Twój następny cyfrowy ochroniarz powinien być bardziej podobny do RoboCop

Ten napisany przez dostawcę element technologiczny został zredagowany przez Network World w celu wyeliminowania promocji produktu, ale czytelnicy powinni zauważyć, że prawdopodobnie sprzyja podejściu zgłaszającego.

Ludzie wyraźnie nie są w stanie monitorować i identyfikować każdego zagrożenia w dzisiejszych rozległych i złożonych sieciach przy użyciu tradycyjnych narzędzi bezpieczeństwa. Musimy wzmocnić ludzkie możliwości poprzez zwiększenie ich inteligencji maszynowej. Mieszanie człowieka i maszyny - w pewnym sensie podobne do tego, co OmniCorp zrobił z RoboCop - może zwiększyć naszą zdolność do identyfikowania i zatrzymywania zagrożenia, zanim będzie za późno.

„Głupie” narzędzia, na których opierają się dziś organizacje, są po prostu nieskuteczne. Istnieją dwie konsekwentne, ale wciąż zaskakujące rzeczy, które sprawiają, że ta nieudolność jest dość widoczna. Pierwszy to czas, w którym hakerzy mają wolne rządy w systemie przed wykryciem: osiem miesięcy w Premera i P.F. Changa, sześć miesięcy w Nieman Marcus, pięć miesięcy w Home Depot i lista jest długa.

Drugą niespodzianką jest odpowiedź. Wszyscy zwykle patrzą wstecz, próbując dowiedzieć się, jak dostali się zewnętrzni aktorzy. Znalezienie przysłowiowego wycieku i zatkanie go jest oczywiście ważne, ale takie podejście leczy tylko objaw, a nie leczenie choroby.

W tym przypadku chorobą jest rosnąca frakcja hakerów, którzy stają się tak dobrzy w tym, co robią, że mogą infiltrować sieć i swobodnie wędrować, uzyskując dostęp do większej liczby plików i danych, niż mają do nich dostęp nawet większość wewnętrznych pracowników. Jeśli Premera, Sony, Target i inni zajęli miesiące, aby wykryć tych złych aktorów w swoich sieciach i zacząć łatać dziury, które ich wpuszczają, to jak mogą być pewni, że inna grupa nie znalazła kolejnej dziury? Skąd wiedzą, że inne grupy nie zbierają danych w tej chwili? Dziś nie mogą być tego pewni.

Typowa odpowiedź

Do niedawna firmy naprawdę miały tylko jedną opcję w odpowiedzi na rosnące zagrożenia - odpowiedź, z której korzysta większość organizacji. Ponownie hartują systemy, zapadkową zaporę ogniową oraz reguły i progi IDS / IPS oraz wprowadzają bardziej rygorystyczne zasady proxy i VPN. Ale robiąc to, toną swoje zespoły reagowania na incydenty w alarmach.

Zaostrzenie zasad i zwiększenie liczby scenariuszy, które wywołają czerwoną flagę, po prostu utrudniają pracę zespołom bezpieczeństwa, które są już naciągnięte. Powoduje to tysiące fałszywych alarmów każdego dnia, co fizycznie uniemożliwia zbadanie każdego z nich. Jak pokazały ostatnie głośne ataki, zalew alertów pomaga złośliwej aktywności przedostać się przez pęknięcia, ponieważ nawet po „złapaniu” nic się z tym nie robi.

Ponadto ograniczanie zasad i procedur bezpieczeństwa po prostu marnuje czas każdego. Z założenia ściślejsze zasady ograniczą dostęp do danych, aw wielu przypadkach dane te są tym, czego pracownicy potrzebują, aby dobrze wykonywać swoje zadania. Pracownicy i działy zaczną prosić o potrzebne narzędzia i informacje, marnując cenny czas dla nich i zespołów IT / bezpieczeństwa, które muszą sprawdzać każde żądanie.

Zakładanie RoboCop na skrzynkę

Inteligencja maszynowa może być wykorzystywana do nadzorowania ogromnych sieci i pomagania w wypełnianiu luk, w których dostępne zasoby i możliwości ludzkiej inteligencji wyraźnie nie są wystarczające. To trochę jak pozwolenie RoboCopowi pilnować ulic, ale w tym przypadku głównym uzbrojeniem są algorytmy statystyczne. Mówiąc dokładniej, statystyki mogą być wykorzystywane do identyfikowania nienormalnej i potencjalnie złośliwej aktywności w jej trakcie.

Według Dave'a Shackleforda, analityka z SANS Institute i autora ankiety Analytics and Intelligence Survey 2014, „jednym z największych wyzwań, przed którymi stoją organizacje bezpieczeństwa, jest brak wglądu w to, co dzieje się w środowisku”. W badaniu 350 specjalistów IT zapytano, dlaczego mają trudności z identyfikacją zagrożeń, a główną odpowiedzią była ich niezdolność do zrozumienia i bazowania na „normalnym zachowaniu”. Jest to coś, czego ludzie po prostu nie mogą zrobić w złożonym środowisku, a ponieważ nie jesteśmy w stanie odróżnić normalnego zachowania, nie widzimy nienormalnego zachowania.

