Video: Katės reakcija į verkiančią mergaitę sujaudins iki širdies gelmių (Lapkritis 2024)
IT saugumas yra pavojingas ir brangus pragaras. Didžiulės pinigų sumos išleidžiamos įmonės duomenų ir tinklų apsaugai. Blogų vaikinų minios yra motyvuotos įsilaužti, o nesėkmės pasekmės yra skaudesnės nei apsaugos išlaidos.
Blogiau, kad dabartiniai vyriausiųjų saugumo pareigūnų (PVO) darbo su saugumu būdai yra intriguojantys. Nors pagrindinės saugos priemonės, tokios kaip valdomų galinių taškų apsauga, visada bus reikalingos, kiekvienas iš mūsų apgailestavo, kad sunku valdyti slaptažodžius, svarstė dėl prieigos prie reikalingos programinės įrangos teisių ir skundėsi dėl kliūčių tarp mūsų ir darbo, kurį turime atlikti.. Jei saugumo procedūros veiktų 100 procentų laiko, galbūt mums viskas būtų gerai, bet, ei, ar pastebėjote, kiek pažeidimų vis dar pranešama? Aš taip pat. Pažvelkite tik į tai, kaip šioje iliustracijoje (duomenų analizės ir vizualizacijos tinklaraštyje „Sparkling Data“) sprogo duomenų pažeidimų skaičius per metus. Grafike pavaizduoti duomenų pažeidimai nuo 2009 m., Suskirstyti pagal pramonės rūšis ir kiek milijonai įrašų buvo pažeisti:
Šaltinis: 2016 m . Liepos 24 d. ; HIPAA pažeidimų duomenų analizė ; Putojantys duomenys
Tačiau yra ir gerų naujienų. Tos pačios mašininio mokymosi (ML) technologijos ir numatomieji analitiniai algoritmai, kurie suteikia naudingų knygų rekomendacijų ir suteikia pažangiausias savitarnos verslo žvalgybos (BI) ir duomenų vizualizacijos galimybes. įrankiai yra įtraukiami į IT saugumo priemones. Ekspertai teigia, kad dėl to greičiausiai neišleisite mažiau pinigų savo įmonės IT saugumui, tačiau bent jau jūsų darbuotojai dirbs efektyviau ir turės daugiau galimybių surasti įsilaužėlius ir kenkėjiškas programas prieš padarydami žalą.
ML ir IT saugumo derinys neabejotinai gali būti vadinamas „kylančia technologija“, tačiau tai, kas malonu, yra tai, kad mes nekalbame tik apie vieną technologiją. ML sudaro kelių rūšių technologijos, kiekviena taikoma skirtingais būdais. Kadangi šioje srityje dirba tiek daug pardavėjų, turime stebėti, kaip visiškai naujos technologijos konkuruoja, vystosi ir, tikimės, teikia naudą mums visiems.
Taigi, kas yra mašinų mokymasis?
ML leidžia kompiuteriui kažko išmokyti, net nebūdamas aiškiai užprogramuotas. Tai daroma pasiekiant didelius duomenų rinkinius, dažnai didžiulius.
„Mokydamiesi mašinų, galime pateikti kompiuteriui 10 000 kačių nuotraukų ir pasakyti:„ Štai kokia katė atrodo “. Ir tada jūs galite duoti kompiuteriui 10 000 nepaženklintų nuotraukų ir paprašyti jos išsiaiškinti, kurios yra katės “, - aiškina„ Booz Allen “vyresnysis teisininkas Adomas Porteris-Priceas. Modelis tobulėja, kai pateikiate sistemai grįžtamąjį ryšį, nesvarbu, ar jos spėjimas teisingas, ar neteisingas. Laikui bėgant, sistema tampa tikslesnė nustatant, ar nuotraukoje yra katė (kaip, be abejo, visos nuotraukos turėtų).
