Видео: 5 НОВЫХ ЛАЙФХАКОВ С КОНСТРУКТОРОМ LEGO 4K (Ноябрь 2024)
ИТ-безопасность - опасная и дорогая адская дыра. Огромные суммы денег тратятся на защиту данных и сетей компании. Орды плохих парней мотивированы, чтобы взломать, и последствия для отказа являются более болезненными, чем стоимость защиты.
Хуже того, нынешние способы, которыми руководители службы безопасности (ОГО) занимаются вопросами безопасности, являются навязчивыми. В то время как основные средства безопасности, такие как защита управляемых конечных точек, всегда будут необходимы, каждый из нас жаловался на сложность управления паролями, обзывал права доступа к нужному нам программному обеспечению и жаловался на барьеры между нами и работой, которую мы должны выполнить., Если бы процедуры безопасности работали 100% времени, возможно, мы были бы в порядке с этим, но, эй, вы заметили, сколько нарушений все еще регистрируется? Я тоже. Просто взгляните на то, как количество взломов данных за год выросло на этом графике ниже (в блоге аналитики и визуализации данных Sparkling Data). На графике показаны утечки данных с 2009 года с разбивкой по типам отраслей и количеству скомпрометированных миллионов записей:
Источник: 24 июля 2016 г. ; Анализ данных по нарушениям HIPAA ; Сверкающие данные
Но есть и хорошие новости. Те же технологии машинного обучения (ML) и прогностические аналитические алгоритмы, которые дают вам полезные рекомендации по работе с книгами и обеспечивают ваши самые передовые бизнес-аналитики с самообслуживанием (BI) и визуализацию данных. инструменты включаются в инструменты безопасности ИТ. Эксперты сообщают, что из-за этого вы, вероятно, не будете тратить меньше денег на ИТ-безопасность своей компании, но, по крайней мере, ваши сотрудники будут работать более эффективно и у них будет больше шансов найти хакеров и вредоносные программы до того, как будет нанесен ущерб.
Комбинация ML и ИТ-безопасности, безусловно, может быть помечена как «появляющаяся технология», но что делает ее крутой, так это то, что мы говорим не только об одной технологии. ML состоит из нескольких видов технологий, каждый из которых применяется по-разному. И поскольку в этой области работает так много поставщиков, мы наблюдаем за тем, как целая новая категория технологий конкурирует, развивается и, надеюсь, принесет пользу всем нам.
Итак, что такое машинное обучение?
ML позволяет компьютеру обучать себя чему-либо без необходимости явного программирования. Это достигается путем доступа к большим наборам данных, часто огромным.
«Благодаря машинному обучению мы можем дать компьютеру 10000 изображений кошек и сказать ему:« Вот как выглядит кошка ». А затем вы можете дать компьютеру 10000 фотографий без маркировки и попросить выяснить, какие из них являются кошками », - объясняет Адам Портер-Прайс, старший юрист Booz Allen. Модель улучшается по мере того, как вы даете системную обратную связь, независимо от того, верна она или нет. Со временем система становится более точной при определении, содержит ли фотография кошку (как, конечно, все фотографии должны).
Это не новая технология, хотя последние достижения в области более быстрых компьютеров, лучших алгоритмов и инструментов для работы с большими данными, безусловно, улучшили ситуацию. «Машинное обучение (особенно применительно к моделированию поведения человека) существует уже давно», - сказал Идан Тендлер, генеральный директор Fortscale. «Это ключевой компонент количественных аспектов многих дисциплин, начиная от цен на авиабилеты до политического опроса и маркетинга быстрого питания еще в 1960-х годах».
Наиболее очевидное и узнаваемое современное использование в маркетинговых усилиях. Например, когда вы покупаете книгу на Amazon, ее рекомендации стимулируют предыдущие продажи и предлагают дополнительные книги, которые вам, скорее всего, понравятся (например, людям, которым понравилась книга Yendi Стивена Бруста, также могут понравиться романы Джима Батчера), что означает увеличение продаж книг. Это применимо ML прямо там. Другим примером может быть бизнес, который использует свои данные управления взаимоотношениями с клиентами (CRM) для анализа оттока клиентов, или авиакомпания, которая использует ML для анализа того, сколько бонусных баллов стимулирует часто летающих пассажиров принимать определенное предложение.
