Как предприятия применяют ай к кибербезопасности

В условиях цифровой угрозы, когда компании постоянно пытаются догнать новые векторы атак и уязвимости, лучшая защита, которую они имеют, - это то же самое, что делает их такой привлекательной целью для хакеров: гора данных. Конечно, у вас есть программное обеспечение для защиты конечных точек и шифрования. И у вас есть отделы ИТ и безопасности, которые контролируют инфраструктуру и платформы сетевого мониторинга, чтобы реагировать на инциденты в случае любых злонамеренных действий или вторжений. Но помимо этих мер реагирования, другие предприятия и поставщики систем безопасности используют искусственный интеллект (ИИ) для проактивного подхода.

Используя алгоритмы машинного обучения (ML) и другие методы ИИ для определения шаблонов данных, поведения уязвимых пользователей и прогнозных тенденций безопасности, компании анализируют и анализируют огромное количество данных, имеющихся в их распоряжении, чтобы, надеюсь, предотвратить следующее нарушение.

«У нас есть огромные коллекции файлов: петабайты файлов, которые мы знаем, не являются вредоносными, а петабайты, которые оказываются вредоносными», - сказал Рик Ховард, директор по безопасности компании по обеспечению безопасности предприятия Palo Alto Networks. «ML обучает программы поиску вредоносной части, и нам не нужно перечислять все факторы, которые они искали».

Говард участвовал в недавней дискуссии под названием «Обеспечение прорывных технологий - следующие пять лет», на которой участники дискуссии обсуждали возникающие проблемы, с которыми сталкивается среда безопасности, и то, как ML и автоматизация меняют наши методы выявления угроз и реагирования на них. Панель была частью недавнего саммита по кибербезопасности, проведенного на Nasdaq MarketSite на Таймс-сквер в Нью-Йорке в честь Национального месяца осведомленности о кибербезопасности (NCSAM). Он был организован Nasdaq и Национальным альянсом по кибербезопасности (NCSA). Спонсоры мероприятия Cisco, Dell, Palo Alto Networks и ServiceNow, компания по кибербезопасности Tenable и Wells Fargo, предоставили участников дискуссии на саммите.

Автоматизация вашей защиты

ИИ постоянно присутствует в современном программном обеспечении. Виртуальные помощники, чат-боты и рекомендации, основанные на алгоритмах, пронизывают потребительские приложения и онлайн-опыт. Между тем, компании применяют ML и другие методы искусственного интеллекта к каждому биту данных, которые они собирают - от управления взаимоотношениями с клиентами (CRM) и данными о продажах до каждого клика и предпочтения, которые включают поведение пользователя.

Данные о безопасности аналогичны любым другим наборам данных, которые вы вводите в модели ML. Чем больше данных вы предоставляете и чем лучше вы их тренируете, тем точнее ИИ будет не просто определять шаблоны, но и извлекать нужную информацию, чтобы дать вам преимущество в прогнозировании. Успешное внедрение методов ИИ требует четкого видения проблем, которые вы хотите решить. Когда дело доходит до реагирования на инциденты, важно знать, что такое ML, а что нет, по словам Рено Дрэйсона, соучредителя и технического директора Tenable.

«Машинное обучение означает обучение миллион раз с миллионами вариаций, поэтому в следующий раз, когда компьютер сталкивается с ситуацией, он знает, что делать», - сказал Дерайзон. «Это не дает возможности что-то изобрести. Мы не на той стадии, когда мы можем сказать« хорошо, компьютер, просто защити меня »».