Zamiast polegać na ludziach oglądających wykresy na monitorach dużego ekranu lub regułach i progach definiowanych przez ludzi, aby podnieść flagi, maszyny mogą dowiedzieć się, jak wygląda normalne zachowanie, dostosowywać się w czasie rzeczywistym i stać się mądrzejsze, gdy przetwarzają więcej informacji. Co więcej, maszyny posiadają szybkość wymaganą do przetworzenia ogromnej ilości informacji tworzonych przez sieci i mogą to zrobić w czasie prawie rzeczywistym. Niektóre sieci przetwarzają terabajty danych co sekundę, podczas gdy ludzie mogą przetwarzać nie więcej niż 60 bitów na sekundę.

Pomijając potrzebę szybkości i pojemności, większym problemem związanym z tradycyjnym sposobem monitorowania problemów związanych z bezpieczeństwem jest to, że reguły są głupie. To też nie tylko wołanie imienia, są dosłownie głupie. Ludzie ustalają zasady, które mówią maszynie, jak ma działać i co robić - szybkość i wydajność przetwarzania są nieistotne. Chociaż systemy monitorowania oparte na regułach mogą być bardzo złożone, nadal są oparte na podstawowej formule „jeśli to, to zrób to”. Umożliwianie maszynom samodzielnego myślenia i dostarczania lepszych danych i wglądu ludziom, którzy na nich polegają, naprawdę poprawi bezpieczeństwo.

To absurdalne, że nie ma warstwy bezpieczeństwa, która myśli sama za siebie. Wyobraź sobie, że w świecie fizycznym ktoś codziennie przekraczał granicę z taczką pełną ziemi i agenci celni, pilnie pracując i przestrzegając zasad, przesiewali się przez ten brud każdego dnia, nigdy nie znajdując tego, za co się uważali. szukam. Chociaż ta sama osoba wielokrotnie przekracza granicę z taczką pełną brudu, nikt nigdy nie myśli o tym, by na taczkę patrzeć. Gdyby tak było, szybko by się dowiedzieli, że cały czas kradnie taczki!

To, że nikt nie powiedział agentom celnym, by szukali skradzionych taczek, nie jest w porządku, ale jak mówią, z perspektywy czasu jest 20/20. W świecie cyfrowym nie musimy już polegać na patrzeniu wstecznym, zwłaszcza teraz, gdy mamy moc, aby uruchomić inteligencję maszynową i rozpoznać anomalie, które mogą wystąpić bezpośrednio pod naszymi nosami. Aby cyberbezpieczeństwo było dzisiaj skuteczne, potrzebuje co najmniej podstawowego poziomu inteligencji. Maszyny, które same się uczą i wykrywają anormalne czynności, mogą znaleźć „złodzieja taczki”, który może powoli wysysać dane, nawet jeśli nie wiesz, że go szukasz.

Wykrywanie anomalii jest jedną z pierwszych kategorii technologii, w których uczenie maszynowe stosuje się w celu zwiększenia bezpieczeństwa sieci i aplikacji. Jest to forma zaawansowanej analizy bezpieczeństwa, która jest dość często używana. Jest jednak kilka wymagań, które ten typ technologii musi spełnić, aby można go było uznać za „zaawansowany”. Musi być łatwo wdrożony, aby działał w sposób ciągły, wbrew szerokiej gamie typów danych i źródeł oraz w ogromnych skalach danych w celu uzyskania wysokiej jakości wglądu, aby nie dodawać do ślepoty alertów, z jakimi zmagają się zespoły bezpieczeństwa.

Wiodący analitycy zgadzają się, że uczenie maszynowe będzie wkrótce „koniecznością” w celu ochrony sieci. W raporcie Gartnera z listopada 2014 r. Zatytułowanym „Dodaj nowe wskaźniki wydajności do zarządzania systemami obsługującymi uczenie maszynowe”, analityk Will Cappelli bezpośrednio stwierdza: „funkcjonalność uczenia maszynowego będzie w ciągu następnych pięciu lat coraz bardziej rozpowszechniona, a proces , fundamentalnie zmodyfikuj wydajność systemu i charakterystyki kosztów. ”

Chociaż uczenie maszynowe z pewnością nie jest srebrną kulą, która rozwiąże wszystkie problemy związane z bezpieczeństwem, bez wątpienia dostarczy lepszych informacji, aby pomóc ludziom w podejmowaniu lepszych decyzji. Przestańmy prosić ludzi o zrobienie rzeczy niemożliwych i pozwól, aby inteligencja maszyny wkroczyła, aby pomóc w wykonaniu zadania.

Prelert zapewnia zaawansowaną analizę wykrywania zagrożeń. Prelert pomaga organizacjom w szybkim wykrywaniu, badaniu i reagowaniu na działania po zagrożeniach dzięki automatycznemu wykrywaniu anomalii uczenia maszynowego.

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.