Відео: Настя и сборник весёлых историй (Вересень 2024)
ІТ-безпека - небезпечна і дорога пекла. Великі гроші витрачаються на захист даних компанії та мереж. Орди поганих хлопців мотивовані до вторгнення, і наслідки для невдач більш болючі, ніж вартість захисту.
Що ще гірше, нинішні способи, якими займаються керівники служб безпеки (ОГС), мають нав'язливий характер. Хоча основні засоби безпеки, такі як керований захист кінцевих точок, завжди будуть необхідні, кожен з нас відчуває труднощі з керуванням паролями, переглядає права доступу до потрібного нам програмного забезпечення та скаржиться на бар'єри між нами та роботою, яку нам потрібно зробити. . Якби процедури безпеки працювали 100 відсотків часу, можливо, ми б з цим все гаразд - але ей, ви помітили, скільки порушень досі повідомляється? Я також. Просто погляньте, як кількість порушень даних за рік вибухнула на цій графіці нижче (за допомогою аналізу даних та блогу візуалізації Sparkling Data). На графіці показано порушення даних з 2009 року, розбиті за типом галузі та скільки мільйонів записів було порушено:
Джерело: 24 липня 2016 року ; Аналіз даних про порушення HIPAA ; Ігристі дані
Але є і хороші новини. Ті самі технології машинного навчання та прогнозовані аналітичні алгоритми, які дають вам корисні рекомендації щодо книг та покращують ваш найдосконаліший бізнес-інтелект (BI) та візуалізацію даних. інструменти включаються в засоби захисту ІТ. Експерти стверджують, що ви, мабуть, не витратите менше грошей на ІТ-безпеку вашої компанії через це, але принаймні ваш персонал буде працювати ефективніше і мати більше шансів знайти хакерів та зловмисне програмне забезпечення, перш ніж нанести шкоду.
Поєднання ML та ІТ-безпеки, безумовно, можна позначати як "нові технології", але те, що робить це здорово, це те, що ми не говоримо лише про одну технологію. ML складається з декількох видів технологій, кожна з яких застосовується різними способами. Оскільки так багато постачальників працює в цій галузі, ми можемо спостерігати за цілою новою категорією технологій, яка конкурує, еволюціонує та, сподіваємось, приносить користь усім нам.
Отже, що таке машинне навчання?
ML дозволяє комп’ютеру навчити себе чомусь, не вимагаючи явного програмування. Це робиться шляхом доступу до великих наборів даних - часто величезних.
"За допомогою машинного навчання ми можемо дати комп'ютеру 10 000 фотографій котів і сказати:" Ось як виглядає кішка ". І тоді ви можете надати комп’ютеру 10 000 не маркованих картинок і попросити його дізнатися, які з них - коти ", - пояснює Адам Портер-Прайс, старший юрист у Booz Allen. Модель вдосконалюється, коли ви отримуєте зворотний зв'язок із системою, незалежно від того, правильна вона чи неправильна. З часом система стає більш точною, визначаючи, чи містить фото кішку (як, звичайно, всі фотографії слід).
Це не зовсім нова технологія, хоча останні досягнення в галузі більш швидких комп'ютерів, кращих алгоритмів та інструментів Big Data, безумовно, покращили. "Машинне навчання (особливо це стосується моделювання поведінки людей) існує давно", - сказав Ідан Тендлер, генеральний директор Fortscale. "Це ключовий компонент кількісних сторін багатьох дисциплін, починаючи від ціни на авіарейси до політичних опитувань до маркетингу фаст-фуду аж до 1960-х".
Найбільш очевидні та впізнавані сучасні способи використання в маркетингових починаннях. Наприклад, купуючи книгу на Amazon, її рекомендації сприяють попереднім продажам та пропонують додаткові книги, які вам, мабуть, сподобаються (наприклад, людям, яким сподобався Енді Стівена Бруста, також можуть сподобатися романи Джима Батчера ), що означає більше продажів книг. Це застосовано ML прямо там. Іншим прикладом може бути бізнес, який використовує дані управління взаємовідносинами з клієнтами (CRM) для аналізу скорочення клієнтів, або авіакомпанія, яка використовує ML для аналізу кількості балів, що стимулюють часті листівки приймати певну пропозицію.
