Video: Hjernetrim for katten (Oktober 2024)
IT-sikkerhet er et farlig og dyrt helvete. Det brukes store mengder penger på å beskytte bedriftsdata og nettverk. Horder av skurkene er motivert for å bryte seg inn, og konsekvensene for fiasko er mer smertefulle enn kostnadene for beskyttelse.
Verre er de nåværende måtene som Chief Security Officers (CSOs) håndterer sikkerhet er påtrengende. Mens kjernesikkerhetsverktøy som administrert endepunktbeskyttelse alltid vil være nødvendige, har hver og en av oss beklaget vanskeligheten med å administrere passord, snakket om tilgangsrettigheter til programvaren vi trenger og klaget på hindringene mellom oss og arbeidet vi trenger å gjøre.. Hvis sikkerhetsprosedyrer fungerte 100 prosent av tiden, ville vi kanskje ha det bra - men hei, har du lagt merke til hvor mange brudd som fremdeles er rapportert? Jeg også. Bare se på hvordan antall datainnbrudd per år har eksplodert i denne grafikken nedenfor (av dataanalyse og visualiseringsblogg Sparkling Data). Grafikken viser brudd på data siden 2009, fordelt på bransjetype og hvor mange millioner poster som ble kompromittert:
Kilde: 24. juli 2016 ; Analyse av HIPAA brudddata ; Glitrende data
Men det er gode nyheter også. De samme maskinlærings-teknologiene (ML) -teknologiene og prediktive analytiske algoritmer som gir deg nyttige bokanbefalinger og styrker din mest avanserte selvbetjenende forretningsintelligens (BI) og datavisualisering. verktøy blir integrert i IT-sikkerhetsverktøy. Eksperter rapporterer at du sannsynligvis ikke vil bruke mindre penger på selskapets IT-sikkerhet på grunn av dette, men i det minste at de ansatte vil jobbe mer effektivt og ha en bedre sjanse for å finne hackere og skadelig programvare før skade er gjort.
Kombinasjonen av ML og IT-sikkerhet kan sikkert betegnes som "emerging tech", men det som gjør det kult er at vi ikke snakker om bare en teknologi. ML består av flere typer teknologi, hver brukt på forskjellige måter. Og fordi så mange leverandører jobber på dette området, får vi se en helt ny teknologikategori konkurrere, utvikle seg og forhåpentligvis gi fordeler for oss alle.
Så, hva er maskinlæring?
ML lar en datamaskin lære seg noe uten å måtte være eksplisitt programmert. Det gjør det ved å få tilgang til store datasett - ofte store.
"Med maskinlæring kan vi gi en datamaskin 10.000 bilder av katter og fortelle den: 'Slik ser en katt ut.' Og så kan du gi datamaskinen 10.000 umerkede bilder og be den finne ut hvilke som er katter, forklarer Adam Porter-Price, seniormedarbeider ved Booz Allen. Modellen forbedres når du gir systemet tilbakemelding, enten gjetningen er riktig eller feil. Over tid blir systemet mer nøyaktig når det gjelder å bestemme om bildet inkluderer en katt (som, selvfølgelig, alle bilder skal).
Dette er ikke en helt ny teknologi, selv om nyere fremskritt innen raskere datamaskiner, bedre algoritmer og Big Data-verktøy absolutt har forbedret ting. "Maskinlæring (spesielt brukt til modellering av menneskelig atferd) har eksistert i lang tid, " sier Idan Tendler, administrerende direktør i Fortscale. "Det er en kjernekomponent i de kvantitative sidene ved mange fagområder, alt fra prisfastsettelse av flybillett til politisk valglokale til fastfoodmarkedsføring så langt tilbake som på 1960-tallet."
Den mest tydelige og gjenkjennelige moderne bruken er i markedsføringstiltak. Når du kjøper en bok på Amazon, for eksempel, har anbefalingsmotorene tidligere salg og foreslår flere bøker du sannsynligvis vil glede deg over (f.eks. Folk som likte Steven Brust's Yendi kan også like Jim Butchers romaner), noe som betyr mer boksalg. Det er brukt ML akkurat der. Et annet eksempel kan være en virksomhet som bruker sine kundeforholdsdata (CRM) -data for å analysere kundesvik, eller et flyselskap som bruker ML for å analysere hvor mange belønningspoints som stimulerer hyppige flygeblad for å akseptere et bestemt tilbud.
