Вашето ново cso може да е учебен компютър, който обича котките

ИТ сигурността е опасна и скъпа адска дупка. Голяма сума пари се изразходват за защита на фирмените данни и мрежи. Орди от лоши момчета са мотивирани да пробият, а последствията от провал са по-болезнени от цената на защитата.

По-лошото е, че настоящите начини, по които главните служители по сигурността (ОГС) се занимават със сигурността, са натрапчиви. Въпреки че основните инструменти за защита, като защита на управляваната крайна точка, винаги ще са необходими, всеки от нас изпитва трудността при управлението на паролите, обсъжда се с правата за достъп до необходимия софтуер и се оплаква от бариерите между нас и работата, която трябва да свършим., Ако процедурите за сигурност работеха 100 процента от времето, може би щяхме да се оправим с това - но ей, забелязали ли сте колко нарушения все още са докладвани? Аз също. Просто погледнете как броят на нарушенията на данни за година се е взривил в тази графика по-долу (чрез анализ на данни и блог за визуализация Sparkling Data). Графиката показва нарушения на данните от 2009 г., разпределени по видове отрасли и колко милиона записи са компрометирани:

Източник: 24 юли 2016 г. ; Анализ на данните за нарушения на HIPAA ; Искрящи данни

Но има и добри новини. Същите технологии за машинно обучение (ML) и прогнозни аналитични алгоритми, които ви дават полезни препоръки за книги и захранват най-напредналите ви бизнес интелигентности (BI) и визуализация на данни инструментите се включват в инструментите за сигурност на ИТ. Експертите съобщават, че вероятно няма да харчите по-малко пари за ИТ сигурността на вашата компания поради това, но поне вашите служители ще работят по-ефективно и ще имат по-голям шанс да намерят хакери и зловреден софтуер, преди да бъдат нанесени щети.

Комбинацията от ML и IT сигурност със сигурност може да бъде обозначена като „нововъзникваща технология“, но това, което го прави готино е, че не говорим само за една технология. ML се състои от няколко вида технологии, всяка от които се прилага по различни начини. И тъй като толкова много доставчици работят в тази област, ние трябва да гледаме цяла нова технологична категория да се състезава, да се развива и да се надяваме да осигури полза за всички нас.

И така, какво е машинно обучение?

ML позволява на компютъра да се научи на нещо, без да е необходимо да бъде изрично програмиран. Това става чрез достъп до големи масиви данни - често огромни.

„С машинно обучение можем да дадем на компютър 10 000 снимки на котки и да му кажем:„ Ето как изглежда котка “. И тогава можете да дадете на компютъра 10 000 без етикети и да го помолите да разберете кои са котките ", обяснява Адам Портър-Прайс, старши сътрудник в Booz Allen. Моделът се подобрява, когато давате обратна връзка на системата, независимо дали предположението й е правилно или неправилно. С течение на времето системата става по-точна при определяне дали снимката включва котка (както, разбира се, всички снимки трябва).

Това не е съвсем нова технология, въпреки че последните постижения в по-бързите компютри, по-добрите алгоритми и инструментите за големи данни със сигурност подобряват нещата. „Машинното обучение (особено при прилагането му за моделиране на човешкото поведение) съществува отдавна“, казва Идан Тендлер, изпълнителен директор на Fortscale. "Това е основен компонент на количествените страни на много дисциплини, вариращи от цените на самолетните билети до политическите проучвания до маркетинга на бързите храни още през 60-те години."

Най-очевидните и разпознаваеми съвременни приложения са в маркетинговите начинания. Когато купувате книга например на Amazon, препоръките й са двигатели на предишните продажби и предлагат допълнителни книги, които вероятно ще се радвате (напр. Хората, харесали Йенди на Стивън Бръст, може също да харесат романите на Джим Бътчър), което се превръща в повече продажби на книги. Това се прилага ML точно там. Друг пример може да бъде бизнес, който използва своите данни за управление на взаимоотношенията с клиенти (CRM) за анализиране на клиентите, или авиокомпания, която използва ML, за да анализира колко точки за награда стимулират честите листовки да приемат определена оферта.