Цель состоит в том, чтобы программное обеспечение для кибербезопасности с использованием искусственного интеллекта полностью автоматизировало прогнозирование, обнаружение и реагирование. Рон Залкинд (Ron Zalkind), технический директор Cisco Cloudlock, рассказал о том, как платформа облачной безопасности Cisco Umbrella решает проблемы DNS, применяя ML к своей обширной базе данных пользователей и предприятий, чтобы определить, когда злоумышленник пытается заполнить DNS распределенным отказом в обслуживании. (DDoS) атака. Используя пример, подобный историческому DDoS-ботнету Mirai, поразившему провайдера DNS Dyn в прошлом году, Залкинд сказал, что идея состоит в том, чтобы разрешить этот DNS-запрос как неправильное назначение и автоматизировать блокировку, чтобы отключить трафик от вредоносного домена.

Слева направо: исполнительный директор NCSA Майкл Кайзер, технический директор ServiceNow Security Брендан О'Коннор, главный исполнительный директор Palo Alto CSO Рик Ховард, Дэвид Конецки, технический директор Cisco Cloudlock Ron Zalkin и технический директор Tenable Renaud Deraison.

Печальная правда в том, что хакеры и противники побеждают. Брендан О'Коннор, технический директор по безопасности в ServiceNow, сказал, что мы увидели огромные инновации в области предотвращения и обнаружения, но индустрия безопасности отстала, когда дело дошло до автоматического реагирования. ИИ помогает поставщикам создать эту почву.

«Когда мы смотрим на то, как мы реагируем сегодня, это принципиально не изменилось за последние 10 лет», - сказал О'Коннор. «Самые вредные нарушения - это не ниндзя, падающие с потолка, как« Миссия невыполнима ». Мы не заставляем злоумышленников улучшаться или адаптироваться. Если продавец не смог патчить в течение 30, 60 или 90 дней, он не повернутые учетные данные и пароли. Злоумышленник может просто загрузить инструмент из Интернета и использовать старую уязвимость ».

О'Коннор и Говард сошлись во мнении, что часто злоумышленники просто используют более продвинутый класс технологий. Современные вредоносные ботнеты очень устойчивы, и их трудно вывести из строя по одному компьютеру или узлу за раз. Злоумышленники используют облако и используют его в качестве платформы для атак на предприятия. «Кибер-злоумышленники автоматизировали свои процессы, и мы все еще имеем дело с этим, как люди в задней комнате», - сказал Ховард.

ML борется с автоматизацией с помощью автоматизации. Алгоритмы анализируют обширные наборы данных, чтобы посмотреть на распространенность недостатка, его простоту реализации и множество других факторов. Этот анализ помогает предприятиям определить приоритеты, на которых в первую очередь должен быть ориентирован один из множества исправлений, которые им необходимо развернуть.

Будущее прогнозирующей безопасности

Автоматизация и прогнозный анализ в области кибербезопасности существуют уже давно. Но достижения в области искусственного интеллекта за последние несколько лет изменили то, как это работает во всем технологическом стеке компании. После панели PCMag догнал Дэвида Конецки из Dell. Он является членом и вице-президентом по клиентским решениям в офисе технического директора. Dell годами занималась исследованиями ИИ и ML в таких областях, как прогнозный анализ сбоев, оркестровка систем и управление устройствами. Конецки объяснил, как развивались усилия Dell в области искусственного интеллекта, а также рассказала о некоторых новаторских разработках компании в области прогнозной безопасности. Работа включает анализ вредоносных программ, анализ поведения пользователей и обнаружение аномалий.

«Мы были одними из первых, кто сделал прогнозный анализ отказов», - сказал Конецки. «Мы поняли, что в коробках много инструментов, и системы управления получают огромное количество данных о том, что происходит в сети. Разве вы не можете сказать, когда происходит сбой батареи или жесткого диска?»

Прогнозный анализ сбоев начался с корпоративных клиентов, а затем был включен в отдел обслуживания клиентов Dell, с дополнительной автоматизацией, такой как триггеры электронной почты, указывающие заказчику заказывать новую батарею, пока она еще покрывается гарантией. В мире безопасности этот прогнозный ML теперь применяется для расширенной защиты от угроз (ATP). В 2015 году Dell заключила партнерское соглашение с компанией Cylance по защите от угроз с использованием искусственного интеллекта, чтобы не просто пометить файл как вредоносный. Вместо этого они смотрят на ДНК файла, чтобы определить его намерение еще до того, как он запустится.

