Video: Counter Strike Source Zombie Horror boss fight (Listopad 2024)
IT bezpečnost je nebezpečná a drahá díra. Vynakládá se obrovské množství peněz na ochranu firemních dat a sítí. Hordy padouchů jsou motivovány k proniknutí a následky selhání jsou bolestivější než náklady na ochranu.
Horší je, že současné způsoby, jakými se vedoucí bezpečnosti zabývají bezpečností, jsou rušivé. Zatímco klíčové bezpečnostní nástroje, jako je řízená ochrana koncových bodů, budou vždy nutné, každý z nás obtěžoval obtížnou správu hesel, staral se o přístupová práva k softwaru, který potřebujeme, a stěžoval si na překážky mezi námi a prací, kterou musíme udělat. Pokud by bezpečnostní postupy fungovaly 100 procent času, možná bychom s tím byli v pořádku - ale hej, všimli jste si, kolik porušení je stále hlášeno? Já také. Stačí se podívat na to, jak počet případů narušení dat za rok explodoval v této grafice níže (analytickým datem a vizualizačním blogem Sparkling Data). Graf ukazuje narušení dat od roku 2009, členěný podle typu odvětví a kolik milionů záznamů bylo ohroženo:
Zdroj: 24. července 2016 ; Analýza údajů o porušení HIPAA ; Šumivá data
Ale jsou tu také dobré zprávy. Stejné technologie strojového učení (ML) a prediktivní analytické algoritmy, které vám poskytnou užitečná doporučení knih a podporují vaše nejpokročilejší samoobslužné business intelligence (BI) a vizualizaci dat nástroje jsou začleněny do IT bezpečnostních nástrojů. Odborníci uvádějí, že pravděpodobně nebudete utrácet méně peněz za zabezpečení IT vaší společnosti, ale alespoň vaši zaměstnanci budou pracovat efektivněji a budou mít větší šanci najít hackery a malware dříve, než dojde k poškození.
Kombinace zabezpečení ML a IT lze určitě označit jako „nově vznikající technologii“, ale co je skvělé, je to, že nemluvíme jen o jedné technologii. ML se skládá z několika druhů technologií, z nichž každá se používá různými způsoby. A protože v této oblasti pracuje tolik prodejců, musíme se dívat na zcela novou kategorii technologií, která soutěží, vyvíjí se a doufejme, že nám všem prospěje.
Takže, co je strojové učení?
ML umožňuje počítači, aby se něco naučil, aniž by musel být explicitně naprogramován. Děje se tak přístupem k velkým souborům dat - často k velkým.
"Při strojovém učení můžeme dát počítači 10 000 obrázků koček a říct mu:" Tak vypadá kočka. " A pak můžete dát počítači 10 000 neoznačených obrázků a požádat ho, aby zjistil, které z nich jsou kočky, “vysvětluje Adam Porter-Price, senior spolupracovník v Booz Allen. Model se zlepšuje, když dáváte systému zpětnou vazbu, zda je jeho odhad správný nebo nesprávný. Postupem času se systém stává přesnějším při určování, zda fotografie obsahuje kočku (jak by samozřejmě měly mít všechny fotografie).
Nejedná se o zcela novou technologii, i když nedávné pokroky v rychlejších počítačích, lepších algoritmech a nástrojích Big Data jistě zlepšily věci. „Strojové učení (zejména aplikované na modelování lidského chování) existuje již dlouhou dobu, “ řekl Idan Tendler, generální ředitel společnosti Fortscale. „Je to klíčová součást kvantitativních stránek mnoha disciplín, od cen leteckých letů po politické průzkumy až po marketing rychlého občerstvení již v šedesátých letech.“
Nejzjevnější a nejznámější moderní použití je v marketingových snahách. Když si například kupujete knihu na Amazonu, její doporučovací motory těží z předchozích prodejů a navrhnou další knihy, které si pravděpodobně užijete (např. Lidé, kteří měli rádi Yendi Stevena Brusta, se mohou také líbit romány Jima Butchera), což se promítá do dalšího prodeje knih. Tam se aplikuje ML. Dalším příkladem může být podnik, který používá data svého řízení vztahů se zákazníky (CRM) k analýze zákaznického odlivu, nebo letecká společnost, která používá ML k analýze toho, kolik odměnových bodů motivuje časté letce k přijetí konkrétní nabídky.
