Tento základní nátěr napsaný prodejcem byl společností Network World upraven, aby se vyloučila propagace produktu, ale čtenáři by si měli uvědomit, že to pravděpodobně zvýhodní přístup zadavatele..
Lidé jsou zjevně neschopni sledovat a identifikovat každou hrozbu v dnešních rozsáhlých a složitých sítích pomocí tradičních bezpečnostních nástrojů. Musíme posílit lidské schopnosti jejich rozšířením o strojovou inteligenci. Míchání člověka a stroje - v některých ohledech, podobně jako OmniCorp s RoboCopem - může zvýšit naši schopnost identifikovat a zastavit hrozbu dříve, než bude příliš pozdě..
„Hloupé“ nástroje, na které se organizace dnes spoléhají, jsou prostě neúčinné. Existují dvě konzistentní, ale přesto překvapivé věci, které tuto neschopnost značně ukazují. Prvním je množství času, kdy hackeři mají volnou vládu v systému, než budou detekováni: osm měsíců v Premera a P.F. Chang, šest měsíců v Nieman Marcus, pět měsíců v Home Depot a seznam pokračuje.
Druhým překvapením je odpověď. Každý se obvykle dívá dozadu a snaží se přijít na to, jak se externí aktéři dostali dovnitř. Zjevně je důležité najít příslovečný únik a zapojit ho, ale tento přístup zachází s příznakem pouze s vyléčením nemoci..
Nemoc, v tomto případě, je rostoucí frakce hackerů, kteří jsou tak dobří v tom, co dělají, že mohou infiltrovat síť a volně se potulovat, přistupovat k více souborům a datům, k nimž má přístup i většina interních zaměstnanců. Pokud bude trvat několik měsíců, než Premera, Sony, Target a další odhalí tyto špatné herce ve svých sítích a začnou oprava děr, které jim umožnily vstup, jak si mohou být jisti, že jiná skupina nenalezla další díru? Jak vědí, že jiné skupiny právě neukrývají data? Dnes to nemohou vědět s jistotou.
Typická odpověď
Až donedávna měly společnosti skutečně jen jednu možnost jako reakci na rostoucí hrozby, reakci, kterou většina organizací stále zaměstnává. Znovu zatvrdí systémy, ráčnové brány a pravidla a limity IDS / IPS a zavedou přísnější zásady webového proxy a VPN. Tím však utopili své týmy reakce na incidenty ve výstrahách.
Zpřísnění politiky a přidávání počtu scénářů, které zvýší červenou vlajku, ztěžuje práci bezpečnostním týmům, které jsou již natažené. To způsobuje každý den tisíce falešně pozitivních výsledků, což znemožňuje vyšetřovat každého z nich. Jak se prokázaly nedávné vysoké profily útoků, záplavy výstrah pomáhají proklouznout škodlivou činností skrz praskliny, protože i když jsou „chyceny“, nedělá se s tím nic.
Navíc omezování bezpečnostních pravidel a postupů jen ztrácí čas každého. Záměrem přísnější politiky omezí přístup k datům a v mnoha případech jsou tato data to, co zaměstnanci potřebují, aby dobře vykonávali svou práci. Zaměstnanci a oddělení začnou požadovat nástroje a informace, které potřebují, ztrácí drahocenný čas pro ně a týmy IT / zabezpečení, které musí prověřit každou žádost.
Uvedení RoboCopu na případ
Strojní inteligence lze použít k monitorování rozsáhlých sítí a pomoci zaplnit mezery tam, kde dostupné zdroje a schopnosti lidské inteligence jasně zaostávají. Je to trochu jako nechat RoboCop hlídat ulice, ale v tomto případě je hlavní výzbroj statistické algoritmy. Konkrétněji lze statistiku použít k identifikaci neobvyklé a potenciálně škodlivé činnosti v okamžiku jejího vzniku.
Podle Dave Shackleforda, analytika v institutu SANS a autorem jeho průzkumu Analytics a Intelligence Survey 2014, „jednou z největších výzev, kterým bezpečnostní organizace čelí, je nedostatek viditelnosti toho, co se děje v životním prostředí.“ Průzkum 350 IT odborníků se zeptal, proč mají potíže s identifikováním hrozeb, a nejvyšší odpovědí byla jejich neschopnost porozumět a základní „normální chování“. Je to něco, co lidé prostě nemohou dělat ve složitých prostředích, a protože nejsme schopni rozlišit normální chování, nemůžeme vidět neobvyklé chování..
