Video: hankinko uuden kissan?? // Saara Daniela (Lokakuu 2024)
IT-turvallisuus on vaarallinen ja kallis helvetti. Yritystietojen ja -verkkojen suojaamiseen käytetään paljon rahaa. Pahojoukkojen joukot ovat motivoituneita murtautumaan, ja epäonnistumisen seuraukset ovat tuskallisempia kuin suojelun kustannukset.
Mikä pahempaa, nykyiset turvapäälliköiden (CSO: n) käsittelemät turvallisuus ovat häiritseviä. Vaikka ydinturvallisuustyökalut, kuten hallittu päätepisteiden suojaus, ovat aina välttämättömiä, jokainen meistä on valittanut salasanojen hallinnan vaikeutta, keskustellut tarvitsemiemme ohjelmistojen käyttöoikeuksista ja valittanut meidän ja tekemämme työn välisistä esteistä. Jos turvallisuusmenettelyt toimivat 100 prosenttia ajasta, olisimmeko ehkä kunnossa sen kanssa - mutta hei, oletko huomannut, kuinka monta rikkomusta edelleen ilmoitetaan? Minä myös. Tarkastele vain, kuinka tietorikkomusten lukumäärä vuodessa on räjähtänyt alla olevassa kuvassa (datan analytiikan ja visualisointiblogin Sparkling Data avulla). Grafiikka esittää vuodesta 2009 lähtien tapahtuneita tietorikkomuksia eriteltynä toimialatyypeittäin ja kuinka monta miljoonaa tietuetta vaarannettiin:
Lähde: 24. heinäkuuta 2016 ; HIPAA-rikkomusdatan analyysi ; Kimaltelevat tiedot
Mutta on myös hyviä uutisia. Samat koneoppimis- (ML) tekniikat ja ennustavat analyyttiset algoritmit antavat sinulle hyödyllisiä teossuosituksia ja lisäävät edistyneimpiä itsepalvelulista (BI) ja tietojen visualisointia työkalut sisällytetään tietoturvatyökaluihin. Asiantuntijoiden mukaan et todennäköisesti kuluta vähemmän rahaa yrityksesi tietoturvaan tämän takia, mutta ainakin henkilöstösi työskentelee tehokkaammin ja heillä on paremmat mahdollisuudet löytää hakkereita ja haittaohjelmia ennen vaurioiden syntymistä.
ML: n ja IT-tietoturvan yhdistelmä voidaan varmasti merkitä "nousevaksi tekniikaksi", mutta mikä tekee siitä hienon, on se, että emme puhu vain yhdestä tekniikasta. ML koostuu monenlaisista tekniikoista, joita kukin soveltaa eri tavoin. Ja koska niin monet myyjät työskentelevät tällä alueella, meidän on seurattava aivan uutta teknologiakategoriaa kilpailemasta, kehittymässä ja toivottavasti hyödyttävän meitä kaikkia.
Joten, mikä on koneoppiminen?
ML sallii tietokoneen opettaa itselleen jotain ilman, että sitä tarvitsee nimenomaisesti ohjelmoida. Se tekee niin pääsemällä suuriin tietokokonaisuuksiin - usein suuriin.
"Koneoppimisen avulla voimme antaa tietokoneelle 10 000 kuvaa kissoista ja kertoa sille:" Tästä kissa näyttää. " Ja sitten voit antaa tietokoneelle 10 000 merkitsemättömää kuvaa ja pyytää sitä selvittämään, mitkä kissat ovat ", selittää Booz Allenin vanhempi asianajaja Adam Porter-Price. Malli paranee, kun annat järjestelmälle palautetta riippumatta siitä, onko järjestelmän arvaus oikein vai väärin. Ajan myötä järjestelmä tarkenee määrittäessään, sisältääkö valokuva kissa (kuten tietysti kaikkien valokuvien pitäisi olla).
Tämä ei ole aivan uusi tekniikka, vaikka viimeaikaiset edistykset nopeammissa tietokoneissa, parempien algoritmien ja Big Data -työkalujen avulla ovat varmasti parantaneet asioita. "Koneoppiminen (erityisesti ihmisten käyttäytymisen mallinnuksessa) on ollut olemassa jo pitkään", sanoi Fortscalen toimitusjohtaja Idan Tendler. "Se on keskeinen osa monien tieteenalojen määrällisiä puolia, aina lentolippujen hinnoittelusta poliittiseen äänestykseen pikaruokamarkkinointiin jo 1960-luvulla."
