Videó: Intim Torna Illegál - Örökké (November 2024)
Az informatikai biztonság veszélyes és költséges pokollyuk. Nagyon sok pénzt költünk a vállalati adatok és hálózatok védelmére. A rossz fiúk hordái motiváltak a betörésre, és a kudarc következményei fájdalmasabbak, mint a védelem költségei.
Sőt, ami még rosszabb, a jelenlegi biztonsági tisztviselők (CSO) biztonsággal foglalkozó módszerei zavaróak. Noha az alapvető biztonsági eszközökre, például a kezelt végpontok védelmére mindig szükség lesz, mindannyian elcsábította a jelszavak kezelésének nehézségét, átgondolta a szükséges szoftverekhez való hozzáférési jogokat, és panaszkodott a köztünk és a mi elvégzendő munkánk közötti akadályokon.. Ha a biztonsági eljárások az idő 100 százalékában működnének, akkor talán rendben lennénk vele - de hé, észrevetted, hogy még mindig hány szabálysértést jelentettek? Én is. Vessen egy pillantást arra, hogy az alábbi ábrán miként robbant fel az évente megsértett adatok száma (az adatelemzés és a Sparkling Data megjelenítő blog). A grafikon az adatok megsértését mutatja 2009 óta, iparági típusok szerint bontva és az, hogy hány millió rekordot veszélyeztettek:
Forrás: 2016. július 24. ; A HIPAA megsértési adatainak elemzése ; Szénsavas adatok
De vannak jó hír is. Ugyanazok a gépi tanulási (ML) technológiák és prediktív analitikus algoritmusok, amelyek hasznos könyvjavaslatokat nyújtanak, és táplálják a legfejlettebb önkiszolgáló üzleti intelligenciát (BI) és az adatok megjelenítését az eszközöket beépítik az informatikai biztonsági eszközökbe. A szakértők szerint valószínűleg nem fog kevesebb pénzt költeni a vállalat informatikai biztonságára, de legalább az alkalmazottak hatékonyabban fognak dolgozni, és nagyobb eséllyel találnak hackereket és rosszindulatú programokat, mielőtt a kár megtörténik.
Az ML és az IT biztonság kombinációját minden bizonnyal "feltörekvő technológiának" lehet nevezni, de mi hűvös, hogy nem csak egy technológiáról beszélünk. Az ML többféle technológiából áll, mindegyiket különféle módon alkalmazzák. Mivel oly sok eladó dolgozik ezen a területen, meg kell figyelnünk, hogy egy teljesen új technológiai kategória versenyez, fejlődik és remélhetőleg mindannyiunk számára előnyökkel jár.
Szóval, mi a gépi tanulás?
Az ML lehetővé teszi a számítógép számára, hogy valamit megtanítson magának anélkül, hogy kifejezetten programozni kellene. Nagyméretű - gyakran hatalmas - adatkészletek elérésével teszi ezt meg.
"A gépi tanulással 10 000 képet készíthetünk egy számítógépről macskákról, és elmondhatjuk:" Így néz ki egy macska. " És akkor 10 000 címké nélküli képet adhat a számítógépnek, és kérheti meg, hogy derítse ki, melyik macska "- magyarázza Adam Porter-Price, a Booz Allen vezető munkatársa. A modell javul, amikor visszajelzést ad a rendszernek, függetlenül attól, hogy kitalálása helyes vagy helytelen. Az idő múlásával a rendszer pontosabbá teszi annak meghatározását, hogy a fotó tartalmaz-e macskát (mint természetesen minden fényképnek).
Ez nem vadonatúj technológia, bár a gyorsabb számítógépek, a jobb algoritmusok és a Big Data eszközök közelmúltbeli fejlődése minden bizonnyal javította a dolgokat. "A gépi tanulás (különösen az emberi viselkedés modellezésénél) hosszú ideje zajlik" - mondta Idan Tendler, a Fortscale vezérigazgatója. "Ez számos tudományág kvantitatív oldalának alapvető eleme, kezdve a repülőjegyárakkal és a politikai szavazásokkal, a gyorsétterem marketinggel egészen az 1960-as évekig."
