Video: Counter-Strike 1.6 Zombie сервер #45 [ZM] [Zombie Engine #1] CSO+LVL+BALANCE (November 2024)
IT bezpečnosť je nebezpečná a drahá peklo. Vynakladá sa obrovské množstvo peňazí na ochranu podnikových údajov a sietí. Hordy zlých sú motivovaní preniknúť a následky zlyhania sú bolestivejšie ako náklady na ochranu.
Horšie je, že súčasné spôsoby, ktorými sa riadiaci pracovníci bezpečnosti zaoberajú bezpečnosťou, sú rušivé. Zatiaľ čo základné bezpečnostné nástroje, ako napríklad riadená ochrana koncových bodov, budú vždy potrebné, každý z nás prekonal ťažkosti so správou hesiel, zaoberal sa prístupovými právami k softvéru, ktorý potrebujeme, a sťažoval sa na prekážky medzi nami a prácou, ktorú musíme urobiť., Ak by bezpečnostné postupy fungovali 100 percent času, možno by sme s tým boli v poriadku - ale hej, všimli ste si, koľko porušení je stále hlásených? Ja tiež. Stačí sa pozrieť na to, ako v tomto grafe nižšie (počet analytických údajov a vizualizačný blog Sparkling Data) vzrástol počet prípadov porušenia údajov za rok. Graf zobrazuje porušenia údajov od roku 2009, rozdelené podľa typu odvetvia a počtu miliónov záznamov, ktoré boli ohrozené:
Zdroj: 24. júl 2016 ; Analýza údajov o porušení HIPAA ; Šumivé údaje
Ale sú tu aj dobré správy. Rovnaké technológie strojového učenia (ML) a prediktívne analytické algoritmy, ktoré vám poskytujú užitočné odporúčania kníh a posilňujú vašu najpokročilejšiu samoobslužnú obchodnú inteligenciu (BI) a vizualizáciu údajov nástroje sa začleňujú do bezpečnostných nástrojov IT. Odborníci tvrdia, že z tohto dôvodu pravdepodobne nebudete utrácať menej peňazí za zabezpečenie IT svojej spoločnosti, ale aspoň vaši zamestnanci budú pracovať efektívnejšie a budú mať väčšiu šancu nájsť hackerov a malware skôr, ako dôjde k poškodeniu.
Kombinácia bezpečnosti ML a IT sa určite dá označiť ako „vznikajúca technológia“, ale čo je skvelé, je to, že nehovoríme iba o jednej technológii. ML pozostáva z niekoľkých druhov technológií, z ktorých každá sa používa rôznymi spôsobmi. A pretože toľko predajcov v tejto oblasti pracuje, musíme sa pozerať na celú novú kategóriu technológií, ako súťažia, vyvíjajú sa a dúfame, že nám všetkým prospejú.
Čo je strojové učenie?
ML umožňuje počítaču, aby sa niečo naučil bez toho, aby musel byť výslovne naprogramovaný. Robí to prístupom k veľkým súborom údajov - často k veľkým.
„Pri strojovom učení môžeme dať počítaču 10 000 obrázkov mačiek a povedať mu:„ Takto vyzerá mačka. “ A potom môžete dať počítaču 10 000 neoznačených obrázkov a požiadať ho, aby zistil, ktoré z nich sú mačky, “vysvetľuje Adam Porter-Price, senior spolupracovník v Booz Allen. Model sa pri poskytovaní spätnej väzby systému zlepšuje, či je jeho odhad správny alebo nesprávny. Postupom času sa systém stáva presnejším pri určovaní, či fotografia obsahuje mačku (ako by samozrejme mali mať všetky fotografie).
Nejde o úplne novú technológiu, aj keď nedávny pokrok v rýchlejšom počítači, lepšie algoritmy a nástroje veľkých údajov určite zlepšili veci. „Strojové učenie (najmä v oblasti modelovania správania ľudí) existuje už dlho, “ povedal Idan Tendler, generálny riaditeľ spoločnosti Fortscale. „Je to základná súčasť kvantitatívnych aspektov mnohých disciplín, od cenotvorby po ceny lietadiel, politické voľby až po marketing rýchleho občerstvenia už v 60. rokoch.“
Najzreteľnejšie a najznámejšie moderné spôsoby použitia sú v marketingovom úsilí. Napríklad, keď si kúpite knihu na Amazone, jej odporúčací mechanizmus ťaží predchádzajúci predaj a navrhuje ďalšie knihy, ktoré si pravdepodobne užijete (napr. Ľudia, ktorí mali radi Yendi Stevena Brusta, môžu mať radi aj romány Jima Butchera), čo sa premieta do väčšieho predaja kníh. Tam sa aplikuje ML. Ďalším príkladom by mohla byť spoločnosť, ktorá používa svoje údaje týkajúce sa riadenia vzťahov so zákazníkmi (CRM) na analýzu prílivu zákazníkov, alebo letecká spoločnosť, ktorá využíva ML na analýzu toho, koľko odmeňovacích bodov motivuje častých letcov, aby prijali konkrétnu ponuku.