Selvin ja tunnistettavin nykyaikainen käyttö on markkinointiyrityksissä. Kun ostat kirjan esimerkiksi Amazonista, sen suositus moottoroi aikaisempaa myyntiä ja ehdottaa lisää kirjoja, joista todennäköisesti nautit (esim. Ihmiset, jotka pitivät Steven Brustin Yendistä, voivat myös pitää Jim Butcherin romaaneista), mikä tarkoittaa lisää kirjakauppaa. Sitä sovellettiin ML: ään tuolla. Toinen esimerkki voi olla yritys, joka käyttää asiakassuhteiden hallinnan (CRM) tietojaan asiakkaan vaihdon analysoimiseen, tai lentoyhtiö, joka käyttää ML: tä analysoidakseen, kuinka monta palkitsemispistettä kannustaa kanta-asiakkaita hyväksymään tietyn tarjouksen.
Mitä enemmän tietoja tietokonejärjestelmä kerää ja analysoi, sitä parempia tietoja siitä on (ja kissan valokuvien tunnistaminen). Lisäksi Big Data -tekniikan myötä ML-järjestelmät voivat yhdistää tietoja useista lähteistä. Verkkokauppias voi katsoa omien tietojoukkojensa ulkopuolelle sisällyttääkseen esimerkiksi asiakkaan selaintietojen ja esimerkiksi kumppanisivustojensa tietoja.
ML ottaa tietoja, joita ihmisillä on liian paljon ymmärtää (kuten miljoonia riviä lokitiedostoja tai valtava määrä verkkokauppaa) ja muuttaa niistä jotain helpommin ymmärrettävää, sanoi Balázs Scheidler, IT-tietoturvatyökalujen myyjän Balabitin johtaja..
"Koneoppimisjärjestelmät tunnistavat kuviot ja tuovat esiin poikkeavuuksia, jotka auttavat ihmisiä tarttumaan tilanteeseen ja tarvittaessa ryhtymään toimiin sen suhteen", Scheidler sanoi. "Ja koneoppiminen tekee tämän analyysin automatisoidulla tavalla. Et voi oppia samoja asioita pelkästään tarkastelemalla vain tapahtumalokkeja."
ML korjauttaa tietoturvan heikkoudet
Onneksi samat ML-periaatteet, joiden avulla voit päättää uuden kirjan ostosta, voivat tehdä yritysverkostostasi turvallisemman. Itse asiassa, sanoo Fortscalen Tendler, tietotekniikan myyjät ovat hieman myöhässä ML-puolueelle. Markkinointiosastot saattoivat nähdä taloudellisia etuja ML: n varhaisessa vaiheessa käyttöönoton etenkin siksi, että väärinkäytöstä aiheutuvat kustannukset olivat vähäiset. Väärän kirjan suosittaminen ei vie kenenkään verkkoa. Turvallisuusasiantuntijat tarvitsivat enemmän varmuutta tekniikasta ja näyttää siltä, että heillä on vihdoin se.
Suoraan sanottuna, on aika. Koska nykyiset tavat käsitellä turvallisuutta ovat häiritseviä ja reagoivia. Pahempaa: Uusien tietoturvatyökalujen ja erilaisten tiedonkeruutyökalujen suuri määrä on johtanut liian suureen panokseen jopa tarkkailijoille.
"Useimpia yrityksiä tulvii tuhansia hälytyksiä päivässä, ja niitä hallitsevat suurelta osin väärät positiiviset tiedot", kertoi tietoturvayrityksen LightCyberin tuotehallinnan vanhempi johtaja David Thompson. "Vaikka hälytys nähdään, sitä todennäköisesti pidetään yksittäisenä tapahtumana, eikä sitä ymmärretä olevan osa suurempaa orkestroimaa hyökkäystä."
Thompson mainitsee Gartnerin raportin, jonka mukaan suurin osa hyökkääjistä jää huomaamatta keskimäärin viiden kuukauden ajan . Nämä väärät positiiviset tulokset voivat johtaa myös vihaisiin käyttäjiin, huomautti DataVisorin tutkija Ting-Fang Yen aina, kun työntekijät estetään tai ilmoitetaan virheellisesti, puhumattakaan IT-ryhmän käyttämästä ajasta ongelmien ratkaisemiseksi.