Колкото повече данни събира и анализира компютърна система, толкова по-добри са нейните виждания (и идентификация на котешка снимка). Плюс това, с появата на Big Data, ML системите могат да обединяват информация от множество източници. Онлайн търговец на дребно може да надхвърли собствените си набори от данни, за да включва анализ на данните на уеб браузъра на клиента и информация от партньорските му сайтове, например.

ML взема данни, които са твърде много за разбиране от хората (като милиони редове от файлове в мрежови дневници или огромен брой транзакции за електронна търговия) и ги превръща в нещо по-лесно за разбиране, заяви Балаш Шейдлер, представител на CLA на доставчика на инструменти за сигурност IT Balabit, „Системите за машинно обучение разпознават модели и подчертават аномалиите, които помагат на хората да разберат ситуацията и, когато е подходящо, да предприемат действия по нея“, каза Шейдлер. „И машинното обучение прави този анализ по автоматизиран начин; не бихте могли да научите едни и същи неща, просто да гледате само регистрационни файлове.“

Където ML коригира слабости в сигурността

За щастие, същите принципи на ML, които могат да ви помогнат да вземете решение за покупки на нови книги, могат да направят мрежата на вашата компания по-сигурна. Всъщност, каза Tendler на Fortscale, доставчиците на ИТ малко закъсняват за партито на ML. Маркетинговите отдели биха могли да видят финансови ползи при ранното приемане на МЛ, по-специално защото разходите за грешка бяха минимални. Препоръчването на грешна книга няма да свали ничия мрежа. Специалистите по сигурността имаха нужда от повече сигурност относно технологията и изглежда, че най-накрая я имат.

Честно казано, време е. Защото сегашните начини за справяне със сигурността са натрапчиви и реактивни. По-лошото: Чистият обем на нови инструменти за сигурност и различни инструменти за събиране на данни доведе до твърде много принос дори за наблюдателите.

„Повечето компании са наводнени с хиляди сигнали на ден, до голяма степен доминирани от фалшиви позиции“, казва Дейвид Томпсън, старши директор на продуктовия мениджмънт в компанията за сигурност на информационните технологии LightCyber. "Дори ако сигналът бъде видян, той вероятно ще бъде разглеждан като отделно събитие и не се разбира като част от по-мащабна, оркестрирана атака."

Томпсън цитира доклад на Gartner, който казва, че повечето нападатели остават неоткрити за средно пет месеца . Тези лъжливи позитиви също могат да доведат до гневни потребители, посочи Ting-Fang Yen, изследовател в DataVisor, всеки път, когато служителите са блокирани или сигнализирани по грешка, да не говорим за времето, прекарано от ИТ екипа за решаване на проблемите.

Така че първият проблем в ИТ сигурността с помощта на ML е анализ на мрежовата активност. Алгоритмите оценяват моделите на дейност, сравнявайки ги с миналото поведение и те определят дали текущата дейност представлява заплаха. За да помогнат, доставчици като Core Security оценяват мрежовите данни, като например поведението на DNS търсене на потребители и протоколите за комуникация в рамките на HTTP заявки.

Някои анализи се случват в реално време, а други ML решения разглеждат записи на транзакции и други журнални файлове. Например, продуктът на Fortscale забелязва вътрешни заплахи, включително заплахи, които включват откраднати идентификационни данни. „Ние се съсредоточаваме върху дневниците за достъп и удостоверяване, но регистрационните файлове могат да идват от почти навсякъде: Active Directory, Salesforce, Kerberos, вашите собствени„ приложения за бижута на короната “, казва Tendler на Fortscale. "Колкото повече разнообразие, толкова по-добре." Там, където МЛ има ключова разлика, е, че той може да превърне скромните и често пренебрегвани дневници на домакинството в ценни, високоефективни и евтини източници на информация за заплахата.