Čím viac údajov počítačový systém zhromažďuje a analyzuje, tým lepšie sú jeho poznatky (a identifikácia fotografickej mačky). Navyše, s príchodom veľkých dát môžu systémy ML zhromažďovať informácie z viacerých zdrojov. Online predajca sa môže pozrieť mimo svojich vlastných súborov údajov a zahrnúť napríklad analýzu údajov o webovom prehliadači a informácií o zákazníckych webových stránkach.
Spoločnosť ML berie údaje, ktoré sú pre ľudí príliš pochopiteľné (napríklad milióny riadkov súborov sieťového denníka alebo veľké množstvo transakcií elektronického obchodu), a premieňa ich na niečo ľahšie pochopiteľné, uviedol Balázs Scheidler, CTO dodávateľa bezpečnostných nástrojov spoločnosti Balabit., „Systémy strojového učenia rozpoznávajú vzorce a zvýrazňujú anomólie, ktoré pomáhajú ľuďom pochopiť situáciu a podľa potreby na ňu podniknúť kroky, “ povedal Scheidler. „A strojové učenie vykonáva túto analýzu automatizovaným spôsobom; tie isté veci ste sa nemohli naučiť len z pohľadu len na denníky transakcií.“
Kde ML opravuje slabiny zabezpečenia
Našťastie rovnaké zásady ML, ktoré vám môžu pomôcť pri rozhodovaní o kúpe novej knihy, môžu zvýšiť bezpečnosť vašej firemnej siete. Dodávatelia IT v skutočnosti tvrdia, že predajcovia IT spoločnosti Fortscale majú trochu sklon k ML strane. Oddelenia marketingu mohli vidieť finančné výhody na začiatku prijatia ML, najmä preto, že náklady na nesprávnu prácu boli minimálne. Odporúčanie nesprávnej knihy nezruší sieť nikoho. Odborníci na bezpečnosť potrebovali väčšiu istotu o technológii a zdá sa, že ju konečne majú.
Úprimne povedané, je čas. Pretože súčasné spôsoby riešenia bezpečnosti sú rušivé a reaktívne. Horšie: Čistý objem nových bezpečnostných nástrojov a rôznorodých nástrojov na zhromažďovanie údajov vyústil do príliš veľkého množstva vstupov aj pre pozorovateľov.
„Väčšina spoločností je zaplavená tisíckami upozornení denne, z ktorých prevažujú falošné poplachy, “ povedal David Thompson, hlavný riaditeľ produktového manažmentu v bezpečnostnej spoločnosti LightCyber. „Aj keby sa výstraha videla, pravdepodobne by sa považovala za mimoriadnu udalosť a nepochopila by sa ako súčasť väčšieho organizovaného útoku.“
Thompson cituje správu Gartnera, podľa ktorej je väčšina útočníkov v priemere päť mesiacov nezistená. Tieto falošné poplachy môžu mať za následok aj nahnevaných používateľov, zdôraznil Ting-Fang Yen, vedecký pracovník spoločnosti DataVisor, vždy, keď sú zamestnanci zablokovaní alebo označení chybou, nehovoriac o čase, ktorý IT tím strávil riešením problémov.
Prvým krokom v oblasti IT bezpečnosti pomocou ML je analýza sieťovej aktivity. Algoritmy hodnotia vzorce aktivity, porovnávajú ich s minulým správaním a určujú, či súčasná činnosť predstavuje hrozbu. Na pomoc dodávateľom, ako je napríklad Core Security, sa hodnotia sieťové údaje, ako napríklad správanie používateľov pri vyhľadávaní DNS a komunikačné protokoly v rámci požiadaviek
Niektoré analýzy prebiehajú v reálnom čase a iné riešenia ML skúmajú záznamy transakcií a ďalšie protokolové súbory. Napríklad produkt spoločnosti Fortscale zaznamenáva zneužitia hrozieb vrátane hrozieb, ktoré zahŕňajú ukradnuté poverenia. „Zameriavame sa na protokoly o prístupe a autentifikácii, ale tieto protokoly môžu pochádzať takmer odkiaľkoľvek: Active Directory, Salesforce, Kerberos, vaše vlastné aplikácie na korunovačné klenoty, “ povedal Tendler spoločnosti Fortscale. "Čím viac rozmanitosti, tým lepšie." Tam, kde ML predstavuje zásadný rozdiel, je to, že dokáže zmeniť skromné a často ignorované protokoly o hospodárení organizácie na cenné, vysoko efektívne a lacné zdroje spravodajských informácií o hrozbách.