Místo toho, aby se spoléhali na lidi, kteří se dívají na grafy na velkoplošných monitorech nebo na lidsky definovaná pravidla a prahy, aby zvýšili vlajky, se stroje mohou naučit, jak vypadá normální chování, upravovat se v reálném čase a být inteligentnější, když zpracovávají více informací. A co víc, stroje disponují rychlostí potřebnou ke zpracování obrovského množství informací, které sítě vytvářejí, a mohou to udělat v téměř reálném čase. Některé sítě zpracovávají terabajty dat každou sekundu, zatímco na druhé straně lidé mohou zpracovávat maximálně 60 bitů za sekundu.
Bez ohledu na potřebu rychlosti a kapacity je větší problém s tradičním způsobem sledování bezpečnostních otázek pravidla hloupá. To není jen jméno, které volá, jsou doslova hloupí. Lidé nastavují pravidla, která říkají stroji, jak jednat a co dělat - rychlost a kapacita zpracování jsou irelevantní. Zatímco monitorovací systémy založené na pravidlech mohou být velmi složité, stále jsou postaveny na základním vzorci „pokud ano, udělej to“. Umožní strojům myslet na sebe a poskytovat lepší data a pohled na lidi, kteří se na ně spoléhají, to opravdu zlepší bezpečnost.
Je téměř absurdní mít vrstvu zabezpečení, která si myslí sama za sebe. Představte si ve fyzickém světě, kdyby někdo každý den překročil hranici s kolečkem plným nečistot a celní agenti, kteří byli pilní ve své práci a dodržovali pravidla, den za dnem prošli tou nečistotou a nikdy nenašli, co si mysleli, že jsou hledat. I když tentýž člověk opakovaně překračuje hranici s kolečkem plným nečistot, nikdo si nikdy nenapadlo podívat se na kolečko. Kdyby ano, rychle by se dozvěděli, že krást trakaře celou dobu!
To, že nikdo neřekl celním agentům, aby hledali ukradené trakaře, to neznamená, že je to v pořádku, ale jak se říká, zpětný pohled je 20/20. V digitálním světě se již nemusíme spoléhat na zpětný pohled, zejména nyní, když máme sílu dát strojní inteligenci do práce a rozpoznat anomálie, ke kterým by mohlo dojít přímo pod našimi nosy. Aby počítačová bezpečnost byla dnes účinná, potřebuje alespoň základní úroveň inteligence. Stroje, které se učí samy o sobě a detekují neobvyklou aktivitu, mohou najít „zloděje kolečko“, který by mohl být pomalu syfonující data, i když přesně nevíte, že ho hledáte.
Detekce anomálií je mezi prvními technologickými kategoriemi, ve kterých se strojové učení používá ke zvýšení bezpečnosti sítí a aplikací. Je to forma pokročilé bezpečnostní analýzy, což je termín, který se používá poměrně často. Existuje však několik požadavků, které musí tento typ technologie splňovat, aby byl skutečně považován za „vyspělý“. Musí být snadno nasazeno, aby fungovalo nepřetržitě, proti širokému spektru datových typů a zdrojů, a na obrovských datových stupnicích, aby poskytovalo vysoké věrné poznatky, aby se nepřispívalo k výstražné slepotě, která již čelí bezpečnostním týmům..
Přední analytici souhlasí s tím, že strojové učení bude brzy „potřeba mít“, aby bylo možné chránit síť. Ve zprávě společnosti Gartner z listopadu 2014 s názvem „Přidání nových metrik výkonu do správy systémů umožňujících strojové učení“, uvedl analytik Cappelli přímo, „funkce strojového učení se během příštích pěti let postupně prostupuje a v procesu , zásadně upravovat výkon systému a charakteristiky nákladů. “
I když strojové učení rozhodně není stříbrnou kulkou, která vyřeší všechny bezpečnostní problémy, není pochyb o tom, že poskytne lepší informace, které lidem pomohou lépe se rozhodovat. Přestaňme žádat lidi, aby udělali nemožné, a nechme strojovou inteligenci vstoupit, aby pomohla dokončit práci.
Prelert poskytuje Advanced Analytics pro detekci aktivity aktivity. Prelert pomáhá organizacím rychle detekovat, vyšetřovat a reagovat na hrozící aktivity po porušení pomocí automatizované detekce anomálie strojového učení.
Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.