Čím více dat počítačový systém shromažďuje a analyzuje, tím lepší je jeho náhled (a identifikace fotografie kočky). Navíc s příchodem velkých dat mohou systémy ML shromažďovat informace z více zdrojů. Online maloobchodník se může podívat mimo rámec svých vlastních datových sad a zahrnout například analýzu dat webového prohlížeče zákazníka a informací z partnerských webů.
ML bere data, která je pro lidi příliš velká na to, aby je mohli pochopit (například miliony řádků souborů síťového protokolu nebo velké množství transakcí elektronického obchodování), a proměňuje je v něco srozumitelnějšího, řekl Balázs Scheidler, CTO dodavatele bezpečnostního nástroje IT Balabit.
„Systémy strojového učení rozpoznávají vzorce a upozorňují na anomálie, které pomáhají lidem pochopit situaci, a pokud je to vhodné, přijmout opatření, “ řekl Scheidler. "A strojové učení tuto analýzu provádí automatizovaným způsobem; ty samé věci jste se nemohli naučit pouhým pohledem pouze na protokoly transakcí."
Kde ML opravuje slabiny zabezpečení
Naštěstí stejné zásady ML, které vám mohou pomoci při rozhodování o koupi nové knihy, mohou zvýšit vaši firemní síť. Ve skutečnosti, řekl Fortscale's Tendler, prodejci IT jsou na ML párty trochu pozdě. Oddělení marketingu mohla vidět finanční přínosy v rané adopci ML, zejména proto, že náklady na špatné zacházení byly minimální. Doporučením nesprávné knihy nikoho nezrušíte. Bezpečnostní specialisté potřebovali více jistoty ohledně technologie a zdá se, že ji konečně mají.
Upřímně řečeno, je čas. Protože současné způsoby řešení bezpečnosti jsou rušivé a reaktivní. Horší: Čistý objem nových bezpečnostních nástrojů a nesourodých nástrojů pro sběr dat vedl k příliš velkému vstupu i pro pozorovatele.
„Většina společností je zaplavena tisíci upozorněními denně, z nichž převažují falešné pozitivy, “ řekl David Thompson, senior ředitel produktového managementu v bezpečnostní společnosti LightCyber. "I když je výstraha viděna, pravděpodobně by byla vnímána jako mimořádná událost a nechápala se, že je součástí většího, organizovaného útoku."
Thompson cituje Gartnerovu zprávu, která uvádí, že většina útočníků zůstává v průměru pět měsíců nezjištěna. Tato falešná pozitiva mohou také vést k rozzlobeným uživatelům, zdůraznil Ting-Fang Yen, vědec z výzkumu v DataVisor, kdykoli jsou zaměstnanci blokováni nebo označeni omylem, nemluvě o době, kterou IT tým stráví řešením problémů.
Takže první směr v oblasti IT bezpečnosti pomocí ML je analýza síťové aktivity. Algoritmy hodnotí vzorce aktivit, porovnávají je s minulým chováním a určují, zda současná aktivita představuje hrozbu. Dodavatelé, jako je například základní zabezpečení, vyhodnocují síťová data, jako je chování uživatelů při vyhledávání DNS a komunikační protokoly v rámci požadavků
Některé analýzy se dějí v reálném čase a jiná řešení ML zkoumají transakční záznamy a další protokolové soubory. Například produkt společnosti Fortscale zaznamenává vnitřní hrozby, včetně hrozeb, které zahrnují odcizená pověření. „Zaměřujeme se na protokoly o přístupu a ověřování, ale tyto protokoly mohou pocházet téměř odkudkoli: Active Directory, Salesforce, Kerberos, vaše vlastní aplikace„ korunových šperků “, “ řekl Tendler společnosti Fortscale. "Čím více rozmanitosti, tím lépe." Tam, kde ML dělá klíčový rozdíl, je to, že dokáže proměnit skromné a často ignorované protokoly o hospodaření organizace v cenné, vysoce efektivní a levné zdroje zpravodajství o hrozbách.