Чем больше данных собирает и анализирует компьютерная система, тем лучше ее понимание (и ее идентификация по фотографии кошки). Кроме того, с появлением больших данных системы ML могут объединять информацию из нескольких источников. Интернет-магазин может выходить за рамки своих собственных наборов данных, например, для анализа данных веб-браузера клиента и информации с сайтов-партнеров.
ML извлекает данные, которые слишком сложны для понимания людьми (например, миллионы строк файлов журналов сети или огромное количество транзакций электронной коммерции), и превращает их в нечто более простое для понимания, говорит Балаш Шайдлер, технический директор поставщика средств информационной безопасности Balabit, «Системы машинного обучения распознают закономерности и выделяют аномалии, которые помогают людям понять ситуацию и, при необходимости, принять меры по ней», - сказал Шейдлер. «А машинное обучение выполняет этот анализ в автоматическом режиме; вы не могли бы узнать то же самое, просто взглянув только на журналы транзакций».
Где ML исправляет недостатки безопасности
К счастью, те же принципы ML, которые могут помочь вам принять решение о покупке новой книги, могут сделать вашу компанию более безопасной. На самом деле, сказал Tendler из Fortscale, поставщики IT немного опоздали на вечеринку ML. Маркетинговые отделы могли видеть финансовые выгоды в начале принятия ОД, особенно потому, что цена ошибки была минимальной. Если вы порекомендуете не ту книгу, это никого не разрушит. Специалистам по безопасности требовалось больше уверенности в технологиях, и, похоже, они наконец-то появились
Честно говоря, пора. Потому что современные способы борьбы с безопасностью навязчивы и реагируют. Хуже того: огромное количество новых инструментов безопасности и разрозненных инструментов сбора данных привело к слишком большому вкладу даже для наблюдателей.
«Большинство компаний наводнены тысячами предупреждений в день, в основном из-за ложных срабатываний», - говорит Дэвид Томпсон, старший директор по управлению продуктами компании ITC LightCyber. «Даже если предупреждение замечено, оно, скорее всего, будет рассматриваться как единичное событие и не воспринимается как часть более крупной, организованной атаки».
Томпсон цитирует отчет Gartner, в котором говорится, что большинство злоумышленников остаются незамеченными в среднем в течение пяти месяцев . Эти ложные срабатывания могут также привести к недовольству пользователей, отмечает Тинг-Фанг Йен, исследователь из DataVisor, всякий раз, когда сотрудники блокируются или помечаются по ошибке, не говоря уже о времени, потраченном ИТ-командой на решение проблем.
Таким образом, первым шагом в области информационной безопасности с использованием ML является анализ сетевой активности. Алгоритмы оценивают модели активности, сравнивая их с прошлым поведением, и определяют, представляет ли текущая деятельность угрозу. Чтобы помочь, поставщики, такие как Core Security, оценивают сетевые данные, такие как поведение поиска DNS пользователей и протоколы связи в
Некоторый анализ происходит в реальном времени, а другие решения ML исследуют записи транзакций и другие файлы журналов. Например, продукт Fortscale обнаруживает внутренние угрозы, включая угрозы, связанные с похищенными учетными данными. «Мы ориентируемся на журналы доступа и аутентификации, но журналы могут поступать практически из любого места: Active Directory, Salesforce, Kerberos, ваших собственных« приложений для корона », - сказал Tendler из Fortscale. «Чем больше разнообразия, тем лучше». Основное отличие ML здесь заключается в том, что он может превратить скромные и часто игнорируемые служебные журналы организации в ценные, высокоэффективные и дешевые источники информации об угрозах.