Tai nėra visiškai nauja technologija, nors naujausi spartesnių kompiuterių patobulinimai, geresni algoritmai ir „Big Data“ įrankiai tikrai pagerino dalykus. „Mašinų mokymasis (ypač taikomas modeliuojant žmogaus elgesį) vyko jau ilgą laiką“, - teigė „Fortscale“ generalinis direktorius Idanas Tendleris. "Tai yra pagrindinė daugelio disciplinų kiekybinių aspektų dalis, pradedant nuo lėktuvų kainų nustatymo, baigiant politiniais balsavimais ir baigiant greito maisto rinkodara dar septintajame dešimtmetyje".
Akivaizdžiausias ir atpažįstamas šiuolaikinis panaudojimas yra rinkodaros veikla. Pvz., Kai perkate knygą „Amazon“, jos rekomendacijos skatina ankstesnius pardavimus ir siūlo papildomas knygas, kurios jums greičiausiai patiks (pvz., Žmonėms, kuriems patiko Steveno Brusto „ Yendi“, taip pat gali patikti Jimo Butcherio romanai), o tai reiškia daugiau knygų pardavimų. Tai čia pritaikyta ML. Kitas pavyzdys gali būti verslas, kuris naudoja savo ryšių su klientais valdymo (CRM) duomenis, norėdamas analizuoti klientų skaičiavimą, arba oro linijų bendrovė, naudojanti ML, kad išanalizuotų, kiek apdovanojimo taškų paskatina dažnai skraidančius keleivius priimti tam tikrą pasiūlymą.
Kuo daugiau duomenų kaupia ir analizuoja kompiuterinė sistema, tuo geresnės yra jos įžvalgos (ir katės nuotraukos identifikacija). Be to, atsiradus „Big Data“, ML sistemos gali kaupti informaciją iš kelių šaltinių. Internetinis mažmenininkas gali ieškoti ne tik savo duomenų rinkinių, pavyzdžiui, analizuoti kliento žiniatinklio naršyklės duomenis ir, pavyzdžiui, informaciją iš savo partnerių svetainių.
ML perima duomenis, kurių žmonėms per daug suprantama (pvz., Milijonus tinklo žurnalo failų eilučių ar didžiulį skaičių elektroninės komercijos operacijų) ir paverčia juos kažkuo lengviau suprantamu, sakė Balázs Scheidler, IT saugumo priemonių pardavėjo „Balabit“ technikos vadovas..
„Mašinų mokymosi sistemos atpažįsta modelius ir išryškina anomalijas, kurios padeda žmonėms suvokti situaciją ir prireikus imtis veiksmų“, - teigė Scheidleris. "O mašininis mokymasis atlieka šią analizę automatizuotu būdu. Negalėjai išmokti tų pačių dalykų vien tik žiūrėdamas tik į operacijų žurnalus."
Kur ML pataiso saugumo trūkumus
Laimei, tie patys ML principai, kurie gali padėti apsispręsti dėl naujos knygos pirkimo, gali padaryti jūsų įmonės tinklą saugesnį. Tiesą sakant, pasak „Fortscale's Tendler“, IT pardavėjai šiek tiek vėluoja į ML partiją. Rinkodaros skyriai galėjo pastebėti finansinę naudą ankstyvame ML priėmime, ypač todėl, kad suklydę kainavo mažiausiai. Rekomenduojant neteisingą knygą niekam nebebus sunaikintas tinklas. Saugumo specialistams reikėjo daugiau tikrumo dėl technologijos ir panašu, kad jie pagaliau ją turi.
Jei atvirai, atėjo laikas. Nes dabartiniai saugumo užtikrinimo būdai yra įkyrūs ir reaguojantys. Blogiau: Dėl daugybės naujų apsaugos priemonių ir skirtingų duomenų rinkimo įrankių per daug įvesta informacija net stebėtojams.
„Daugelį kompanijų užplūsta tūkstančiai perspėjimų per dieną. Daugiausia jų dominuoja klaidingi teiginiai“, - teigė Davidas Thompsonas, IT saugumo bendrovės „LightCyber“ produktų valdymo vyresnysis direktorius. "Net jei perspėjimas būtų matytas, jis greičiausiai būtų vertinamas kaip išskirtinis įvykis ir nebūtų suprantamas kaip didesnio orkestro surengto išpuolio dalis."