A tyto strategie dělají rozdíl. Italská banka s méně než 100 000 uživateli zažila zasvěcenou hrozbu zahrnující rozsáhlou exfiltraci citlivých dat do skupiny neidentifikovaných počítačů. Konkrétně byla legitimní pověření uživatele použita k odesílání velkého objemu dat mimo organizaci prostřednictvím Facebooku. Banka nasadila systém Darktrace Enterprise Immune System poháněný ML, který detekoval neobvyklé chování během tří minut, když se firemní server připojil k Facebooku - netypická aktivita, uvedl Dave Palmer, technologický ředitel v Darktrace.
Systém okamžitě vydal výstrahu o hrozbě, která umožnila bezpečnostnímu týmu banky reagovat. Dotaz nakonec vedl k tomu, že správce systému neúmyslně stáhl malware, který zachytil server banky v bitcoinovém těžebním botnetu - skupině strojů ovládaných hackery. Za necelé tři minuty společnost triagovala, vyšetřovala v reálném čase a začala reagovat - bez ztráty podnikových dat nebo poškození provozních služeb zákazníků, řekl Palmer.
Monitorování uživatelů, řízení přístupu nebo zařízení
Počítačové systémy však mohou zkoumat jakýkoli druh digitální stopy. A právě v těchto dnech se věnuje velká pozornost dodavatelům: směrem k vytváření základních linií „známého dobrého“ chování uživatelů organizace s názvem User Behavior Analytics (UBA). Řízení přístupu a monitorování zařízení jdou zatím. Řekněme, že je mnohem lepší, říci několik odborníků a prodejců, učinit z uživatelů ústřední zaměření na bezpečnost, což je to, o čem UBA je.
„UBA je způsob, jak sledovat, co lidé dělají, a všimnout si, že dělají něco neobvyklého, “ řekl Balabitův Scheidler. Produkt (v tomto případě Balabit's Blindspotter a Shell Control Box) vytváří digitální databázi typického chování každého uživatele, což je proces, který trvá asi tři měsíce. Poté software rozpozná anomálie z této základní linie. Systém ML vytváří skóre toho, jak se „off“ uživatelský účet chová, spolu s kritičností problému. Výstrahy se generují vždy, když skóre překročí prahovou hodnotu.
"Analytics se snaží rozhodnout, jestli jste sami sebou, " řekl Scheidler. Například analytik databáze pravidelně používá určité nástroje. Pokud se tedy přihlásí z neobvyklého umístění v neobvyklém čase a přistupuje k neobvyklým aplikacím, systém dospěl k závěru, že její účet může být ohrožen.
Mezi charakteristiky UBA sledované programem Balabit patří historické návyky uživatele (čas přihlášení, běžně používané aplikace a příkazy), majetek (rozlišení obrazovky, použití trackpadu, verze operačního systému), kontext (ISP, GPS data, umístění, čítače síťového provozu), a dědičnost (něco, co jste). Ve druhé kategorii je analýza pohybu myši a dynamika stisknutí kláves, čímž systém mapuje, jak tvrdé a rychlé prsty uživatele udeří klávesnicí.
Zatímco je fascinující geek, Scheidler varuje, že měření myši a klávesnice zatím nejsou spolehlivá. Například řekl, že identifikace někoho stisknutí kláves je asi 90 procent spolehlivá, takže nástroje společnosti se v této oblasti příliš nespoléhají na anomálie. Kromě toho je chování uživatelů po celou dobu mírně odlišné; Máte-li stresující den nebo bolest v ruce, pohyby myši se liší.
„Protože pracujeme s mnoha aspekty chování uživatelů a agregovaná hodnota je ta, která se má porovnat s výchozím profilem, má celkově velmi vysokou spolehlivost, která se sblíží na 100 procent, “ řekl Scheidler.
Balabit rozhodně není jediným prodejcem, jehož produkty používají UBA k identifikaci bezpečnostních událostí. Například Cybereason používá podobnou metodologii k identifikaci chování, které nutí pozorné lidi říkat: „Hmm, to je vtipné.“
Vysvětluje CTO Cybereason CTO Yonatan Streim Amit: „Když naše platforma vidí anomálii - James pracuje pozdě - můžeme ji korelovat s jinými známými způsoby chování a relevantními daty. Používá stejné aplikace a přístupové vzorce? Odesílá data někomu, komu nikdy nekomunikuje s nebo jdou veškerá komunikace s jeho nadřízeným, kdo odpovídá? “ Cybereason analyzuje anomálii Jamese, který pracuje neobvykle pozdě, s dlouhým seznamem dalších pozorovaných údajů, aby poskytl kontext pro určení, zda je výstraha falešně pozitivní nebo legitimní.
