (kao što su milijuni linija mrežnih datoteka ili ogroman broj transakcija e-trgovine) i pretvara ih u nešto lakše razumljivo, rekao je Balázs Scheidler, predstavnik organizacije, IT alata za sigurnost Balabit, "Sustavi strojnog učenja prepoznaju obrasce i ističu anomalije koje pomažu ljudima da shvate situaciju i, prema potrebi, poduzmu akciju", rekao je Scheidler. "A strojno učenje radi ovu analizu na automatizirani način; iste stvari ne biste mogli naučiti jednostavnim gledanjem samo u zapise transakcija."
Tamo gdje ML krpa sigurnosne slabosti
Srećom, isti principi ML koji vam mogu pomoći u odlučivanju o kupnji novih knjiga mogu učiniti vašu mrežu tvrtke sigurnijom. Zapravo, rekao je Fortscaleov Tendler, IT dobavljači malo kasne na ML-party. Odjeli za marketing mogli su primijetiti financijske koristi u ranom prihvaćanju ML-a, posebno zato što su troškovi za pogrešku bili minimalni. Preporuka pogrešne knjige neće srušiti ničiju mrežu. Sigurnosnim stručnjacima bilo je potrebno više sigurnosti u tehnologiju i čini se da je konačno imaju.
Iskreno, došlo je vrijeme. Jer trenutni načini da se riješimo sigurnosti su nametljivi i reaktivni. Još gore: Ogromna količina novih sigurnosnih alata i različiti alati za prikupljanje podataka rezultirali su prevelikim ulaganjima čak i za promatrače.
"Većina kompanija preplavljena je tisućama upozorenja dnevno, velikim dijelom dominiraju lažni pozitivni pozivi", rekao je David Thompson, stariji direktor upravljanja proizvodima tvrtke ITC LightCyber. "Čak i ako se upozorenje vidi, to bi se moglo promatrati kao pojedinačni događaj i ne bi se shvatilo da je dio većeg, orkestriranog napada."
Thompson citira izvještaj Gartnera u kojem se navodi da većina napadača ostane neotkrivena u prosjeku pet mjeseci . Ti lažni pozitivni rezultati mogu također rezultirati bijesnim korisnicima, istaknula je Ting-Fang Yen, istraživačica DataVisor-a, kad god su zaposlenici blokirani ili označeni pogreškom, a da ne spominjemo vrijeme koje je IT tim proveo da riješi probleme.
Stoga je prva stvar u IT sigurnosti pomoću ML-a analiza mrežne aktivnosti. Algoritmi procjenjuju obrasce aktivnosti, uspoređujući ih s prošlim ponašanjem, te utvrđuju predstavlja li trenutna aktivnost prijetnju. Da bi se pomoglo, dobavljači poput Core Security-a procjenjuju mrežne podatke, kao što su ponašanje DNS-ovog pretraživanja i komunikacijski protokoli u sklopu HTTP zahtjeva.
Neke se analize događaju u stvarnom vremenu, a druga ML rješenja ispituju zapise o transakcijama i druge datoteke dnevnika. Na primjer, Fortscaleov proizvod primjećuje insajderske prijetnje, uključujući prijetnje koje uključuju ukradene vjerodajnice. "Usredotočeni smo na zapise o pristupu i provjeri autentičnosti, ali dnevnici mogu potjecati iz gotovo bilo kojeg mjesta: Active Directory, Salesforce, Kerberos, vaše vlastite aplikacije za dragulje s krunom", rekao je prodavač Fortscale-a. "Što više raznolikosti, to bolje." Tamo gdje ML čini ključnu razliku jest to što on može skromne i često ignorirane zapisnike o kućanstvu organizacije pretvoriti u vrijedne, vrlo učinkovite i jeftine izvore obavještajnih podataka.
A ove strategije stvaraju razliku. Talijanska banka s manje od 100 000 korisnika doživjela je unutarnju prijetnju koja uključuje veliku eksfiltraciju osjetljivih podataka na grupu neidentificiranih računala. Konkretno, legitimne korisničke vjerodajnice korištene su za slanje velikih količina podataka izvan organizacije putem Facebooka. Banka je implementirala ML-ov Darktrace Enterprise imunološki sustav, koji je otkrio anomalozno ponašanje u roku od tri minute kada se poslužitelj tvrtke povezao na Facebook - neuobičajena aktivnost, rekao je Dave Palmer, direktor tehnologije u Darktraceu.