Thompsonas cituoja „Gartner“ pranešimą, kuriame teigiama, kad dauguma užpuolikų būna nepastebėti vidutiniškai penkis mėnesius . Šie klaidingi teiginiai taip pat gali sukelti piktus vartotojus, atkreipė dėmesį „DataVisor“ tyrinėtojas Ting-Fang Yenas, kai darbuotojai blokuojami ar pažymimi per klaidą, jau nekalbant apie laiką, kurį IT komanda skiria problemoms išspręsti.
Taigi pirmasis IT saugumo aspektas naudojant ML yra tinklo veiklos analizė. Algoritmai įvertina veiklos modelius, lygindami juos su praeities elgesiu, ir jie nustato, ar dabartinė veikla kelia grėsmę. Norėdami padėti, tokie pardavėjai, kaip „Core Security“, įvertina tinklo duomenis, tokius kaip vartotojų DNS paieškos elgsena ir ryšių protokolus HTTP užklausose.
Kai kurios analizės vyksta realiu laiku, o kiti ML sprendimai tiria operacijų įrašus ir kitus žurnalų failus. Pavyzdžiui, „Fortscale“ gaminiuose pastebima viešai neatskleista grėsmė, įskaitant grėsmes, susijusias su pavogtais įgaliojimais. "Mes sutelkiame dėmesį į prieigos ir autentifikavimo žurnalus, tačiau žurnalai gali būti gaunami iš beveik bet kurios vietos:" Active Directory ", " Salesforce ", " Kerberos ", jūsų pačių sukurtos" karūnos brangakmenių programos ", - teigė" Fortscale "atstovas. "Kuo daugiau įvairovės, tuo geriau". Svarbus skirtumas tarp ML yra tai, kad jis gali paversti nuolankius ir dažnai ignoruojamus organizacijos namų tvarkymo žurnalus vertingais, labai efektyviais ir pigiais žvalgybos šaltiniais.
Ir šios strategijos daro įtaką. Italijos banke, kuriame yra mažiau nei 100 000 vartotojų, kilo grėsmė viešai neatskleista informacija, susijusi su didelio masto neskelbtinų duomenų filtravimu į nežinomų kompiuterių grupę. Tikslūs vartotojų kredencialai buvo naudojami didelės apimties duomenų perdavimui už organizacijos ribų per „Facebook“. Bankas dislokavo „ML“ maitinamą „Darktrace“ įmonės imuninę sistemą, kuri per tris minutes aptiko anomalų elgesį, kai įmonės serveris prisijungė prie „Facebook“ - tai nebūdinga veikla, sakė Dave'as Palmeris, „Darktrace“ technologijos direktorius.
Sistema iš karto paskelbė įspėjimą apie grėsmę, kuri leido banko apsaugos komandai reaguoti. Galų gale tyrimas paskatino sistemos administratorių, kuris netyčia atsisiuntė kenkėjiškas programas, įstrigusias banko serveryje bitcoin kasybos robotiniame tinkle - mašinų grupėje, kurią kontroliuoja įsilaužėliai. Per mažiau nei tris minutes įmonė išbandė, ištyrė realiu laiku ir pradėjo atsakymą - neprarasdama korporatyvinių duomenų ar nepažeisdama klientų operatyvinių tarnybų, sakė Palmeris.
Stebėkite vartotojus, o ne prieigos valdymą ar įrenginius
Bet kompiuterinės sistemos gali ištirti bet kokį skaitmeninį pėdsaką. Ir būtent šiais laikais pardavėjai kreipia daug dėmesio: kurdami organizacijos „žinomo gero“ elgesio, vadinamo „User Behavior Analytics“ (UBA), pradinius pagrindus. Prieigos kontrolė ir įrenginių stebėjimas vyksta iki šiol. Pasak kelių ekspertų ir pardavėjų, kur kas geriau, kai vartotojams pagrindinis dėmesys skiriamas saugai - būtent tai ir yra UBA.