Jo mer data et datasystem samler og analyserer, jo bedre er det innsikt (og kattefotoidentifikasjon). I tillegg med bruk av Big Data, kan ML-systemer samle informasjon fra flere kilder. En online forhandler kan se utover sine egne datasett for å inkludere analyse av kundens nettleserdata og informasjon fra sine partnersider.
ML tar data som er for mye for mennesker å forstå (for eksempel millioner av linjer med nettverksloggfiler eller et stort antall e-handelstransaksjoner) og gjør det til noe enklere å forstå, sa Balázs Scheidler, administrerende direktør for leverandør av IT-sikkerhetsverktøy Balabit.
"Maskinlæringssystemer gjenkjenner mønstre og fremhever anomolier, som hjelper mennesker til å forstå en situasjon og, når det er aktuelt, ta grep på den, " sa Scheidler. "Og maskinlæring gjør denne analysen på en automatisert måte. Du kunne ikke lære de samme tingene bare fra å se på transaksjonslogger."
Hvor ML lapper sikkerhetssvakheter
Heldigvis kan de samme ML-prinsippene som kan hjelpe deg med å bestemme deg for nye bokkjøp gjøre firmaets nettverk sikrere. Faktisk, sa Fortscales Tendler, er IT-leverandørene litt for sent til ML-festen. Markedsavdelingene kunne se økonomiske fordeler ved tidlig adopsjon av ML, spesielt fordi kostnadene ved å være gale var minimale. Å anbefale feil bok vil ikke fjerne noens nettverk. Sikkerhetsspesialister trengte mer sikkerhet om teknologien, og det ser ut til at de endelig har den.
Helt ærlig så er det på tide. Fordi de nåværende måtene å håndtere sikkerhet er påtrengende og reaktive. Verre: Det store volumet av nye sikkerhetsverktøy og forskjellige datainnsamlingsverktøy har resultert i for mye innspill, selv for seerne.
"De fleste selskaper er oversvømmet med tusenvis av varsler per dag, i stor grad dominert av falske positiver, " sier David Thompson, seniordirektør for produktstyring i IT-sikkerhetsselskapet LightCyber. "Selv om varselet blir sett, vil det sannsynligvis bli sett på som en enestående hendelse og ikke forstått å være en del av et større, orkestrert angrep."
Thompson siterer en Gartner-rapport som sa at de fleste angripere går uoppdaget i gjennomsnitt på fem måneder . Disse falske positive tingene kan også resultere i sinte brukere, påpekte Ting-Fang Yen, forsker ved DataVisor, hver gang ansatte blir blokkert eller flagget feil, for ikke å snakke om IT-teamets tid på å løse problemene.
Så den første løsningen innen IT-sikkerhet ved bruk av ML er å analysere nettverksaktivitet. Algoritmer vurderer aktivitetsmønstre, sammenligner dem med tidligere atferd, og de avgjør om den nåværende aktiviteten utgjør en trussel. For å hjelpe vurderer leverandører som Core Security nettverksdata som brukernes DNS-oppføringsatferd og kommunikasjonsprotokoller innen
Noen analyser skjer i sanntid, og andre ML-løsninger undersøker transaksjonsposter og andre loggfiler. Forts viser Fortscales produkt innsidetrusler, inkludert trusler som involverer stjålet legitimasjon. "Vi fokuserer på tilgangs- og autentiseringslogger, men loggene kan komme fra nesten hvor som helst: Active Directory, Salesforce, Kerberos, dine egne 'kronjuvel-applikasjoner', " sa Fortscales Tendler. "Jo mer variasjon, jo bedre." Hvor ML utgjør en viktig forskjell her, er at den kan gjøre en organisasjons ydmyke og ofte ignorerte husholdningslogger om til verdifulle, svært effektive og billige trusselinformasjonskilder.