A legnyilvánvalóbb és felismerhetőbb modern felhasználások a marketing törekvésekben vannak. Például, ha könyvet vásárol az Amazon-on, az ajánlás hajtja végre a korábbi értékesítéseket, és további könyveket javasol, amelyek valószínűleg élvezni fogják (pl. Az embereknek, akiknek tetszett a Steven Brust Yendi - je , Jim Butcher regényei is tetszeni foghatnak ), ami több könyvértékesítést eredményez. Az ott alkalmazott ML. Egy másik példa lehet egy olyan vállalkozás, amely az ügyfélkapcsolat-menedzsment (CRM) adatait felhasználja az ügyfelek cseréjének elemzésére, vagy egy légitársaság, amely az ML-t használja annak elemzésére, hogy hány jutalompont ösztönzi a gyakornokokat egy adott ajánlat elfogadására.
Minél több adatot gyűjt és elemez egy számítógépes rendszer, annál jobb betekintést nyújt (és a macska fotó azonosítását). Ráadásul a Big Data megjelenésével az ML rendszerek több forrásból származó információkat is összegyűjthetnek. Az online kiskereskedő megnézheti saját adatkészleteit, és magában foglalhatja például az ügyfél webböngészőjének adatait és például a partneroldalaitól származó információkat.
Az ML olyan adatokat vesz, amelyeket az emberek túl sok megértenek (például millió hálózati naplófájlt vagy hatalmas számú e-kereskedelmi tranzakciót), és valami könnyebben érthetővé teszi őket - mondta Scheidler Balázs, a Balabit informatikai biztonsági eszköz gyártójának műszaki vezetője..
"A gépi tanulási rendszerek felismerik a mintákat és kiemelik a rendellenességeket, amelyek segítenek az embereknek megérteni egy helyzetet, és adott esetben fellépni a helyzeten" - mondta Scheidler. "És a gépi tanulás automatikusan elvégzi ezt az elemzést; ugyanazokat a dolgokat nem lehet megtanulni pusztán azáltal, hogy csak tranzakciós naplókat néz ki."
Ahol az ML javítja a biztonsági gyengeségeket
Szerencsére ugyanazok az ML alapelvek, amelyek segítenek az új könyvvásárlások eldöntésében, biztonságosabbá tehetik vállalati hálózatát. Valójában - mondta a Fortscale's Tendler - az informatikai gyártók kissé késik az ML-párt előtt. A marketing részlegek pénzügyi előnyöket láthattak az ML korai bevezetésében, különösen azért, mert a tévedés költsége minimális volt. A helytelen könyv ajánlása senki hálózatát nem vonja le. A biztonsági szakembereknek nagyobb bizonyosságot igényeltek a technológiára vonatkozóan, és úgy tűnik, hogy végre megvan.
Őszintén szólva, itt az idő. Mivel a biztonság kezelésének jelenlegi módjai zavaróak és reagálók. Rosszabb: az új biztonsági eszközök és az eltérő adatgyűjtő eszközök nagy mennyisége túl sok adatot eredményezett a figyelők számára is.
"A legtöbb társaságot naponta több ezer riasztás elárasztja, nagyrészt hamis pozitív üzenetekkel." - mondta David Thompson, a LightCyber informatikai biztonsági cég termékmenedzsment-igazgatója. "Még ha a riasztást is látják, akkor valószínűleg egyedi eseménynek tekintik, és nem értik, hogy egy nagyobb, hangszerû támadás részét képezi.”
Thompson idéz egy Gartner-jelentést, amely szerint a legtöbb támadó átlagosan öt hónapig észrevétlenül marad. Ezek a hamis pozitív eredmények dühös felhasználókat is eredményezhetnek - mutatott rá Ting-Fang Yen, a DataVisor kutatója, amikor az alkalmazottakat hibásan blokkolják vagy megjelölik, nem is beszélve az IT-csoport által a problémák megoldására fordított időről.