„UBA yra būdas stebėti, ką žmonės daro, ir pastebėti, ar jie daro ką nors neįprasto“, - teigė „Balabit“ vadovas Scheidleris. Produktas (šiuo atveju „Balabit's Blindspotter“ ir „Shell Control Box“) sukuria kiekvieno vartotojo tipinio elgesio skaitmeninę duomenų bazę - procesas trunka maždaug tris mėnesius. Po to programinė įranga atpažįsta anomalijas nuo to pradinio lygio. ML sistema sukuria rezultatą, kaip „neveikia“ vartotojo sąskaita, kartu su problemos kritiškumu. Įspėjimai generuojami, kai balas viršija ribą.
„„ Analytics “bando nuspręsti, ar esate jūs patys“, - sakė A. Scheidleris. Pavyzdžiui, duomenų bazių analitikas reguliariai naudoja tam tikrus įrankius. Taigi, jei ji prisijungia iš neįprastos vietos neįprastu laiku ir pasiekia neįprastas programas, tada sistema daro išvadą, kad jos sąskaita gali būti pažeista.
„Balabit“ stebimos UBA charakteristikos apima vartotojo istorinius įpročius (prisijungimo laikas, dažniausiai naudojamos programos ir komandos), turimus daiktus (ekrano skiriamoji geba, valdymo bloko naudojimas, operacinės sistemos versija), kontekstą (IPT, GPS duomenys, vieta, tinklo srauto skaitikliai)., ir įgimtas (kažkas tu esi). Pastarojoje kategorijoje yra pelės judesio analizė ir klavišo dinamika, pagal kurią sistema nusako, kaip sunkiai ir greitai vartotojo pirštai daužo klaviatūrą.
Nors žavi geek, Scheidler įspėja, kad pelės ir klaviatūros matavimai dar nėra patikimi. Pvz., Pasak jo, maždaug 90 procentų galima atpažinti kieno nors klaviatūros paspaudimus, todėl įmonės įrankiai nėra labai priklausomi nuo anomalijos toje srityje. Be to, vartotojų elgsena visą laiką šiek tiek skiriasi; jei jums yra įtempta diena ar skauda ranką, pelės judesiai skiriasi.
"Kadangi mes dirbame su daugeliu vartotojų elgesio aspektų, o apibendrinta vertė turi būti lyginama su pradiniu profiliu, iš viso jis turi labai aukštą patikimumą, kuris susilygina iki 100 procentų", - sakė Scheidleris.
„Balabit“ tikrai nėra vienintelis pardavėjas, kurio produktai naudoja UBA saugumo įvykiams nustatyti. Pavyzdžiui, „Cybereason“ naudoja panašią metodiką, kad nustatytų elgesį, verčiantį dėmesingus žmones sakyti: „Hmm, tai juokinga“.
Paaiškina „Cybereason“ CTO vadovas Yonatanas Streimas Amitas: „Kai mūsų platformoje pastebima anomalija - Džeimsas dirba pavėluotai - galime ją susieti su kitu žinomu elgesiu ir svarbiais duomenimis. Ar jis naudoja tas pačias programas ir prieigos modelius? Ar jis siunčia duomenis tam, su kuo niekada nebendrauja. ar visi ryšiai vyksta su jo vadybininku, kuris atsiliepia atgal? “ „Cybereason“ analizuoja, kaip Jamesas nenormaliai dirba per vėlai, pateikdamas ilgą sąrašą kitų stebimų duomenų, kad būtų galima nustatyti, ar perspėjimas yra klaidingai teigiamas, ar pagrįstas.
IT darbas yra rasti atsakymus, tačiau tai tikrai padeda turėti programinę įrangą, galinčią kelti teisingus klausimus. Pavyzdžiui, du sveikatos priežiūros organizacijos vartotojai turėjo prieigą prie mirusių pacientų įrašų. "Kodėl kažkas žiūrėtų į pacientus, kurie mirė prieš dvejus ar trejus metus, nebent jūs norite padaryti kokią nors tapatybę ar sukčiauti medicinoje?" klausia Amitas Kulkarni, „Cognetyx“ generalinis direktorius. Identifikuodama šią saugumo riziką, „Cognetyx“ sistema nustatė netinkamą prieigą, pagrįstą įprastine to skyriaus veikla, ir palygino dviejų vartotojų elgesį su savo bendraamžių prieigos modeliais ir su jų įprastu elgesiu.