Og disse strategiene gjør en forskjell. En italiensk bank med under 100 000 brukere opplevde en insidertrussel som involverte storskala utfiltrering av sensitive data til en gruppe uidentifiserte datamaskiner. Spesielt ble legitime brukeropplysninger brukt til å sende store datamengder utenfor organisasjonen via Facebook. Banken distribuerte det ML-drevne Darktrace Enterprise Immune System, som oppdaget anomal oppførsel i løpet av tre minutter da en firmaserver koblet til Facebook - en uskarakteristisk aktivitet, sier Dave Palmer, teknologidirektør i Darktrace.
Systemet ga umiddelbart en trusselvarsel, noe som gjorde at bankens sikkerhetsteam kunne svare. Etter hvert førte en henvendelse til en systemadministrator som utilsiktet hadde lastet ned skadelig programvare som fanget bankens server i et bitcoin mining botnet - en gruppe maskiner kontrollert av hackere. På under tre minutter trippet selskapet, undersøkte i sanntid og begynte sitt svar - uten tap av bedriftens data eller skade på kundens operasjonelle tjenester, sa Palmer.
Overvåking av brukere, ikke tilgangskontroll eller enheter
Men datasystemer kan undersøke alle slags digitale fotavtrykk. Og det er der mye oppmerksomhet fra leverandørene går i disse dager: mot å lage grunnleggende linjer for "kjent god" oppførsel av en organisasjons brukere som kalles User Behavior Analytics (UBA). Tilgangskontroll og overvåkning av enheter går bare så langt. Det er langt bedre, sier flere eksperter og leverandører, å gjøre brukere til det sentrale fokuset for sikkerhet, og det er det UBA handler om.
"UBA er en måte å se hva folk gjør og legge merke til om de gjør noe utenom det vanlige, " sa Balabits Scheidler. Produktet (i dette tilfellet Balabits Blindspotter og Shell Control Box) bygger en digital database over hver brukers typiske oppførsel, en prosess som tar omtrent tre måneder. Deretter gjenkjenner programvaren avvik fra den grunnlinjen. ML-systemet skaper en poengsum for hvor "off" en brukerkonto oppfører seg, sammen med kritikken til problemet. Varsler genereres når poengsummen overstiger en terskel.
"Analytics prøver å bestemme om du er deg selv, " sa Scheidler. For eksempel bruker en databaseanalytiker regelmessig visse verktøy. Så hvis hun logger inn fra et uvanlig sted på et uvanlig tidspunkt og får tilgang til uvanlige applikasjoner, konkluderer systemet med at kontoen hennes kan bli kompromittert.
UBA-egenskapene sporet av Balabit inkluderer brukerens historiske vaner (påloggingstid, ofte brukte applikasjoner og kommandoer), eiendeler (skjermoppløsning, styreflatebruk, operativsystemversjon), kontekst (ISP, GPS-data, plassering, nettverkstrafttellere), og arv (noe du er). I den sistnevnte kategorien er musebevegelsesanalyse og tastetrykkdynamikk, der systemet kartlegger hvor hardt og raskt en brukers fingre banker tastaturet.
Mens den er fascinerende i geekiske termer, advarer Scheidler at musen og tastaturmålingene ikke er idiotsikre ennå. For eksempel, sa han, det å identifisere noens tastetrykk er omtrent 90 prosent pålitelig, så selskapets verktøy stoler ikke sterkt på en anomali i det området. Dessuten er brukeratferd litt forskjellig hele tiden; Hvis du har en stressende dag eller vondt i hånden, er musebevegelsene forskjellige.
"Siden vi jobber med mange aspekter av brukernes atferd, og den samlede verdien er den som skal sammenlignes med grunnlagsprofilen, har den til sammen en veldig høy pålitelighet som konvergerer til 100 prosent, " sa Scheidler.
Balabit er absolutt ikke den eneste leverandøren hvis produkter bruker UBA for å identifisere sikkerhetshendelser. Cybereason bruker for eksempel en lignende metodikk for å identifisere atferd som får oppmerksomt mennesker til å si: "Hmm, det er morsomt."
Forklarer Cybereasons CTO Yonatan Streim Amit: "Når plattformen vår ser en anomali - James jobber sent - kan vi korrelere den med annen kjent oppførsel og relevante data. Bruker han de samme applikasjonene og tilgangsmønstrene? Sender han data til noen han aldri kommuniserer med eller går all kommunikasjon til manageren hans, som svarer tilbake? " Cybereason analyserer avviket fra James som arbeider unormalt sent med en lang liste med andre observerte data for å gi en kontekst for å avgjøre om et varsel er en falsk positiv eller en legitim bekymring.