Sustav je odmah izdao upozorenje o prijetnji, što je omogućilo sigurnosni tim banke da reagira. Konačno je istraga dovela do administratora sustava koji je nenamjerno preuzeo zlonamjerni softver koji je zarobio poslužitelj banke u botnetu za rudarjenje bitcoina - grupi strojeva kojima upravljaju hakeri. Za manje od tri minute, tvrtka je pokrenula istragu u stvarnom vremenu i započela svoj odgovor - bez gubitka korporativnih podataka ili oštećenja operativnih usluga korisnika, rekao je Palmer.
Nadgledanje korisnika, a ne kontrola pristupa ili uređaja
Ali računalni sustavi mogu istražiti bilo koju vrstu digitalnog otisaka. Ondje se danas vodi velika pozornost prodavatelja: prema stvaranju osnovnih "dobro poznatog" ponašanja korisnika organizacije pod nazivom User Behavior Analytics (UBA). Kontrola pristupa i nadzor uređaja idu samo toliko daleko. Daleko je bolje, kažu nekoliko stručnjaka i dobavljača, učiniti korisnike središnjim žarištem sigurnosti, o čemu se zapravo radi u UBA.
"UBA je način da se promatra što ljudi rade i da primijetite rade li nešto neobično", rekao je Balabitov Scheidler. Proizvod (u ovom slučaju Balabit's Blindspotter i Shell Control Box) gradi digitalnu bazu podataka o tipičnom ponašanju svakog korisnika, proces koji traje oko tri mjeseca. Nakon toga, softver prepoznaje anomalije od te osnovne vrijednosti. ML sustav stvara ocjenu ponašanja "isključenog" korisničkog računa, zajedno s kritičnošću problema. Upozorenja se generiraju uvijek kada rezultat premaši prag.
"Analitika pokušajte odlučiti jeste li sami", rekao je Scheidler. Na primjer, analitičar baze podataka redovito koristi određene alate. Dakle, ako se prijavljuje s neuobičajenog mjesta u neobično vrijeme i pristupa neobičnim aplikacijama, tada sustav zaključuje da njezin račun može biti ugrožen.
UBA karakteristike koje prati Balabit uključuju povijesne navike korisnika (vrijeme prijave, uobičajene aplikacije i naredbe), posjedovanja (rezolucija zaslona, upotreba trackpad-a, verzija operacijskog sustava), kontekst (ISP, GPS podaci, lokacija, brojači mrežnog prometa), i srodnost (nešto što jeste). U potonjoj kategoriji su analiza kretanja miša i dinamika pritiska tipki, pri čemu sustav prikazuje koliko teško i brzo korisnikov prst udara tipkovnicu.
Iako je fascinantan u izrazima geek, Scheidler upozorava da mjerenja miša i tipkovnice još nisu bez zaštite. Na primjer, rekao je, prepoznavanje nečijih udara tipki je oko 90 posto pouzdano, tako da se alati tvrtke ne oslanjaju uglavnom na anomaliju u tom području. Osim toga, ponašanje korisnika je stalno drugačije; ako imate stresan dan ili bol u ruci, pokreti miša su različiti.
"Budući da radimo s mnogim aspektima ponašanja korisnika, a zbirna vrijednost je ona koju treba usporediti s osnovnom profilom, sve u svemu, ima vrlo visoku pouzdanost koja se konvertira na 100 posto", rekao je Scheidler.
Balabit sigurno nije jedini dobavljač čiji proizvodi koriste UBA za prepoznavanje sigurnosnih događaja. Na primjer, cybereason koristi sličnu metodologiju da identificira ponašanje zbog kojeg pažljivi ljudi kažu: "Hmm, to je smiješno."
Objašnjava CTO-a Jonata Streim Amit-a Cybereason-a: "Kad naša platforma primijeti anomaliju - James radi do kasno - možemo je povezati s drugim poznatim ponašanjima i relevantnim podacima. Koristi li iste aplikacije i obrasce pristupa? Šalje li podatke nekome s kojim nikada ne komunicira sa svim komunikacijama ili idete do njegova upravitelja, koji odgovara? " Cybereason analizira anomaliju Jamesa koji radi nenormalno kasno s dugačkim popisom drugih promatranih podataka kako bi pružio kontekst za utvrđivanje je li upozorenje lažno pozitivno ili opravdano.