„Iš esmės mašininio mokymosi sistemos yra kartojamos ir automatizuotos“, - teigė „Fortscale“ atstovas. "Jie tikisi" suderinti "naujus duomenis su tuo, ką matė anksčiau, tačiau nieko" neiš diskvalifikuos "iš rankų arba automatiškai" neišmes "netikėtų ar ribinių rezultatų."
Taigi „Fortscale“ algoritmai ieško paslėptų duomenų rinkinio struktūrų, net kai jie nežino, kaip ši struktūra atrodo. "Net jei pastebėsime netikėtumą, jame pateikiami pašarai, iš kurių galima sudaryti naują modelių žemėlapį. Būtent tai mašininį mokymąsi daro daug galingesnį nei deterministiniai taisyklių rinkiniai: Mašinų mokymosi sistemos gali rasti saugumo problemų, kurios dar niekada nebuvo matytos."
Kas nutinka, kai ML sistema nustato anomaliją? Paprastai šios priemonės perduoda žmonėms perspėjimus, kad jie tam tikru būdu skambina, nes klaidingas teigiamas šalutinis poveikis kenkia įmonei ir jos klientams. „Trikčių šalinimui ir kriminalistikai reikalingos žmonių žinios“, - tvirtina „Balabit's Scheidler“ atstovas. Idealu yra tai, kad sugeneruoti perspėjimai yra tikslūs ir automatizuoti, o prietaisų skydeliai pateikia naudingą sistemos būklės apžvalgą ir galimybę išsiaiškinti, kas yra „keista, kad tai keista“.
Šaltinis: Balabit.com (Norėdami pamatyti visą vaizdą, spustelėkite aukščiau esančią grafiką.)
Tai tik pradžia
Nemanykite, kad ML ir IT saugumas puikiai tinka, pavyzdžiui, šokoladas ir žemės riešutų sviestas ar katės ir internetas. Tai yra vykdomas darbas, nors jis įgis daugiau galios ir naudingumo, nes produktai įgys daugiau funkcijų, integracijos į programas ir technologijų patobulinimus.
Artimiausiu metu ieškokite patobulinimų automatizavimo srityje, kad saugos ir operacijų komandos galėtų greičiau ir mažiau įsikišdamos įgyti naujų duomenų įžvalgų. Per ateinančius dvejus ar trejus metus, pasak Mike'o Paquette, „Prelert“ produktų viceprezidento, „mes tikimės, kad pažanga bus dviejų formų: išplėsta iš anksto sukonfigūruotų naudojimo atvejų biblioteka, identifikuojanti išpuolių elgesį, ir pažanga automatinio funkcijų pasirinkimo bei konfigūravimo srityje, sumažinanti konsultacinių užduočių poreikis “.
Kiti žingsniai yra savarankiško mokymosi sistemos, galinčios kovoti su priešpuoliais, - sakė „Darktrace's Palmer“ vadovas. „Jie reaguos į kylančią kenkėjiškų programų, įsilaužėlių ar nepatenkintų darbuotojų riziką taip, kad suprastų įprastą atskirų įrenginių elgesį ir bendrus verslo procesus, o ne priims individualius dvejetainius sprendimus, tokius kaip tradicinė gynyba. Tai bus labai svarbu. reaguoti į greitesnius judančius išpuolius, pavyzdžiui, turto prievartavimu paremtus išpuolius, kurie padės užpulti bet kokį vertingą turtą (ne tik failų sistemas) ir bus suprojektuoti reaguoti greičiau, nei tai įmanoma žmonėms “.
Tai įdomi sritis, turinti daug pažadų. ML ir pažangių saugos priemonių derinys ne tik suteikia IT specialistams naujų įrankių naudojimą, bet, dar svarbiau, suteikia įrankius, leidžiančius jiems atlikti savo darbus tiksliau, tačiau vis tiek greičiau nei bet kada anksčiau. Nors ne sidabrinė kulka, tai reikšmingas žingsnis į priekį scenarijuje, kuriame blogi vaikinai per ilgai turėjo visus privalumus.