Joten ensimmäinen ratkaisu IT-tietoturvaan ML: n avulla on verkkoaktiviteetin analysointi. Algoritmit arvioivat aktiivisuusmallit vertaamalla niitä aikaisempaan käyttäytymiseen ja määrittävätkö nykyinen toiminta uhan. Auttajana, kuten Core Security, toimittajat arvioivat verkkotietoja, kuten käyttäjien DNS-hakuominaisuuksia ja viestintäprotokollia HTTP-pyyntöjen sisällä.
Jotkut analyysit tapahtuvat reaaliajassa, ja muut ML-ratkaisut tutkivat tapahtumarekisterit ja muut lokitiedostot. Esimerkiksi Fortscalen tuotehavainnot sisältävät sisäpiiriin kohdistuvia uhkia, mukaan lukien uhat, joihin liittyy varastettuja valtuuksia. "Keskitymme pääsy- ja todennuslokeihin, mutta lokit voivat tulla melkein mistä tahansa: Active Directory, Salesforce, Kerberos, omat" kruunukorun sovellukset "", sanoi Fortscalen Tendler. "Mitä enemmän erilaisia, sitä parempi." ML: llä on tässä avainasemassa se, että se voi muuttaa organisaation nöyrät ja usein sivuutetut taloudenhoitolokit arvokkaiksi, erittäin tehokkaiksi ja halpoiksi uhkaustietolähteiksi.
Ja nämä strategiat tekevät muutosta. Italialainen pankki, jolla on alle 100 000 käyttäjää, koki sisäpiiriohjeen, joka koski arkaluontoisten tietojen laajamittaista suodattamista tuntemattomien tietokoneiden ryhmään. Erityisesti laillisia käyttäjän valtuustietoja käytettiin suurien tietomäärien lähettämiseen organisaation ulkopuolelle Facebookin kautta. Pankki otti käyttöön ML-käyttöisen Darktrace Enterprise Immuunijärjestelmän, joka havaitsi epänormaalin käyttäytymisen kolmen minuutin sisällä, kun yrityksen palvelin liitettiin Facebookiin - epätavallinen toiminta, kertoi Darktracen teknologiajohtaja Dave Palmer.
Järjestelmä antoi heti uhkahälytyksen, jonka avulla pankin turvallisuusryhmä pystyi reagoimaan. Lopulta kysely johti järjestelmänvalvojaan, joka oli tahattomasti ladannut haittaohjelmia, jotka loukasivat pankin palvelimen bitcoin-louhinta-bottiverkkoon - hakkereiden hallitsemaan koneiden ryhmään. Alle kolmessa minuutissa yritys kokeili, tutkittiin reaaliajassa ja aloitti vastauksensa - ilman yrityksen tietojen menetystä tai vahingoittumista asiakasoperaatioille, Palmer kertoi.
Seurataan käyttäjiä, ei pääsynhallintaa tai laitteita
Mutta tietokonejärjestelmät voivat tutkia kaikenlaista digitaalista jalanjälkeä. Ja siellä näihin päiviin suuntautuu paljon myyjien huomioita: kohti perustaa organisaation käyttäjien "tunnetulle hyvälle" käyttäytymiselle, nimeltään User Behavior Analytics (UBA). Kulunvalvonta ja laitevalvonta menevät vain toistaiseksi. Useampien asiantuntijoiden ja myyjien mukaan on paljon parempi tehdä käyttäjistä turvallisuuden keskipiste, mistä UBA: ssa on kyse.
"UBA on tapa seurata ihmisten tekemiä asioita ja huomata, tekevätkö he jotain tavallisesta poikkeavaa", sanoi Balabitin Scheidler. Tuote (tässä tapauksessa Balabitin Blindspotter ja Shell Control Box) rakentaa digitaalisen tietokannan kunkin käyttäjän tyypillisestä käyttäytymisestä. Prosessi kestää noin kolme kuukautta. Sen jälkeen ohjelmisto tunnistaa poikkeamat kyseisestä lähtötasosta. ML-järjestelmä luo pistemäärän siitä, kuinka "käytöstä poistettu" käyttäjätili toimii, yhdessä ongelman kriittisyyden kanssa. Hälytyksiä syntyy aina, kun pistemäärä ylittää kynnyksen.