Posao IT-a je pronalaženje odgovora, ali sigurno pomaže da imate softver koji može postaviti prava pitanja. Na primjer, dva korisnika u zdravstvenoj organizaciji pristupila su evidencijama preminulih pacijenata. "Zašto bi netko gledao pacijente koji su preminuli prije dvije ili tri godine, osim ako ne želite napraviti neku vrstu identiteta ili medicinske prijevare?" pita Amit Kulkarni, direktor Cognetyxa. Identificirajući ovaj sigurnosni rizik, sustav Cognetyx identificirao je neprimjeren pristup temeljen na uobičajenim aktivnostima za taj odjel i usporedio ponašanje dvaju korisnika s onim obrascima pristupa vršnjaka i njihovim normalnim ponašanjem.
"Po definiciji, sustavi strojnog učenja su iterativni i automatizirani", rekao je Fortscaleov Tendler. "Oni izgledaju kako bi" uskladili "nove podatke s onim što su vidjeli prije, ali neće 'diskvalificirati' bilo što iz ruke ili automatski 'baciti' neočekivane ili izvan okvira rezultata."
Dakle, algoritmi Fortscalea traže skrivene strukture u skupu podataka, čak i kada ne znaju kako struktura izgleda. "Čak i ako nađemo neočekivano, on pruža stočnu hranu na kojoj će se potencijalno izgraditi nova mapa uzorka. To čini strojno učenje toliko snažnijim od determiniranih skupova pravila: Sustavi strojnog učenja mogu pronaći sigurnosne probleme koji nikada ranije nisu viđeni."
Što se događa kada ML sustav pronađe anomaliju? Općenito, ovi alati predaju upozorenja čovjeku da na neki način nazove zadnji poziv, jer nuspojave lažnog pozitivnog značaja nanose štetu kompaniji i kupcima. "Za rješavanje problema i forenziku potrebna je ljudska stručnost", uvjerava Balabitov Scheidler. Ideal je da generirana upozorenja budu točna i automatizirana, a nadzorne ploče daju koristan pregled statusa sustava uz mogućnost pretvaranja u "hej, to je čudno" ponašanje.
Izvor: Balabit.com (Kliknite na gornju grafiku da vidite cjelovit prikaz.)
To je samo početak
Nemojte pretpostaviti da je sigurnost ML-a i IT-a savršeno podudaranje poput čokolade i kikirikijevog maslaca ili mačaka i interneta. Ovo je rad u tijeku, iako će steći više snage i korisnosti jer proizvodi dobivaju više mogućnosti, integraciju aplikacija i poboljšanja tehnologije.
U kratkom roku potražite napredak u automatizaciji kako bi timovi za sigurnost i operaciju brže i s manje ljudske intervencije mogli steći nove uvide u podatke. U naredne dvije ili tri godine, rekao je Mike Paquette, potpredsjednik proizvoda tvrtke Prelert, „očekujemo da napredak dolazi u dva oblika: proširena knjižnica unaprijed konfiguriranih slučajeva upotrebe koji identificiraju ponašanje u napadu i napredak u automatiziranom odabiru i konfiguraciji značajki, smanjujući potreba za savjetovanjem."
Sljedeći su koraci sustavi samoučenja koji se mogu samostalno boriti protiv napada, izjavio je Darktraceov Palmer. "Oni će reagirati na nastale rizike od zlonamjernog softvera, hakera ili nezadovoljnih zaposlenika na način koji razumije puni kontekst normalnog ponašanja pojedinih uređaja i cjelokupnih poslovnih procesa, umjesto donošenja pojedinačnih binarnih odluka poput tradicionalne obrane. To će biti presudno odgovoriti na brže napade, poput napada koji se temelje na iznuđivanju, koji će pretvoriti u napad bilo koje vrijedne imovine (ne samo datotečnih sustava) i osmišljeni su tako da reagiraju brže nego što to mogu ljudska bića."
Ovo je uzbudljivo područje s puno obećanja. Kombinacija ML-a i naprednih sigurnosnih alata ne samo što IT stručnjacima daje nove alate za upotrebu, nego je još važnije, daje im alate koji im omogućavaju da obavljaju svoj posao preciznije, ali još brže nego ikad prije. Iako nije srebrni metak, to je značajan iskorak u scenariju u kojem su negativci predugo imali sve prednosti.