Чим більше даних збирає та аналізує комп’ютерна система, тим краще її розуміння (та ідентифікація фотографій кота). Крім того, з появою Big Data, ML-системи можуть об'єднати інформацію з різних джерел. Інтернет-роздрібний продавець може виходити за межі власних наборів даних, включаючи аналіз даних веб-браузера клієнта та інформації, наприклад, з його партнерів.
ML займає надто багато для розуміння людьми даних (таких як мільйони рядків файлів журналів мережі або величезна кількість транзакцій електронної комерції) і перетворює їх на щось легше зрозуміти, - сказав Балаш Шейдлер, оператор з питань захисту інструментів ІТ-безпеки Balabit .
"Системи машинного навчання розпізнають закономірності та виділяють аномалії, які допомагають людині зрозуміти ситуацію та, коли це доречно, вжити заходів щодо цього", - сказав Шейдлер. "І машинне навчання робить цей аналіз автоматизованим способом; ви не могли навчитися тим самим, просто не дивлячись лише на журнали транзакцій."
Де ML виправляє слабкі місця безпеки
На щастя, ті самі принципи використання ML, які можуть допомогти вам прийняти рішення про придбання нових книг, можуть зробити мережу вашої компанії більш захищеною. Насправді, зазначає Tendler Fortscale, постачальники інформаційних технологій трохи запізнюються на партію ML. Відділи маркетингу могли побачити фінансові вигоди при ранньому прийнятті ML, особливо тому, що вартість помилки була мінімальною. Рекомендована неправильна книга не спричинить чиюсь мережу. Спеціалістам з питань безпеки потрібна була певна впевненість у технології та, здається, вони її нарешті мають.
Чесно кажучи, саме час. Тому що нинішні способи поводження з безпекою нав'язливі та реактивні. Гірше: великий обсяг нових інструментів безпеки та різних інструментів збору даних призвів до занадто великого вкладення даних навіть для спостерігачів.
"Більшість компаній щодня переповнюються тисячами сповіщень, в основному переважають помилкові позитивні дані", - сказав Девід Томпсон, старший директор із управління продуктами компанії LightCyber. "Навіть якщо сповіщення буде помічено, це, швидше за все, буде розглядатися як поодинока подія і не вважається частиною більш масштабної, оркестрованої атаки".
Томпсон посилається на звіт Гартнера, в якому йдеться про те, що більшість нападників залишаються невиявленими в середньому п'ять місяців . Ці помилкові позитиви можуть також призвести до роздратування користувачів, - зазначила Ting-Fang Yen, науковий співробітник DataVisor, кожного разу, коли співробітники заблоковані або помічені помилково, не кажучи вже про час, витрачений ІТ-командою на вирішення проблем.
Отже, перший крок у галузі ІТ-безпеки за допомогою ML - це аналіз мережевої активності. Алгоритми оцінюють закономірності діяльності, порівнюючи їх з минулою поведінкою, і вони визначають, чи становить поточна діяльність загроза. Щоб допомогти, такі постачальники, як Core Security, оцінюють мережеві дані, такі як поведінка пошуку DNS користувачів та протоколи зв’язку в HTTP-запитах.
Деякий аналіз відбувається в режимі реального часу, а інші рішення ML вивчають записи транзакцій та інші файли журналів. Наприклад, продукція Fortscale відзначає інсайдерські загрози, включаючи погрози, що передбачають викрадені облікові дані. "Ми орієнтуємося на журнали доступу та автентифікації, але журнали можуть надходити практично з будь-якого місця: Active Directory, Salesforce, Kerberos, ваші власні" коронні програми для перлин ", " - сказав Tendler Fortscale. "Чим більше різноманітності, тим краще". У чому ML має ключове значення тут, це те, що він може перетворити скромні та часто ігноровані журнали ведення господарства в цінні, високоефективні та дешеві джерела розвідки про загрози.