Tehát az ML segítségével az informatikai biztonság első kérdése a hálózati tevékenység elemzése. Az algoritmusok értékelik a tevékenységi mintákat, összehasonlítva azokat a múltbeli viselkedéssel, és meghatározzák, hogy a jelenlegi tevékenység veszélyt jelent-e. Segítségként az olyan szállítók, mint a Core Security, kiértékelik a hálózati adatokat, például a felhasználók DNS-keresési viselkedését és a kommunikációs protokollokat a
Néhány elemzés valós időben történik, más ML-megoldások pedig tranzakciós rekordokat és más naplófájlokat vizsgálnak. Például a Fortscale termékhelyei bennfentes fenyegetéseket tartalmaznak, ideértve a lopott hitelesítő adatokkal kapcsolatos fenyegetéseket is. "A hozzáférési és hitelesítési naplókra összpontosítunk, de a naplók szinte bárhonnan származhatnak: Active Directory, Salesforce, Kerberos, a saját" korona ékszer alkalmazások "- mondta a Fortscale Tendler. "Minél több fajta, annál jobb." Az ML kulcsszerepet játszik abban, hogy a szervezet szerény és gyakran figyelmen kívül hagyott háztartási naplóiból értékes, rendkívül hatékony és olcsó fenyegetés-intelligencia forrásokká alakulhat.
És ezek a stratégiák változást hoznak. Egy olasz bank, amely 100 000 főnél kevesebb felhasználót jelentett, bennfentes fenyegetést szenvedett, amely magában foglalja az érzékeny adatok nagy kiterjedésű kiszűrését az azonosítatlan számítógépek csoportja felé. Konkrétan, a jogszerű felhasználói hitelesítő adatok felhasználásával nagy mennyiségű adatot küldtek a szervezeten kívül a Facebookon keresztül. A bank telepítette az ML-meghajtású Darktrace Enterprise Immunrendszert, amely három perc alatt rendellenes viselkedést észlelt, amikor egy vállalati szerver csatlakozik a Facebook-hoz - ez nem jellemző tevékenység - mondta Dave Palmer, a Darktrace technológiai igazgatója.
A rendszer azonnal fenyegető riasztást adott ki, amely lehetővé tette a bank biztonsági csoportjának reagálását. Végül egy vizsgálat vezetett egy rendszergazdához, aki véletlenül letöltött olyan rosszindulatú programokat, amelyek csapdába ejtették a bank szerverét a bitcoin bányászati botnetben - a hackerek által irányított gépek csoportjában. Kevesebb, mint három perc alatt a társaság tárgyalást folytatott, valós időben kivizsgálta és megkezdte válaszát - vállalati adatok elvesztése vagy az ügyfélszolgálati szolgáltatások károsodása nélkül - mondta Palmer.
Felhasználók figyelése, nem hozzáférés-vezérlés vagy eszközök
A számítógépes rendszerek azonban bármilyen digitális lábnyomot megvizsgálhatnak. És manapság ez az, ahová nagy eladó figyelmet fordít: a szervezet felhasználói által ismert felhasználói jó magatartás elemzésének (UBA) alapjául szolgáló "ismert jó" magatartás létrehozására. A hozzáférés-vezérlés és az eszközfigyelés csak eddig ment. Sokkal jobb, mondjuk több szakértő és gyártó -, ha a felhasználókat a biztonság középpontjában helyezik, amire az UBA szól.
"Az UBA egy módja annak, hogy figyeljük, amit az emberek csinálnak, és észrevegyük, ha valami szokatlanul cselekszenek" - mondta Balabit Scheidler. A termék (ebben az esetben a Balabit's Blindspotter és Shell Control Box) digitális adatbázist készít az egyes felhasználók tipikus viselkedéséről, ez körülbelül három hónapig tart. Ezután a szoftver felismeri az anomáliákat az alapvonaltól függően. Az ML rendszer létrehoz egy pontszámot arról, hogy a felhasználói fiók hogyan viselkedik "ki", a probléma kritikájával együtt. Riasztások készülnek, amikor a pontszám meghaladja a küszöböt.