И тези стратегии имат значение. Италианска банка с под 100 000 потребители изпитва вътрешна заплаха, включваща широкомащабно разширяване на чувствителни данни към група неидентифицирани компютри. По-конкретно, легитимните потребителски идентификационни данни бяха използвани за изпращане на големи обеми данни извън организацията чрез Facebook. Банката внедри ML-захранваната система Darktrace Enterprise Immune, която откри аномално поведение в рамките на три минути, когато сървър на компанията, свързан към Facebook - нехарактерна дейност, заяви Дейв Палмър, директор на технологията в Darktrace.

Системата незабавно издаде сигнал за заплаха, което даде възможност на екипа за сигурност на банката да реагира. В крайна сметка запитване доведе до системния администратор, който неволно изтегли злонамерен софтуер, който хвана сървъра на банката в ботнет за добив на биткойни - група машини, контролирани от хакери. За по-малко от три минути компанията задейства, разследва в реално време и започва своята реакция - без корпоративна загуба на данни или повреда на оперативните услуги на клиентите, каза Палмър.

Мониторинг на потребителите, без контрол на достъпа или устройства

Но компютърните системи могат да изследват всякакъв вид цифров отпечатък. И именно тук се обръща много внимание на доставчиците в наши дни: към създаване на изходни линии на "известно добро" поведение от потребителите на организацията, наречени User Behavior Analytics (UBA). Контролът на достъпа и мониторинга на устройствата отиват само дотук. Далеч по-добре е, казват няколко експерти и доставчици, да направят потребителите централен фокус на сигурността, което е това, което UBA е всичко.

"UBA е начин да наблюдавате какво правят хората и да забележите дали правят нещо необичайно", заяви Шейдлер на Балабит. Продуктът (в този случай Blindspotter и Shell Control Box на Balabit) изгражда цифрова база данни с типично поведение на всеки потребител, процес, който отнема около три месеца. След това софтуерът разпознава аномалии от тази базова линия. ML системата създава резултат от това как се "изключва" потребителският акаунт, заедно с критичността на проблема. Сигнали се генерират, когато резултатът надвишава прага.

„Аналитика се опитайте да решите дали сте себе си“, каза Шейдлер. Например анализаторът на база данни редовно използва определени инструменти. Така че, ако тя влезе от необичайно място в необичайно време и получи достъп до необичайни за нея приложения, тогава системата заключава, че нейният акаунт може да бъде компрометиран.

Характеристиките на UBA, проследявани от Balabit, включват историческите навици на потребителя (време за влизане, често използвани приложения и команди), притежания (разделителна способност на екрана, използване на тракпад, версия на операционната система), контекст (ISP, GPS данни, местоположение, броячи на мрежовия трафик), и несъвместимост (нещо, което сте). В последната категория са анализ на движението на мишката и динамика на натискане на клавишите, при което системата картографира колко силно и бързо пръстите на потребителя разбиват клавиатурата.

Въпреки че е завладяващ от гледна точка, Шейдлер предупреждава, че измерванията на мишката и клавиатурата все още не са безусловни. Например, каза той, идентифицирането на нечии натискания на клавиши е около 90 процента надеждно, така че инструментите на компанията не разчитат в голяма степен на аномалия в тази област. Освен това поведението на потребителя е леко различно през цялото време; ако имате стресов ден или болка в ръката, движенията на мишката са различни.

"Тъй като ние работим с много аспекти на поведението на потребителите и агрегираната стойност е тази, която трябва да се сравнява с основния профил, като цяло тя има много висока надеждност, която се сближава до 100 процента", каза Шейдлер.

Balabit със сигурност не е единственият доставчик, чиито продукти използват UBA за идентифициране на събития в сигурността. Cybereason, например, използва подобна методология за идентифициране на поведение, което кара внимателните хора да казват: "Хм, това е смешно."

Обяснява CTO на Yobetan Streim Amit на Cybereason: „Когато нашата платформа види аномалия - Джеймс работи до късно - можем да я съпоставим с други известни поведения и подходящи данни. Използва ли същите приложения и модели за достъп? Изпраща ли данни на някой, който никога не комуникира. с или всички комуникации отиват до неговия мениджър, който отговаря обратно? " Cybereason анализира аномалията на Джеймс, който работи необичайно късно с дълъг списък от други наблюдавани данни, за да осигури контекст за определяне дали сигналът е фалшив положителен или легитимен проблем.