«Мы взяли на себя наши возможности по защите данных и усовершенствовали эту среду, чтобы теперь защищать данные в точке их происхождения по мере их перемещения, и установили некоторый контроль доступа к ним, чтобы вы теперь знали, как ИТ-специалист, где все ваши данные используется в мире, кем и как. Это никогда не было возможно раньше ", сказал Конецкий.

«Как вы это делаете? Вы смотрите на поведение программного обеспечения», - продолжил Конецки. «Программное обеспечение работает странным или злонамеренным образом? Это было первое поколение аналитики поведения. И теперь следующее поколение начинает смотреть не только на это, но и на ваше личное поведение или поведение машины, в зависимости от того, является ли это IoT или персональными компьютерами. ИИ ищет аномальное поведение, которое может быть нормальным, но в качестве технического директора, если я получаю доступ ко всем данным наших клиентов, я могу быть отмечен предупреждением типа «Понимаете ли вы, что делаете, да или нет?». ? И таким образом, пользователь обучается и знает, что система наблюдает ».

Этот следующий шаг включает использование ИИ с аналитикой поведения пользователей для более активного предотвращения рисков кибербезопасности внутри организации. Человеческая ошибка часто является источником нарушений и уязвимостей, будь то пароль по умолчанию, успешная попытка фишинг-атаки или, в случае недавнего сбоя Amazon S3, опечатка.

Для такой компании, как Dell, которой необходимо устранять уязвимости во всем аппаратном и программном стеке, сосредоточение внимания на пользователе и использование ИИ для предотвращения потенциальных угроз в их источнике - более эффективный способ заставить эти данные работать. Речь идет не только о том, что алгоритмы ML обнаруживают извне, и о возможностях интеллектуального снижения угроз, которые предоставляет AI. Другая сторона этого превращает эти данные в естественные, внутренние напоминания для сотрудников в вашей организации.

«Будь то потребитель или предприятие, если я могу дать вам небольшое предупреждение и сказать:« Вы уверены, что хотите сделать следующий клик? Мы обнаружили шаблон, который был идентифицирован как потенциально вредоносный ». Это аналитика поведения пользователя в сочетании со знанием моделей атак », - пояснил Конецки.

Dell также работает над тем, чтобы использовать контекст пользователя и машины для принятия разумных решений относительно того, к чему у вас есть доступ. Управляемое корпоративное решение, запущенное в этом году под названием Dell Data Guardian, имеет то, что Конецки назвал «ранними» возможностями контроля доступа, которые будут развиваться в более углубленном способе защиты сетевой инфраструктуры. Представьте, что ИИ знает, кто вы, на каком устройстве вы находитесь, где находитесь в мире, и классифицируйте эти данные с помощью ML для принятия решений по интеллектуальному управлению доступом.

«Поэтому сегодня, если вы находитесь в восточноевропейской стране, пытаясь получить доступ к данным в Остине, штат Техас, происходит нечто забавное. Такие простые вещи мы можем сделать сегодня», - сказал Конецки. «В дальнейшем, может быть, я хочу предоставить вам доступ только для чтения. Может быть, я хочу предоставить вам удаленный доступ, поэтому я размещаю приложение в своем центре обработки данных и просто собираюсь предоставить вам представление через браузер HTML5 Может быть, я вижу, что вы находитесь на вашем корпоративном устройстве за брандмауэром, и все исправлено, поэтому я даю вам ключ.

«Важная часть, и то, что AI и ML позволяют нам сделать, это сделать все это прозрачно для конечного пользователя. Поэтому, когда вы ищете доступ к этому файлу, вы не понимаете, что у нас есть все эти контролирует в фоновом режиме; все это выглядит незаметно для вас."