A tieto stratégie robia zmenu. Talianska banka s menej ako 100 000 používateľmi zaznamenala zasvätenú hrozbu zahŕňajúcu rozsiahlu exiltráciu citlivých údajov do skupiny neidentifikovaných počítačov. Konkrétne boli legitímne poverenia používateľov použité na odosielanie veľkého množstva údajov mimo organizácie cez Facebook. Banka nasadila systém Darktrace Enterprise Immune System poháňaný ML, ktorý zistil neobvyklé správanie do troch minút, keď sa podnikový server pripojil k Facebooku - netypická aktivita, uviedol Dave Palmer, technologický riaditeľ v Darktrace.
Systém okamžite vydal varovanie o hrozbe, ktoré umožnilo bezpečnostnému tímu banky reagovať. Nakoniec, vyšetrovanie viedlo k správcovi systému, ktorý neúmyselne stiahol malvér, ktorý zachytil server banky v bitcoinovom ťažobnom botnete - skupine strojov kontrolovaných hackermi. Za menej ako tri minúty spoločnosť triagovala, vyšetrovala v reálnom čase a začala reagovať - bez straty podnikových údajov alebo poškodenia operačných služieb zákazníkov, uviedol Palmer.
Monitorovanie používateľov, nie kontroly prístupu alebo zariadení
Počítačové systémy však môžu skúmať akýkoľvek druh digitálnej stopy. A práve v týchto dňoch sa venuje veľká pozornosť dodávateľovi: smerom k vytvoreniu základných línií „známeho dobrého“ správania používateľov organizácie s názvom User Behavior Analytics (UBA). Kontrola prístupu a monitorovanie zariadení idú len doteraz. Je to oveľa lepšie, povedzme niekoľko odborníkov a predajcov, aby sa používatelia stali stredobodom záujmu o bezpečnosť, o čom je všetko UBA.
„UBA je spôsob, ako sledovať, čo ľudia robia, a všimnúť si, či robia niečo neobvyklé, “ povedal Balabit's Scheidler. Produkt (v tomto prípade Balabit's Blindspotter a Shell Control Box) vytvára digitálnu databázu typického správania každého používateľa, čo je proces, ktorý trvá asi tri mesiace. Potom softvér rozpozná anomálie z tejto základnej línie. Systém ML vytvára skóre toho, ako sa užívateľské konto „vypína“ spolu s kritickosťou problému. Varovania sa generujú vždy, keď skóre prekročí prahovú hodnotu.
„Analytics sa snaží rozhodnúť, či ste sami sebou, “ povedal Scheidler. Napríklad databázový analytik pravidelne používa určité nástroje. Ak sa teda prihlási z nezvyčajného miesta v nezvyčajnom čase a získa prístup k nezvyčajným aplikáciám, systém dospeje k záveru, že jej účet môže byť ohrozený.
Medzi charakteristiky UBA sledované programom Balabit patria historické návyky používateľa (čas prihlásenia, bežne používané aplikácie a príkazy), vlastníctvo (rozlíšenie obrazovky, použitie trackpadu, verzia operačného systému), kontext (ISP, údaje GPS, umiestnenie, počítadlá sieťovej prevádzky). a dedičnosť (niečo, čo ste). V druhej kategórii je analýza pohybu myši a dynamika stlačenia klávesov, čím systém mapuje, ako tvrdé a rýchle prsty používateľa narážajú na klávesnicu.
Zatiaľ čo fascinujúci geek, Scheidler varuje, že merania myši a klávesnice ešte nie sú spoľahlivé. Napríklad povedal, že identifikácia stlačení klávesov je spoľahlivá asi na 90 percent, takže nástroje spoločnosti sa v tejto oblasti príliš nespoliehajú na anomálie. Okrem toho sa správanie používateľov po celý čas mierne líši; ak máte v ruke stresujúci deň alebo bolesť, pohyby myši sú rôzne.