Det er ITs jobb å finne svar, men det hjelper sikkert å ha programvare som kan reise de riktige spørsmålene. For eksempel fikk to brukere i en helseorganisasjon tilgang til journalister om avdøde pasienter. "Hvorfor skulle noen se på pasienter som gikk bort for to-tre år siden, med mindre du vil gjøre en slags identitet eller medisinsk svindel?" spør Amit Kulkarni, administrerende direktør i Cognetyx. Når Cognetyx-systemet identifiserte denne sikkerhetsrisikoen, identifiserte den upassende tilgangen basert på de normale aktivitetene for den avdelingen, og sammenlignet de to brukernes oppførsel med den fra deres jevnaldrende tilgangsmønstre og mot deres egen normale oppførsel.
"Definisjon er maskinlæringssystemer iterative og automatiserte, " sa Fortscales Tendler. "De ser ut til å" matche "nye data mot det de har sett før, men vil ikke" diskvalifisere "noe ut av hånden eller automatisk" kaste bort "uventede eller utenfor grensene."
Så Fortscales algoritmer ser etter skjulte strukturer i et datasett, selv når de ikke vet hvordan strukturen ser ut. "Selv om vi finner det uventede, gir det fôr som potensielt kan bygge et nytt mønsterkart. Det er det som gjør maskinlæring så mye kraftigere enn deterministiske regelsett: Maskinlæringssystemer kan finne sikkerhetsproblemer som aldri har blitt sett før."
Hva skjer når ML-systemet finner en anomali? Generelt gir disse verktøyene varsler til et menneske om å ringe en endelig samtale på noen måte, siden bivirkningene av en falsk positiv er skadelig for selskapet og dets kunder. "Feilsøking og rettsmedisinere trenger menneskelig ekspertise, " hevder Balabits Scheidler. Det ideelle er at de genererte varslene er nøyaktige og automatiserte, og instrumentpaneler gir en nyttig oversikt over systemstatus med muligheten til å bore inn i "hei, det er rart" oppførsel.
Kilde: Balabit.com (Klikk på grafikken over for å se full visning.)
Det er bare begynnelsen
Ikke anta at ML- og IT-sikkerhet passer perfekt som sjokolade og peanøttsmør eller katter og internett. Dette er et arbeid som pågår, selv om det vil få mer kraft og nytte når produktene får flere funksjoner, applikasjonsintegrering og teknologiske forbedringer.
På kort sikt, se etter fremskritt med automatisering slik at sikkerhets- og operasjonsteamene kan få ny datainnsikt raskere og med mindre menneskelig innblanding. I løpet av de neste to-tre årene, sa Mike Paquette, administrerende direktør for produkter hos Prelert, "vi forventer at fremskritt kommer i to former: et utvidet bibliotek med forhåndskonfigurerte brukssaker som identifiserer angrepsadferd, og fremskritt i automatisert funksjonsvalg og konfigurasjon, noe som reduserer behovet for konsulentoppdrag."
De neste trinnene er selvlærende systemer som kan slå tilbake mot angrep på egenhånd, sa Darktraces Palmer. "De vil svare på nye risikoer fra malware, hackere eller upåvirkede ansatte på en måte som forstår hele konteksten av normal oppførsel av individuelle enheter og de overordnede forretningsprosessene, i stedet for å ta individuelle binære beslutninger som tradisjonelle forsvar. Dette vil være avgjørende. å svare på angrep som beveger seg raskere, som utpressingsbaserte angrep, som vil forandre seg til å angripe ethvert verdifullt aktivum (ikke bare filsystemer) og vil være designet for å reagere raskere enn det som er mulig av mennesker."
Dette er et spennende område med mye løfte. Kombinasjonen av ML og avanserte sikkerhetsverktøy gir ikke bare IT-fagfolk nye verktøy å bruke, men enda viktigere, det gir dem verktøy som lar dem gjøre jobben sin mer nøyaktig, men likevel raskere enn noen gang før. Selv om det ikke er en sølvkule, er det et betydelig skritt fremover i et scenario der skurkene har hatt alle fordelene altfor lenge.