"Analytics yrittää päättää, oletko sinä itse", Scheidler sanoi. Esimerkiksi tietokannan analyytikko käyttää säännöllisesti tiettyjä työkaluja. Joten jos hän kirjautuu sisään epätavallisesta sijainnista epätavallisella hetkellä ja käyttää epätavallisia sovelluksiaan, järjestelmä toteaa, että hänen tilinsä saattaa olla vaarantunut.
Balabitin seuraamiin UBA-ominaisuuksiin kuuluvat käyttäjän historialliset käytännöt (kirjautumisaika, yleisesti käytetyt sovellukset ja komennot), omaisuudet (näytön resoluutio, ohjauslevyn käyttö, käyttöjärjestelmän versio), konteksti (ISP, GPS-tiedot, sijainti, verkkoliikennelaskurit), ja luontaisuus (jotain olet). Viimeksi mainitussa kategoriassa ovat hiiren liikkeen analysointi ja näppäinpainalluksen dynamiikka, jolloin järjestelmä kartoittaa kuinka kovaa ja nopeaa käyttäjän sormet rikkovat näppäimistöä.
Vaikka Scheidler on kiehtovaa geek-näkökulmasta, se varoittaa, että hiiren ja näppäimistön mitat eivät ole vielä tyhjiä. Hän sanoi esimerkiksi, että jonkun näppäimistön tunnistaminen on noin 90 prosenttia luotettavaa, joten yrityksen työkalut eivät luota voimakkaasti kyseisen alueen poikkeavuuteen. Lisäksi käyttäjän käyttäytyminen on hiukan erilaista koko ajan; Jos kädessäsi on stressaavaa päivää tai kipua, hiiren liikkeet ovat erilaisia.
"Koska työskentelemme monien käyttäjien käyttäytymisen näkökohtien kanssa ja kokonaisarvoa verrataan perusprofiiliin, kaiken kaikkiaan sillä on erittäin korkea luotettavuus, joka lähenee 100 prosenttia", Scheidler sanoi.
Balabit ei todellakaan ole ainoa myyjä, jonka tuotteet käyttävät UBA: ta tietoturvatapahtumien tunnistamiseen. Esimerkiksi Cybereason käyttää samanlaista metodologiaa tunnistamaan käyttäytymisen, joka saa tarkkaavaiset ihmiset sanomaan: "Hmm, se on hauskaa".
Selittää Cybereasonin teknisen avun tekijän Yonatan Streim Amit: "Kun alustamme havaitsee poikkeavuuden - James työskentelee myöhässä -, voimme korreloida sen muiden tunnettujen käyttäytymismalleiden ja asiaankuuluvien tietojen kanssa. Onko hän käyttää samoja sovelluksia ja käyttötapoja? Lähettääkö hän tietoja jolle hän koskaan kommunikoi vai meneekö kaikki viestit johtajalleen, kuka vastaa? " Cybereason analysoi Jamesin epänormaalin työskentelyn epänormaalisti myöhässä pitkällä luettelolla muista havaituista tiedoista tarjotakseen kontekstin sen määrittämiseksi, onko kuulutus väärä positiivinen vai oikeutettu huolenaihe.
Tietotekniikan tehtävänä on löytää vastauksia, mutta on varmasti sellaista ohjelmistoa, joka voi tuoda esiin oikeita kysymyksiä. Esimerkiksi kaksi terveydenhuollon organisaation käyttäjää käytti kuolleiden potilaiden tietoja. "Miksi joku katsoisi potilaita, jotka ovat kuolleet kaksi tai kolme vuotta sitten, ellet halua tehdä jonkinlaista henkilöllisyyttä tai lääketieteellisiä petoksia?" kysyy Cognetyxin toimitusjohtaja Amit Kulkarni. Tunnistaessasi tämän tietoturvariskin, Cognetyx-järjestelmä havaitsi sopimattoman pääsyn kyseisen osaston normaalitoimintojen perusteella ja vertasi kahden käyttäjän käyttäytymistä ikäisensä käyttäytymismalleihin ja heidän omaan normaaliin käyttäytymiseen.