І ці стратегії мають значення. Італійський банк, що має менше 100 000 користувачів, зазнав інсайдерської загрози, пов’язаної з масштабною ексфільтрацією конфіденційних даних до групи невстановлених комп'ютерів. Зокрема, законні облікові дані користувачів використовувались для надсилання великих обсягів даних за межами організації через Facebook. Банк розгорнув ML-систему Darktrace Enterprise Immune System, яка виявила аномальну поведінку протягом трьох хвилин, коли сервер компанії підключився до Facebook - нехарактерний вид діяльності, - сказав Дейв Палмер, директор із технології Darktrace.
Система негайно оприлюднила попередження про погрозу, що дало змогу команді безпеки банку реагувати. Врешті-решт, запит призвів до системного адміністратора, який ненавмисно завантажив зловмисне програмне забезпечення, яке захопило сервер банку в ботнеті для видобутку біткойна - групі машин, якими керують хакери. Менш ніж за три хвилини компанія розпочала тренінг, дослідила в режимі реального часу і розпочала свою реакцію - без втрати корпоративних даних або пошкодження оперативних послуг клієнтів, зазначив Палмер.
Моніторинг користувачів, не контроль доступу чи пристрої
Але комп'ютерні системи можуть досліджувати будь-який вид цифрового сліду. І саме тут сьогодні приділяється велика увага постачальників: до створення базових ліній «добре відомої поведінки» користувачами організації під назвою Аналіз поведінки користувачів (UBA). Контроль доступу та моніторинг пристроїв йдуть лише поки що. Набагато краще, кажуть декілька експертів та постачальників, зробити користувачів центральним центром безпеки, саме для цього і займається UBA.
"УБА - це спосіб спостерігати за тим, що люди роблять, і помічати, чи роблять вони щось незвичне", - заявив Шейдлер Балабіт. Продукт (в даному випадку Blindspotter і Shell Control Box) Balabit створює цифрову базу даних типової поведінки кожного користувача - процес, який займає близько трьох місяців. Після цього програмне забезпечення розпізнає аномалії від цієї базової лінії. Система ML створює оцінку поведінки облікового запису користувача разом з критичністю проблеми. Попередження створюються щоразу, коли оцінка перевищує поріг.
"Аналітика спробуйте вирішити, чи ви самі", - сказав Шейдлер. Наприклад, аналітик БД регулярно використовує певні інструменти. Отже, якщо вона входить із незвичного місця в незвичний час та отримує доступ до незвичних для неї програм, то система робить висновок, що її рахунок може бути порушений.
Характеристики UBA, відслідковувані Balabit, включають історичні звички користувача (час входу, загальновживані програми та команди), властивості (роздільна здатність екрана, використання трекпада, версія операційної системи), контекст (ISP, дані GPS, місцезнаходження, лічильники мережевого трафіку), і невідповідність (щось ти є). В останній категорії - аналіз руху миші та динаміка натискання клавіш, за допомогою якої система відображає, як сильно і швидко пальці користувача стукають клавіатурою.
Незважаючи на те, що цікаво, Шейдлер запевняє, що вимірювання миші та клавіатури ще не є надійними. Наприклад, за його словами, виявлення чиїсь натискання клавіш приблизно 90 відсотків надійне, тому інструменти компанії не сильно покладаються на аномалію в цій області. Крім того, поведінка користувачів постійно відрізняється; якщо у вас напружений день або біль у руці, рухи миші відрізняються.
"Оскільки ми працюємо з багатьма аспектами поведінки користувачів, і сукупне значення - це те, яке потрібно порівняти з базовим профілем, в цілому він має дуже високу надійність, яка переходить на 100 відсотків", - сказав Шейдлер.
Balabit, безумовно, не єдиний постачальник, чиї продукти використовують UBA для виявлення подій безпеки. Наприклад, Cybereason використовує аналогічну методологію для виявлення поведінки, яка змушує уважних людей говорити: "Гм, це смішно".
Пояснює представник центрального директора Cybereason Yonatan Streim Amit: "Коли наша платформа бачить аномалію - Джеймс працює до кінця - ми можемо співвіднести це з іншими відомими поведінками та відповідними даними. Чи він використовує ті самі програми та схеми доступу? Чи він надсилає дані комусь, з ким він ніколи не спілкується. чи всі комунікації надходять до його менеджера, який відповідає у відповідь? " Cybereason аналізує аномалію Джеймса, який працює ненормально із запізненням, із довгим списком інших спостережуваних даних, щоб дати контекст для визначення того, чи є попередження помилковим позитивом чи законною проблемою.