И эти стратегии имеют значение. Итальянский банк с менее чем 100 000 пользователей столкнулся с внутренней угрозой, связанной с крупномасштабной фильтрацией конфиденциальных данных в группу неопознанных компьютеров. В частности, действительные учетные данные пользователя использовались для отправки больших объемов данных за пределы организации через Facebook. По словам Дейва Палмера, директора по технологиям в Darktrace, банк развернул корпоративную иммунную систему Darktrace Enterprise на базе ML, которая обнаружила аномальное поведение в течение трех минут, когда сервер компании подключился к Facebook - нехарактерная деятельность.
Система сразу же выпустила предупреждение об угрозе, что позволило службе безопасности банка ответить. В конце концов, запрос привел к тому, что системный администратор случайно загрузил вредоносное ПО, которое захватило сервер банка в ботнет-майнинг биткойнов - группу компьютеров, управляемых хакерами. По словам Палмера, менее чем за три минуты компания осуществила поиск, провела расследование в режиме реального времени и начала реагировать - без потери корпоративных данных или ущерба для оперативных служб заказчика.
Мониторинг пользователей, не контроля доступа или устройств
Но компьютерные системы могут исследовать любой вид цифрового следа. И именно в эти дни большое внимание поставщиков уделяется созданию базовых показателей «заведомо хорошего» поведения пользователей организации под названием User Behavior Analytics (UBA). Контроль доступа и мониторинг устройства идут только до сих пор. По словам нескольких экспертов и поставщиков, гораздо лучше сделать пользователей центральным направлением безопасности, чем и является UBA.
«UBA - это способ наблюдать за тем, что делают люди, и замечать, делают ли они что-то необычное», - сказал Шейдлер из Balabit. Продукт (в данном случае Blindspotter и Shell Control Box от Balabit) создает цифровую базу данных о типичном поведении каждого пользователя, и этот процесс занимает около трех месяцев. После этого программное обеспечение распознает аномалии по этой базовой линии. Система ML создает оценку того, как «отключен» учетная запись пользователя, наряду с критичностью проблемы. Оповещения генерируются всякий раз, когда оценка превышает пороговое значение.
«Аналитики пытаются решить, если вы сами, » сказал Шейдлер. Например, аналитик базы данных регулярно использует определенные инструменты. Таким образом, если она входит в необычное место в необычное время и получает доступ к необычным для нее приложениям, система приходит к выводу, что ее учетная запись может быть взломана.
Характеристики UBA, отслеживаемые Balabit, включают исторические привычки пользователя (время входа в систему, часто используемые приложения и команды), владения (разрешение экрана, использование трекпада, версия операционной системы), контекст (ISP, данные GPS, местоположение, счетчики сетевого трафика) и неотъемлемость (то, что вы есть). К последней категории относятся анализ движений мыши и динамика нажатия клавиш, в результате чего система отображает, насколько сильно и быстро пользователь нажимает на клавиатуру.
Шейдлер, будучи увлекательным с точки зрения гиков, предупреждает, что измерения для мыши и клавиатуры еще не являются надежными. Например, по его словам, определение чьих-либо нажатий клавиш надежно примерно на 90%, поэтому инструменты компании не сильно зависят от аномалии в этой области. Кроме того, поведение пользователя все время немного отличается; если у вас напряженный день или боль в руке, движения мыши разные.
«Поскольку мы работаем со многими аспектами поведения пользователей, и агрегированное значение - это то, что нужно сравнивать с базовым профилем, в целом он имеет очень высокую надежность, которая приближается к 100%», - сказал Шейдлер.
Balabit, конечно, не единственный поставщик, чьи продукты используют UBA для идентификации событий безопасности. Например, Cybereason использует аналогичную методологию для определения поведения, которое заставляет внимательных людей говорить: «Хм, это смешно».
Объясняет технический директор Cybereason Йонатан Стрейм Амит: «Когда наша платформа видит аномалию - Джеймс работает поздно - мы можем сопоставить ее с другими известными поведениями и соответствующими данными. Использует ли он те же приложения и шаблоны доступа? Он посылает данные кому-то, с кем он никогда не общается с или все коммуникации идут к его менеджеру, который отвечает? " Cybereason анализирует аномалию Джеймса, работающего ненормально поздно, с длинным списком других наблюдаемых данных, чтобы предоставить контекст для определения, является ли предупреждение ложным срабатыванием или законной проблемой.
