Video: CUM GANDESTE O PISICA (Parodie Animata) (Noiembrie 2024)
Securitatea IT este o gaură periculoasă și scumpă. Vaste sume de bani sunt cheltuite pentru protejarea datelor și rețelelor companiei. Hoardele de oameni răi sunt motivați să se despartă, iar consecințele pentru eșec sunt mai dureroase decât costul protecției.
Mai rău, modalitățile actuale cu care se ocupă ofițerii de securitate (CSO) de a face cu securitatea sunt intruzive. În timp ce instrumentele de securitate de bază, cum ar fi protecția punctelor de vedere gestionate vor fi întotdeauna necesare, fiecare dintre noi s-a confruntat cu dificultatea de a gestiona parolele, a discutat despre drepturile de acces la software-ul de care avem nevoie și s-a plâns de barierele dintre noi și munca pe care trebuie să o facem.. Dacă procedurile de securitate funcționau 100 la sută din timp, probabil că am fi în regulă - dar hei, ai observat câte încălcări sunt încă raportate? Și eu. Aruncați o privire la modul în care numărul de încălcări ale datelor pe an a explodat în acest grafic de mai jos (prin analiza datelor și blogul de vizualizare Date scânteiere). Graficul arată încălcările datelor din 2009, defalcate pe tipuri de industrie și câte milioane de înregistrări au fost compromise:
Sursa: 24 iulie 2016 ; Analiza datelor privind încălcarea HIPAA ; Date scânteietoare
Dar sunt și vești bune. Aceleași tehnologii de învățare automată (ML) și algoritmi de analiză predictivă care vă oferă recomandări utile pentru cărți și vă pot oferi cele mai avansate informații de business (BI) și vizualizarea datelor instrumentele sunt încorporate în instrumentele de securitate IT. Experții raportează că, probabil, nu veți cheltui mai puțini bani pentru securitatea informatică a companiei dvs., dar cel puțin personalul dvs. va lucra mai eficient și va avea șanse mai mari de a găsi hackeri și malware înainte de deteriorarea acestora.
Combinația dintre securitatea ML și IT poate fi cu siguranță etichetată drept „tehnologie emergentă”, dar ceea ce o face cool este că nu vorbim despre o singură tehnologie. ML este format din mai multe tipuri de tehnologie, fiecare aplicată în diferite moduri. Și, pentru că atât de mulți vânzători lucrează în acest domeniu, ajungem să urmărim o întreagă categorie de tehnologii noi care concurează, evoluează și sperăm să oferim beneficii tuturor.
Deci, ce este învățarea mașinii?
ML permite unui computer să se învețe singur, fără a fi necesar să fie programat explicit. Face acest lucru accesând seturi mari de date - de multe ori uriașe.
„Cu ajutorul învățării automate, putem oferi unui computer 10.000 de poze cu pisici și să-i spunem:„ Așa arată o pisică ”. Și atunci puteți da computerului 10.000 de imagini necredincioase și cereți-l să afle care sunt pisicile ", explică Adam Porter-Price, un asociat principal la Booz Allen. Modelul se îmbunătățește pe măsură ce oferiți feedback-ului sistemului, indiferent dacă presupunerea sa este corectă sau incorectă. În timp, sistemul devine mai precis când se stabilește dacă fotografia include o pisică (așa cum ar trebui, desigur, toate fotografiile).
Aceasta nu este o tehnologie complet nouă, deși progrese recente în computere mai rapide, algoritmi mai buni și instrumente Big Data au îmbunătățit cu siguranță lucrurile. „Învățarea mașinii (mai ales ca aplicată modelării comportamentelor umane) a existat de mult timp”, a spus Idan Tendler, CEO al Fortscale. „Este o componentă de bază a laturilor cantitative ale multor discipline, de la prețurile aeriene la sondajele politice până la comercializarea fast-food-ului încă din anii’60.
Cele mai evidente și recunoscătoare utilizări moderne sunt în eforturile de marketing. Atunci când cumpărați o carte de pe Amazon, de exemplu, motoarele de recomandare ale acesteia vin din vânzările anterioare și sugerează cărți suplimentare pe care le veți bucura (de exemplu, persoanele cărora le-a plăcut Yendi de la Steven Brust ar putea să le placă și romanele lui Jim Butcher), ceea ce se traduce prin mai multe vânzări de cărți. Este aplicat ML chiar acolo. Un alt exemplu ar putea fi o afacere care folosește datele sale de gestionare a relațiilor cu clienții (CRM) pentru a analiza puterea clientului sau o companie aeriană care folosește ML pentru a analiza câte puncte de recompensare stimulează flyerele frecvente să accepte o anumită ofertă.