Je úkolem IT hledat odpovědi, ale určitě pomáhá mít software, který může klást správné otázky. Například dva uživatelé ve zdravotnické organizaci měli přístup k záznamům zemřelých pacientů. "Proč by se někdo díval na pacienty, kteří zemřeli před dvěma nebo třemi lety, pokud nechcete udělat nějaký druh identity nebo lékařského podvodu?" ptá se Amit Kulkarni, generální ředitel společnosti Cognetyx. Při identifikaci tohoto bezpečnostního rizika systém Cognetyx identifikoval nevhodný přístup založený na běžných činnostech tohoto oddělení a porovnával chování dvou uživatelů s chováním přístupů jejich vrstevníků a s jejich běžným chováním.
"Podle definice jsou systémy strojového učení iterativní a automatizované, " řekl Tendler společnosti Fortscale. „Vypadají tak, že„ porovnávají “nová data s tím, co už viděli, ale nic„ nezpůsobí diskvalifikaci “z ruky nebo automaticky„ zahodí “neočekávané nebo překračující hranice výsledků.“
Algoritmy Fortscale tedy hledají skryté struktury v datové sadě, i když nevědí, jak struktura vypadá. "I když najdeme neočekávané, poskytuje krmivo, na kterém lze potenciálně vytvořit novou mapu vzorů. To je to, co dělá strojové učení mnohem silnějším než deterministické sady pravidel: Systémy strojového učení mohou najít bezpečnostní problémy, které nikdy předtím nebyly vidět."
Co se stane, když systém ML najde anomálii? Obecně tyto nástroje předávají výstrahy člověku, aby nějakým způsobem zavolali, protože vedlejší účinky falešně pozitivních škod poškozují společnost a její zákazníky. „Řešení problémů a forenzní analýza vyžaduje lidské znalosti, “ tvrdí Balabit's Scheidler. Ideální je, že generovaná upozornění jsou přesná a automatizovaná a řídicí panely poskytují užitečný přehled o stavu systému se schopností vrtat do chování „hej, to je divné“.
Zdroj: Balabit.com (Kliknutím na obrázek výše zobrazíte úplné zobrazení.)
Je to jen začátek
Nepředpokládejte, že zabezpečení ML a IT je dokonalou shodou s čokoládou a arašídovým máslem nebo kočkami a internetem. Jedná se o nedokončenou práci, která však získá větší sílu a užitečnost, protože produkty získají více funkcí, integraci aplikací a technologická vylepšení.
V krátkodobém horizontu hledejte pokroky v automatizaci, aby bezpečnostní a operační týmy mohly získat nové poznatky o datech rychleji as menším zásahem člověka. V příštích dvou nebo třech letech, řekl Mike Paquette, viceprezident pro produkty společnosti Prelert, „očekáváme vylepšení ve dvou podobách: rozšířená knihovna předem nakonfigurovaných případů použití, která identifikují chování útoků, a pokroky v automatickém výběru a konfiguraci funkcí, což snižuje potřeba konzultačních zakázek. “
Dalšími kroky jsou samoučící se systémy, které dokážou bojovat proti útokům samy o sobě, řekl Darkmerce's Palmer. „Budou reagovat na vznikající rizika způsobená malwarem, hackery nebo nespokojenými zaměstnanci způsobem, který chápe úplný kontext normálního chování jednotlivých zařízení a celkových obchodních procesů, místo aby dělali jednotlivá binární rozhodnutí, jako jsou tradiční obrany. To bude zásadní reagovat na rychlejší pohybující se útoky, jako jsou útoky založené na vydírání, které promění v útok na jakýkoli cenný majetek (nejen souborové systémy) a budou navrženy tak, aby reagovaly rychleji, než je možné u lidí. ““
Je to vzrušující oblast se spoustou příslibů. Kombinace ML a pokročilých bezpečnostních nástrojů dává IT profesionálům nejen nové nástroje k použití, ale co je důležitější, dává jim nástroje, které jim umožňují pracovat přesněji, ale stále rychleji než kdykoli předtím. I když nejde o stříbrnou střelu, je to významný krok vpřed ve scénáři, ve kterém mají zlí lidé všechny výhody příliš dlouho.