Задача ИТ - найти ответы, но это, безусловно, помогает иметь программное обеспечение, способное поставить правильные вопросы. Например, два пользователя в организации здравоохранения обращались к записям умерших пациентов. «Зачем кому-то смотреть на пациентов, которые скончались два или три года назад, если вы не хотите заниматься какой-либо личностью или медицинским мошенничеством?» спрашивает Амит Кулкарни, генеральный директор Cognetyx. При выявлении этой угрозы безопасности система Cognetyx выявила несоответствующий доступ на основе обычных действий для этого отдела и сравнила поведение двух пользователей с поведением шаблонов доступа своих коллег и с их собственным нормальным поведением.
«По определению, системы машинного обучения являются итеративными и автоматизированными», - сказал Тендлер из Fortscale. «Они надеются« сопоставить »новые данные с тем, что видели ранее, но не« дисквалифицируют »что-либо из-под контроля или автоматически« выбрасывают »неожиданные или за пределами результатов».
Таким образом, алгоритмы Fortscale ищут скрытые структуры в наборе данных, даже если они не знают, как выглядит структура. «Даже если мы обнаружим неожиданное, оно предоставляет корм, на котором потенциально можно построить новую карту паттернов. Именно это делает машинное обучение намного более мощным, чем детерминированные наборы правил: системы машинного обучения могут обнаруживать проблемы безопасности, которые никогда раньше не возникали».
Что происходит, когда система ML обнаруживает аномалию? Как правило, эти инструменты передают оповещения человеку, чтобы он каким-то образом сделал последний звонок, поскольку побочные эффекты ложного срабатывания наносят ущерб компании и ее клиентам. «Поиск и устранение неисправностей и экспертиза требуют человеческих знаний», - утверждает Шейдлер из Балабита. В идеале сгенерированные оповещения являются точными и автоматизированными, а информационные панели дают полезный обзор состояния системы с возможностью изучить поведение «эй, это странно».
Источник: Balabit.com (Нажмите на рисунок выше, чтобы увидеть полный вид.)
Это только начало
Не думайте, что ML и IT-безопасность идеально подходят как шоколад, арахисовое масло, кошки и интернет. Эта работа еще не завершена, хотя она приобретет больше мощности и полезности, поскольку продукты получат больше функций, интеграцию приложений и технические усовершенствования.
В краткосрочной перспективе обратите внимание на достижения в области автоматизации, чтобы группы обеспечения безопасности и эксплуатации могли быстрее получать новые данные и с меньшим вмешательством человека. В течение следующих двух или трех лет, сказал Майк Пакетт, вице-президент по продуктам в Prelert, «мы ожидаем, что улучшения будут представлены в двух формах: расширенная библиотека предварительно сконфигурированных вариантов использования, которые идентифицируют поведение атаки, и достижения в области автоматического выбора и настройки функций, что сокращает необходимость консультационных обязательств ".
Следующие шаги - это самообучающиеся системы, которые могут самостоятельно противостоять атакам, сказал Палмер из Darktrace. «Они будут реагировать на возникающие риски от вредоносных программ, хакеров или недовольных сотрудников таким образом, чтобы понимать весь контекст нормального поведения отдельных устройств и общих бизнес-процессов, а не принимать отдельные бинарные решения, такие как традиционная защита. Это будет иметь решающее значение чтобы реагировать на более быстрые атаки, такие как атаки, основанные на вымогательстве, которые превратятся в нападение на любой ценный актив (не только файловые системы) и будут разработаны так, чтобы реагировать быстрее, чем это возможно для людей ".
Это захватывающая область с большим количеством обещаний. Сочетание ML и передовых инструментов безопасности не только дает ИТ-специалистам новые инструменты для использования, но, что более важно, дает им инструменты, которые позволяют им выполнять свою работу более точно, но при этом еще быстрее, чем когда-либо прежде. Хотя это и не серебряная пуля, но это важный шаг вперед в сценарии, в котором плохие парни слишком долго имели все преимущества.