Работата на ИТ е да намира отговори, но това със сигурност помага да има софтуер, който да повдига правилните въпроси. Например двама потребители в здравна организация имат достъп до записи на починали пациенти. "Защо някой би гледал пациенти, починали преди две или три години, освен ако не искате да направите някаква идентичност или медицинска измама?" пита Амит Кулкарни, изпълнителен директор на Cognetyx. Идентифицирайки този риск за сигурността, системата Cognetyx идентифицира неподходящия достъп въз основа на нормалните дейности за този отдел и сравнява поведението на двама потребители с това на моделите на достъп на техните връстници и нормалното им поведение.

"По дефиниция системите за машинно обучение са итеративни и автоматизирани", казва Tendler на Fortscale. „Те гледат да„ съвпадат “с нови данни спрямо видяното преди, но няма да„ дисквалифицират “нищо от ръка или автоматично„ изхвърлят “неочаквани или извън граници резултати.“

Така алгоритмите на Fortscale търсят скрити структури в набор от данни, дори когато те не знаят как изглежда структурата. "Дори и да открием неочакваното, той осигурява фураж, върху който потенциално да се изгради нова карта на модела. Това прави машинното обучение толкова по-мощно от детерминираните набори от правила: Системите за машинно обучение могат да намерят проблеми със сигурността, които никога не са били виждани досега."

Какво се случва, когато ML системата открие аномалия? Обикновено тези инструменти предават сигнали на човек, за да извърши окончателно обаждане по някакъв начин, тъй като страничните ефекти от фалшив позитив са вредни за компанията и нейните клиенти. „Отстраняване на неизправности и криминалистика се нуждае от човешки опит“, твърди Шлайдър на Балабит. Идеалният вариант е генерираните сигнали да бъдат точни и автоматизирани, а таблата за управление дават полезен преглед на състоянието на системата с възможност за пробиване на "ей, това е странно" поведение.

Източник: Balabit.com (Кликнете върху графиката по-горе, за да видите пълния изглед.)

Това е просто началото

Не приемайте, че сигурността на ML и IT е перфектно съвпадение като шоколад и фъстъчено масло или котки и интернет. Това е незавършена работа, въпреки че ще спечели повече сила и полезност, тъй като продуктите придобиват повече функции, интеграция на приложения и технологични подобрения.

В краткосрочен план потърсете напредък в автоматизацията, така че екипите за сигурност и операции да могат да получат нови данни за по-бързи и с по-малко човешка намеса. В следващите две или три години, заяви Майк Пакет, вицепрезидент на продуктите на Prelert, „очакваме напредъкът да се появи под две форми: разширена библиотека от предварително конфигурирани случаи на използване, които идентифицират поведението на атаките, и напредък в автоматизиран избор и конфигуриране на функции, намаляване необходимостта от консултантски ангажименти."

Следващите стъпки са системи за самообучение, които могат да се борят срещу атаките сами, заяви Палмър на Darktrace. „Те ще реагират на възникващите рискове от злонамерен софтуер, хакери или служители, които са недоволни, по начин, който разбира пълния контекст на нормалното поведение на отделните устройства и цялостните бизнес процеси, вместо да взема отделни бинарни решения като традиционните защити. Това ще бъде решаващо да реагира на по-бързо движещи се атаки, като атаки, базирани на изнудване, които ще преобразяват в атака срещу всеки ценен актив (не само файлови системи) и ще бъдат проектирани да реагират по-бързо, отколкото е възможно от хората."

Това е вълнуваща зона с много обещания. Комбинацията от ML и модерни инструменти за сигурност не само дава на ИТ специалистите нови инструменти за използване, но по-важното е, че им дава инструменти, които им позволяват да вършат работата си по-точно, но все пак все по-бързо от всякога. Макар да не е сребърен куршум, това е значителна стъпка напред в сценарий, при който лошите момчета са имали всички предимства твърде дълго.