"Az Analytics megpróbálja eldönteni, hogy te magad vagy-e" - mondta Scheidler. Például egy adatbázis-elemző rendszeresen használ bizonyos eszközöket. Tehát, ha szokatlan helyről jelentkezik be egy szokatlan időben, és hozzáfér a szokatlanul kívüli alkalmazásokhoz, akkor a rendszer arra a következtetésre jut, hogy fiókja veszélybe kerülhet.
A Balabit által nyomon követett UBA-jellemzők magukban foglalják a felhasználó történelmi szokásait (bejelentkezési idő, általánosan használt alkalmazások és parancsok), tulajdonságait (képernyőfelbontás, görgetőpad használata, operációs rendszer verziója), kontextust (ISP, GPS-adatok, hely, hálózati forgalomszámlálók), és az örökség (valami vagy). Az utóbbi kategóriába tartoznak az egérmozgás elemzése és a billentyűleütések dinamikája, amelyek során a rendszer feltérképezi, milyen keményen és gyorsan a felhasználó ujjai ütik a billentyűzetet.
Miközben geek szempontjából lenyűgöző, Scheidler arra figyelmeztet, hogy az egér és a billentyűzet mérései még mindig nem biztonságosak. Például, azt mondta, hogy valaki gombnyomásainak azonosítása körülbelül 90 százalékkal megbízható, tehát a vállalat eszközei nem támaszkodnak erősen a térség rendellenességére. Ezen kívül a felhasználói viselkedés folyamatosan kissé eltérő; ha stresszes nap vagy fáj a kezed, az egér mozgatása eltérő.
"Mivel a felhasználók viselkedésének számos aspektusával dolgozunk, és az aggregált értéket kell összehasonlítani az alapprofillal, összesen nagyon megbízható, és 100% -ra konvergál" - mondta Scheidler.
A Balabit természetesen nem az egyetlen olyan eladó, akinek a termékei az UBA-t használják a biztonsági események azonosítására. Például a Cybereason hasonló módszert használ annak meghatározására, hogy a figyelmes emberek azt mondják: "Hmm, ez vicces".
Magyarázza a Cybereason műszaki vezetőjét, Yonatan Streim Amit-t: "Amikor a platformunkban rendellenességet észlelünk - James későn dolgozik -, akkor összekapcsolhatjuk más ismert viselkedésekkel és releváns adatokkal. Ugyanazokat az alkalmazásokat és hozzáférési mintákat használja? Valaki adatot küld valakivel, akivel soha nem kommunikál. vagy minden kommunikáció a menedzserével történik, ki válaszol? " A Cybereason elemzi, hogy James anomáliáját rendkívül későn dolgozza-e fel más megfigyelt adatok hosszú listájával, hogy összegyűjtse a kontextust annak meghatározására, hogy a riasztás hamis pozitív vagy jogos aggodalom-e.
Az IT feladata a válaszok megtalálása, de az biztos, hogy olyan szoftverrel rendelkezik, amely felteheti a megfelelő kérdéseket. Például egy egészségügyi szervezet két felhasználója hozzáférhet az elhunyt betegek nyilvántartásaihoz. "Miért nézne valaki olyan betegekre, akik két vagy három évvel ezelőtt elhaltak, hacsak nem akar valamilyen személyazonosságot vagy orvosi csalást tenni?" - kérdezi Amit Kulkarni, a Cognetyx vezérigazgatója. A biztonsági kockázat azonosítása során a Cognetyx rendszer a szokásos tevékenységek alapján megállapította a nem megfelelő hozzáférést az osztály számára, és összehasonlította a két felhasználó viselkedését társaik hozzáférési mintáinak viselkedésével és saját normális viselkedésükkel.