"Koneoppimisjärjestelmät ovat määritelmänsä mukaan iteratiivisia ja automatisoituja", sanoi Fortscalen Tendler. "He odottavat" vastaavan "uutta tietoa aiemmin näkemänsä kanssa, mutta eivät" hylätä "mitään käsistä tai" heittää "odottamattomia tai rajat ylittäviä tuloksia automaattisesti."
Joten Fortscalen algoritmit etsivät tietokokonaisuuden piilotettuja rakenteita, vaikka he eivät tiedä miltä rakenne näyttää. "Vaikka löydämme odottamattomat, se tarjoaa rehua, jolle voidaan mahdollisesti rakentaa uusi mallikartta. Se tekee koneoppimisesta niin paljon tehokkaamman kuin deterministiset sääntöjoukot: Koneoppimisjärjestelmät voivat löytää tietoturvaongelmia, joita ei ole koskaan ennen nähty."
Mitä tapahtuu, kun ML-järjestelmä havaitsee poikkeavuuden? Yleensä nämä työkalut luovuttavat ihmisille ilmoitukset lopullisen puhelun soittamisesta jollain tavalla, koska väärän positiivisen vaikutukset vahingoittavat yritystä ja sen asiakkaita. "Vianmääritys ja oikeuslääketiede tarvitsevat ihmisten asiantuntemusta", Balabitin Scheidler toteaa. Ihanteellinen on, että generoidut hälytykset ovat tarkkoja ja automatisoituja, ja kojetaulut antavat hyödyllisen yleiskuvan järjestelmän tilasta ja mahdollisuuden pohtia "hei, se on outoa" käyttäytymistä.
Lähde: Balabit.com (Napsauta yllä olevaa kuvaa nähdäksesi koko kuvan.)
Se on vasta alkua
Älä oleta, että ML- ja IT-tietoturva vastaavat täydellisesti kuten suklaa ja maapähkinävoi tai kissat ja Internet. Tämä on keskeneräinen työ, vaikka se saa enemmän voimaa ja hyödyllisyyttä, kun tuotteet saavat enemmän ominaisuuksia, sovellusten integrointia ja teknisiä parannuksia.
Lyhyellä aikavälillä etsi automatisoinnin edistystä, jotta turvallisuus- ja operaatioryhmät voivat saada uusia tietämyksiä nopeammin ja vähemmällä ihmisen puuttumisella. Seuraavan kahden tai kolmen vuoden aikana Prelertin tuotteiden johtaja Mike Paquette sanoi, että "odotamme edistymisen olevan kahdessa muodossa: laajennettu ennalta määritettyjen käyttötapausten kirjasto, joka tunnistaa hyökkäyskäyttäytymisen, ja edistysaskeleet automatisoidussa ominaisuuksien valinnassa ja konfiguroinnissa vähentäen tarve konsultointityöhön."
Seuraavat vaiheet ovat itseoppivia järjestelmiä, jotka voivat torjua omia hyökkäyksiään, sanoi Darktrace's Palmer. "He vastaavat haittaohjelmien, hakkereiden tai tyytymättömien työntekijöiden aiheuttamiin riskeihin tavalla, joka ymmärtää yksittäisten laitteiden normaalin käyttäytymisen ja koko liiketoimintaprosessien täydellisen kontekstin sen sijaan, että se tekee yksilöllisiä binaaripäätöksiä kuten perinteiset puolustukset. Tämä on ratkaisevan tärkeää. reagoida nopeammin liikkuviin hyökkäyksiin, kuten kiristyspohjaisiin hyökkäyksiin, jotka saavat hyökkäyksen mihin tahansa arvokkaaseen omaisuuteen (ei vain tiedostojärjestelmiin) ja on suunniteltu reagoimaan nopeammin kuin ihminen voi ".
Tämä on jännittävä alue, jossa on paljon lupauksia. ML: n ja edistyneiden tietoturvatyökalujen yhdistelmä ei vain anna IT-ammattilaisille uusia työkaluja käytettäväksi, ja mikä tärkeintä, se antaa heille työkaluja, jotka antavat heidän tehdä työnsä tarkemmin, mutta silti nopeammin kuin koskaan ennen. Vaikka se ei ole hopeamerkki, se on merkittävä askel eteenpäin skenaariossa, jossa pahoilla pojilla on ollut kaikki edut aivan liian kauan.