Завдання ІТ - знайти відповіді, але це впевнено допомагає мати програмне забезпечення, яке може ставити правильні питання. Наприклад, двоє користувачів у медичній організації мали доступ до записів померлих пацієнтів. "Чому б хтось дивився на пацієнтів, які померли два-три роки тому, якщо ви не хочете зробити якусь особу чи медичне шахрайство?" запитує Еміт Кулкарні, генеральний директор компанії Cognetyx. Визначаючи цей ризик для безпеки, система Cognetyx виявила невідповідний доступ на основі звичайних заходів для цього відділу та порівняла поведінку двох користувачів з поведінкою доступу своїх однолітків та з їхньою нормальною поведінкою.
"За визначенням, системи машинного навчання є ітераційними та автоматизованими", - сказав Тендлер Fortscale. "Вони прагнуть" узгодити "нові дані з побаченими раніше, але не" дискваліфікують "нічого з рук або автоматично" викидають "несподівані або поза межами результатів".
Тож алгоритми Fortscale шукають приховані структури у наборі даних, навіть коли вони не знають, як виглядає структура. "Навіть якщо ми виявимо несподіване, воно надає корм, на якому потенційно можна побудувати нову карту шаблонів. Саме це робить машинне навчання настільки сильнішим, ніж детерміновані набори правил. Системи машинного навчання можуть знайти проблеми із безпекою, які ніколи раніше не бачили".
Що відбувається, коли система МЛ виявляє аномалію? Як правило, ці інструменти передають людині сповіщення про те, щоб якось зробити остаточний дзвінок, оскільки побічні ефекти помилкового позитиву наносять шкоду компанії та її клієнтам. "Виправлення неполадок та криміналістики потребує людської експертизи", - стверджує Балабіт Шейдлер. Ідеал полягає в тому, щоб генеровані сповіщення були точними та автоматизованими, а інформаційні панелі дають корисний огляд стану системи з можливістю розгортатись "ей, це дивно".
Джерело: Balabit.com (Клацніть на графіку вище, щоб побачити повний вигляд.)
Це просто початок
Не припускайте, що безпека ML та ІТ - це ідеальна відповідність, як шоколад та арахісове масло чи коти та Інтернет. Це незавершена робота, хоча вона отримає більше потужності та корисності, оскільки продукти отримують більше функцій, інтеграцію додатків та вдосконалення технологій.
За короткий термін шукайте вдосконалення автоматизації, щоб команди безпеки та операції могли отримати нові дані швидше та з меншим втручанням людини. У наступні два-три роки, зазначає Майк Пакетт, віце-прем'єр продуктів компанії Prelert, "ми очікуємо, що просування буде відбуватися у двох формах: розширена бібліотека заздалегідь налаштованих випадків використання, що ідентифікують поведінку нападів, та вдосконалення автоматизованого вибору та конфігурації функцій, скорочення необхідність консультаційних завдань ».
Наступні кроки - це системи самонавчання, які самі можуть протистояти атакам, зазначив Палмер Darktrace. "Вони реагуватимуть на нові ризики від зловмисного програмного забезпечення, хакерів або невдоволених працівників таким чином, щоб зрозуміти повний контекст нормальної поведінки окремих пристроїв і загальних бізнес-процесів, а не приймати окремі бінарні рішення, як традиційні засоби захисту. Це буде вирішальним реагувати на швидкіші атаки, такі як напади, що ґрунтуються на вимаганнях, які перетворюються на атаку на будь-який цінний актив (а не лише файлові системи) і будуть розроблені так, щоб реагувати швидше, ніж це можливо людям "
Це захоплююча область з великою кількістю обіцянок. Поєднання ML та сучасних інструментів безпеки не тільки дають ІТ-фахівцям нові інструменти для використання, але, що ще важливіше, вони надають їм інструменти, які дозволяють їм робити свою роботу більш точно, але все ще швидше, ніж будь-коли раніше. Хоча це і не срібна куля, це важливий крок вперед у сценарії, в якому погані хлопці занадто довго мали всі переваги.