Cu cât un sistem informatic adună și analizează mai multe date, cu atât sunt mai bune informațiile sale (și identificarea fotografiei sale de pisică). În plus, odată cu apariția Big Data, sistemele ML pot grupa informații din mai multe surse. Un retailer online poate privi dincolo de propriile seturi de date pentru a include analiza datelor și informațiilor browserului web ale clientului de pe site-urile partenere, de exemplu.
ML ia date care sunt prea multe pentru ca oamenii să înțeleagă (cum ar fi milioane de linii de fișiere de jurnal de rețea sau un număr foarte mare de tranzacții de comerț electronic) și îl transformă în ceva mai ușor de înțeles, a declarat Balázs Scheidler, vânzătorul de instrumente de securitate IT Balabit.
„Sistemele de învățare automată recunosc tiparele și evidențiază anomolele, care ajută oamenii să înțeleagă o situație și, atunci când este cazul, să ia măsuri asupra acesteia”, a spus Scheidler. „Și învățarea automată face această analiză într-un mod automat; nu puteți învăța aceleași lucruri doar uitându-vă doar la jurnalele de tranzacții."
În cazul în care ML corectează slăbiciunile de securitate
Din fericire, aceleași principii ML care vă pot ajuta să decideți asupra unei noi achiziții de cărți vă pot face rețeaua companiei mai sigură. De fapt, a spus ofertantul Fortscale, vânzătorii de IT au întârziat puțin la petrecerea ML. Departamentele de marketing ar putea vedea beneficii financiare în adoptarea timpurie a ML, în special deoarece costul de a fi greșit a fost minim. Recomandarea cărții greșite nu va elimina rețeaua nimănui. Specialiștii în securitate aveau nevoie de mai multă certitudine cu privire la tehnologie și se pare că o au în sfârșit.
Sincer, este timpul. Deoarece modalitățile actuale de a face față securității sunt intruzive și reactive. Mai rău: volumul scăzut de noi instrumente de securitate și instrumente diferite de colectare a datelor a dus la o introducere prea mare chiar și pentru observatori.
"Majoritatea companiilor sunt inundate cu mii de alerte pe zi, dominate în mare parte de falsuri pozitive", a declarat David Thompson, director principal al Product Management al companiei de securitate IT LightCyber. „Chiar dacă alerta este văzută, aceasta ar fi probabil privită ca un eveniment singular și nu se înțelege că face parte dintr-un atac mai mare, orchestrat.”
Thompson citează un raport al lui Gartner care spune că majoritatea atacatorilor sunt nedetectați în medie de cinci luni . Aceste false pozitive pot avea ca rezultat și utilizatori supărați, a subliniat Ting-Fang Yen, un om de știință de cercetare de la DataVisor, ori de câte ori angajații sunt blocați sau semnalizați din greșeală, ca să nu mai vorbim de timpul petrecut de echipa IT pentru a rezolva problemele.
Așadar, prima abordare în securitatea IT folosind ML este analiza activității rețelei. Algoritmii evaluează modelele de activitate, comparându-le cu comportamentul trecut și determină dacă activitatea curentă reprezintă o amenințare. Pentru a ajuta, furnizorii precum Core Security evaluează datele din rețea, cum ar fi comportamentul de căutare DNS și protocoalele de comunicare ale utilizatorilor în cadrul solicitărilor
Unele analize se petrec în timp real, iar alte soluții ML examinează înregistrările de tranzacții și alte fișiere jurnal. De exemplu, produsul Fortscale observă amenințări privilegiate, inclusiv amenințări care implică acreditări furate. „Ne concentrăm pe jurnalele de acces și autentificare, dar jurnalele pot veni de aproape oriunde: Active Directory, Salesforce, Kerberos, propriile„ aplicații de bijuterii pentru coroane ”, a declarat ofertantul Fortscale. „Cu cât mai multă varietate, cu atât mai bine”. În cazul în care ML face o diferență cheie aici este faptul că poate transforma jurnalele de menținere umile și ignorate de multe ori ale unei organizații în surse de informații de amenințare valoroase, extrem de eficiente și ieftine.