"Definíció szerint a gépi tanulási rendszerek iteratívak és automatizáltak" - mondta a Fortscale Tendler. "Úgy tűnik, hogy" összeegyeztetik "az új adatokat a korábban látottakkal, de nem" kizárják "semmit a kezéből, vagy automatikusan" dobják el "a váratlan vagy a határokon kívüli eredményeket."
Tehát a Fortscale algoritmusai rejtett struktúrákat keresnek az adatkészletben, még akkor is, ha nem tudják, hogy néz ki a szerkezet. "Még ha a váratlanokat is találjuk, ez olyan takarmányt nyújt, amelyre potenciálisan új mintázattérkép készíthető. Ez teszi a gépi tanulást sokkal hatékonyabbá, mint a determinisztikus szabálykészletek: A gépi tanulási rendszerek olyan biztonsági problémákat találhatnak, amelyeket még soha nem láttak."
Mi történik, ha az ML rendszer rendellenességet talál? Ezek az eszközök általában figyelmeztetik az embereket valamilyen módon az utolsó hívás kezdeményezésére, mivel a hamis pozitív mellékhatások károsak a társaságra és ügyfeleire. "A hibaelhárításhoz és a kriminalisztikához emberi ismeretekre van szükség" - állítja Balabit Scheidler. Az ideális az, ha a generált riasztások pontosak és automatizáltak, az irányítópultok pedig hasznos áttekintést nyújtanak a rendszer állapotáról, és képesek átgondolni a "hé, ez furcsa" viselkedést.
Forrás: Balabit.com (Kattintson a fenti képre a teljes nézet megtekintéséhez.)
Ez még csak a kezdet
Ne gondolja, hogy az ML és az IT biztonsága tökéletesen illeszkedik egymáshoz, mint például a csokoládé és a mogyoróvaj vagy a macskák és az internet. Ez egy folyamatban lévő munka, bár nagyobb energiát és hasznosságot fog szerezni, mivel a termékek több funkcióval, alkalmazás-integrációval és technológiai fejlesztésekkel járnak.
Rövid távon keressen automatizálási fejlesztéseket, hogy a biztonsági és műveleti csapatok gyorsabban és kevesebb emberi beavatkozással szerezzenek új adatokkal kapcsolatos betekintést. A következő két vagy három évben - mondta Mike Paquette, a Prelert termékhelyettes-helyettese - "az elvárásoknak két formában számolunk: az előre konfigurált felhasználási esetek kibővített könyvtárában, amely azonosítja a támadási viselkedést, valamint az automatikus funkciók kiválasztásában és konfigurálásában elért haladás csökkentésével konzultációs megbízások szükségessége."
A következő lépés az öntanuló rendszerek, amelyek képesek leküzdeni a saját támadásaikat - mondta a Darktrace Palmer. "A rosszindulatú programok, a hackerek vagy az elégedetlen alkalmazottak által felmerülő kockázatokra úgy reagálnak, hogy megértsék az egyes eszközök normál viselkedésének teljes környezetét és az általános üzleti folyamatokat, ahelyett, hogy egyedi bináris döntéseket hoznának, mint például a hagyományos védekezés. Ez kulcsfontosságú. reagálni kell a gyorsabban mozgó támadásokra, például a zsaroláson alapuló támadásokra, amelyek bármilyen értékes eszköz megtámadására irányulnak (nem csak a fájlrendszerekre), és arra készülnek, hogy gyorsabban reagáljon, mint az emberek számára lehetséges."
Ez egy izgalmas terület, sok ígérettel. Az ML és a fejlett biztonsági eszközök kombinációja nemcsak új eszközöket jelent az informatikai szakemberek számára, hanem, ami még ennél is fontosabb: olyan eszközöket nyújt, amelyek lehetővé teszik munkájuk pontosabb elvégzését, mégis gyorsabb, mint valaha. Noha ezüstgolyó, ez jelentős előrelépés egy olyan forgatókönyvben, amelyben a rossz fiúknak túl sokáig vannak az összes előnyeik.