Iar aceste strategii fac diferența. O bancă italiană cu mai puțin de 100.000 de utilizatori a cunoscut o amenințare privilegiată care implică exfiltrarea pe scară largă a datelor sensibile către un grup de computere neidentificate. Mai exact, au fost utilizate credențiale legitime ale utilizatorilor pentru a trimite volume mari de date în afara organizației prin Facebook. Banca a implementat sistemul imunitar Enterprise Darktrace Enterprise, care a detectat un comportament anomal în trei minute când un server al companiei s-a conectat la Facebook - o activitate necaracteristică, a declarat Dave Palmer, directorul tehnologiei din Darktrace.
Sistemul a emis imediat o alertă de amenințare, ceea ce a permis echipei de securitate a băncii să răspundă. În cele din urmă, o anchetă a condus la un administrator de sisteme care a descărcat din greșeală malware-ul care a prins serverul băncii într-un botnet de extracție bitcoin - un grup de mașini controlate de hackeri. În mai puțin de trei minute, compania a triat, a investigat în timp real și și-a început răspunsul - fără pierderi de date corporative sau daune aduse serviciilor operaționale ale clienților, a spus Palmer.
Monitorizarea utilizatorilor, nu controlul accesului sau dispozitive
Dar sistemele informatice pot investiga orice tip de amprentă digitală. Și de aici se îndreaptă multă atenție a vânzătorilor în aceste zile: spre crearea unor linii de bază privind comportamentul „bine cunoscut” de către utilizatorii unei organizații numit User Behavior Analytics (UBA). Controlul accesului și monitorizarea dispozitivului merg doar până acum. Este mult mai bine, spun mai mulți experți și vânzători, pentru a face utilizatorii punctul central al securității, care este despre UBA.
„UBA este o modalitate de a urmări ce fac oamenii și de a observa dacă fac ceva ieșit din comun”, a spus Scheidler-ul lui Balabit. Produsul (în acest caz, Balabit's Blindspotter and Shell Control Box) construiește o bază de date digitală a comportamentului tipic al fiecărui utilizator, proces care durează aproximativ trei luni. După aceea, software-ul recunoaște anomaliile din acea linie de bază. Sistemul ML creează un scor de modul în care se comportă un cont de utilizator, alături de critica problemei. Alertele sunt generate ori de câte ori scorul depășește un prag.
„Analytics încearcă să decizi dacă ești tu însuți”, a spus Scheidler. De exemplu, un analist al bazei de date folosește în mod regulat anumite instrumente. Așadar, dacă se conectează dintr-o locație neobișnuită la un moment neobișnuit și accesează aplicații neobișnuite, atunci sistemul concluzionează că contul ei poate fi compromis.
Caracteristicile UBA urmărite de Balabit includ obiceiurile istorice ale utilizatorului (timpul de conectare, aplicațiile utilizate în mod obișnuit și comenzile), posesiunile (rezoluția ecranului, utilizarea trackpad-ului, versiunea sistemului de operare), contextul (ISP, date GPS, locație, contoare de trafic de rețea) și inerentă (ceva ce ești). În ultima categorie fac parte analiza mișcării mouse-ului și dinamica apăsării tastei, prin care sistemul mapează cât de greu și de rapid degetele unui utilizator se bat de la tastatură.
Deși este fascinant din punct de vedere geek, Scheidler atenționează că măsurările mouse-ului și tastaturii nu sunt încă ignorate. De exemplu, a spus el, identificarea apăsărilor de la cineva este de aproximativ 90 la sută fiabilă, astfel încât instrumentele companiei nu se bazează foarte mult pe o anomalie în acea zonă. În plus, comportamentul utilizatorului este ușor diferit tot timpul; dacă ai o zi stresantă sau o durere în mână, mișcările mouse-ului sunt diferite.
"Întrucât lucrăm cu multe aspecte ale comportamentului utilizatorilor, iar valoarea agregată este cea care trebuie comparată cu profilul de bază, în total are o fiabilitate foarte ridicată, care se încadrează la 100 la sută", a spus Scheidler.
Balabit cu siguranță nu este singurul furnizor ale cărui produse folosesc UBA pentru a identifica evenimente de securitate. Cibereasonul, de exemplu, folosește o metodologie similară pentru a identifica comportamentul care îi face pe oameni atenți să spună: „Hmm, asta este amuzant”.
Explică CYBereason CTO Yonatan Streim Amit: "Când platforma noastră vede o anomalie - James lucrează târziu - îl putem corela cu alte comportamente cunoscute și date relevante. Utilizează aceleași aplicații și modele de acces? El trimite date către cineva pe care nu îl comunică niciodată. cu sau sunt toate comunicările către managerul său, care răspunde înapoi? " Cibereasonul analizează anomalia lui James care funcționează anormal de târziu cu o listă lungă de alte date observate pentru a oferi un context pentru a determina dacă o alertă este o preocupare falsă sau pozitivă.
Este sarcina IT-ului să găsești răspunsuri, dar cu siguranță ajută să ai un software care să poată pune întrebări corecte. De exemplu, doi utilizatori dintr-o organizație medicală accesau înregistrări ale pacienților decedați. "De ce s-ar uita cineva la pacienții care au murit acum doi sau trei ani, dacă nu doriți să faceți un fel de identitate sau fraudă medicală?" întreabă Amit Kulkarni, CEO-ul Cognetyx. În identificarea acestui risc de securitate, sistemul Cognetyx a identificat accesul necorespunzător pe baza activităților normale pentru departamentul respectiv și a comparat comportamentul celor doi utilizatori cu cel al modelelor de acces ale colegilor lor și cu propriul comportament normal.
„Prin definiție, sistemele de învățare a mașinilor sunt iterative și automatizate”, a declarat ofertantul Fortscale. „Se uită să„ potrivească ”date noi cu cele văzute înainte, dar nu vor„ descalifica ”nimic din mână sau„ aruncă automat ”rezultate neașteptate sau în afara limitelor."
Așadar, algoritmii lui Fortscale caută structuri ascunse într-un set de date, chiar și atunci când nu știu cum arată structura. "Chiar dacă găsim neașteptatul, acesta furnizează nutrețuri pe care să construim potențial o nouă hartă a modelului. Aceasta este ceea ce face ca învățarea automată să fie mult mai puternică decât seturile de reguli deterministe: sistemele de învățare automată pot găsi probleme de securitate care nu au mai fost văzute până acum."
Ce se întâmplă când sistemul ML găsește o anomalie? În general, aceste instrumente transmit alerte către un om pentru a apela într-un fel un apel final, deoarece efectele secundare ale unui fals pozitiv sunt dăunătoare pentru companie și clienții săi. „Depanarea și criminalistica are nevoie de expertiză umană”, afirmă Scheidler, Balabit. Ideal este ca alertele generate să fie corecte și automatizate, iar tablourile de bord să ofere o imagine de ansamblu utilă asupra stării sistemului cu capacitatea de a experimenta un comportament „hei, asta este ciudat”.
Sursa: Balabit.com (Faceți clic pe graficul de mai sus pentru a vedea imaginea completă.)
E doar inceputul
Nu presupuneți că securitatea ML și IT este o potrivire perfectă precum ciocolata și untul de arahide sau pisicile și internetul. Aceasta este o lucrare în derulare, deși va câștiga mai multă putere și utilitate pe măsură ce produsele obțin mai multe caracteristici, integrarea aplicațiilor și îmbunătățiri tehnologice.
Pe termen scurt, căutați avansuri de automatizare, astfel încât echipele de securitate și operații să poată obține noi informații despre date mai rapid și cu o intervenție umană mai mică. În următorii doi sau trei ani, a declarat Mike Paquette, VP de produse la Prelert, „ne așteptăm ca avansurile să vină sub două forme: o bibliotecă extinsă de cazuri de utilizare preconfigurate care identifică comportamente de atac și avansuri în selectarea și configurarea automată a funcțiilor, reducând necesitatea consultării angajamentelor."
Următorii pași sunt sistemele de auto-învățare care pot lupta împotriva atacurilor pe cont propriu, a spus Palmerul lui Darktrace. "Ei vor răspunde riscurilor emergente din partea programelor malware, hackerilor sau angajaților neafectați într-un mod care să înțeleagă contextul complet al comportamentului normal al dispozitivelor individuale și al proceselor generale de afaceri, în loc să ia decizii binare individuale precum apărările tradiționale. Acest lucru va fi crucial să răspundă la atacuri cu mișcare mai rapidă, cum ar fi atacurile bazate pe extorcare, care vor transforma în atacul oricărui activ valoros (nu doar sisteme de fișiere) și vor fi proiectate pentru a reacționa mai repede decât este posibil de ființele umane."
Aceasta este o zonă interesantă, cu multe promisiuni. Combinația de instrumente de securitate ML și avansate nu numai că le oferă profesioniștilor IT instrumente noi de utilizat, dar, mai important, le oferă instrumente care îi permit să își facă treaba mai precis, dar totuși mai repede ca niciodată. Deși nu este un glonț de argint, este un pas important înainte într-un scenariu în care cei răi au avut toate avantajele de prea mult timp.