„Keďže pracujeme s mnohými aspektmi správania používateľov a agregovaná hodnota je porovnateľná so základným profilom, celkovo má veľmi vysokú spoľahlivosť, ktorá sa konvertuje na 100 percent, “ povedal Scheidler.
Balabit určite nie je jediný predajca, ktorého produkty používajú na identifikáciu bezpečnostných udalostí UBA. Napríklad Cybereason používa podobnú metodológiu na identifikáciu správania, ktoré dáva pozorným ľuďom povedať: „Hmm, to je zábavné.“
Vysvetľuje CTO spoločnosti Yberatan Streim Amit z Cybereason: „Keď naša platforma vidí anomáliu - James pracuje neskoro - môžeme ju korelovať s inými známymi správaním a relevantnými údajmi. Používa rovnaké aplikácie a vzory prístupu? so všetkou komunikáciou smerujúcou k jeho manažérovi, kto odpovedá späť? “ Cybereason analyzuje anomáliu Jamesa, ktorý pracuje neobvykle neskoro, s dlhým zoznamom ďalších pozorovaných údajov, aby poskytol kontext na určenie, či je výstraha falošne pozitívna alebo legitímna.
Je úlohou IT nájsť odpovede, ale určite to pomôže mať softvér, ktorý môže klásť správne otázky. Napríklad dvaja používatelia v zdravotníckej organizácii mali prístup k záznamom zosnulých pacientov. „Prečo by sa niekto pozeral na pacientov, ktorí zomreli pred dvoma alebo tromi rokmi, pokiaľ nechcete urobiť nejaký druh identity alebo lekárskeho podvodu?“ žiada Amit Kulkarni, generálny riaditeľ spoločnosti Cognetyx. Pri identifikácii tohto bezpečnostného rizika systém Cognetyx identifikoval nevhodný prístup založený na bežných činnostiach tohto oddelenia a porovnával správanie oboch používateľov s správaním prístupových vzorov ich rovesníkov a s ich vlastným bežným správaním.
„Podľa definície sú systémy strojového učenia iteratívne a automatizované, “ uviedol Tendler spoločnosti Fortscale. „Vyzerajú, že„ porovnávajú “nové údaje s údajmi, ktoré predtým videli, ale„ nevylúčia “nič z ruky alebo automaticky„ nevyhadzujú “neočakávané alebo hraničné výsledky.“
Algoritmy Fortscale teda hľadajú v štruktúre údajov skryté štruktúry, aj keď nevedia, ako táto štruktúra vyzerá. „Aj keď zistíme neočakávané, poskytuje krmivo, na ktorom je možné vybudovať novú mapu vzorov. To robí strojové učenie omnoho silnejším ako deterministické súbory pravidiel: Systémy strojového učenia môžu nájsť bezpečnostné problémy, ktoré sa nikdy predtým nevideli.“ “
Čo sa stane, keď systém ML nájde anomálie? Všeobecne tieto nástroje odovzdávajú výstrahy človeku, aby nejakým spôsobom zavolali, pretože vedľajšie účinky falošného pozitíva poškodzujú spoločnosť a jej zákazníkov. „Riešenie problémov a forenzná analýza si vyžaduje ľudské skúsenosti, “ tvrdí Balabit's Scheidler. Ideálne je, že generované výstrahy sú presné a automatizované a dashboardy poskytujú užitočný prehľad o stave systému so schopnosťou vŕtať sa do správania „hej, to je čudné“.
Zdroj: Balabit.com (Kliknutím na obrázok vyššie zobrazíte úplné zobrazenie.)
Je to len začiatok
Nepredpokladajte, že bezpečnosť ML a IT je dokonalým riešením, ako je čokoláda a arašidové maslo alebo mačky a internet. Toto je nedokončená práca, ktorá však získa viac energie a užitočnosti, pretože produkty získajú viac funkcií, integráciu aplikácií a technické vylepšenia.
V krátkodobom horizonte hľadajte pokrok v automatizácii, aby tímy bezpečnosti a prevádzky mohli získať prehľad o nových údajoch rýchlejšie a s menším zásahom človeka. V nasledujúcich dvoch alebo troch rokoch, uviedol Mike Paquette, viceprezident pre produkty spoločnosti Prelert, „očakávame pokrok v dvoch formách: rozšírená knižnica vopred nakonfigurovaných prípadov použitia, ktoré identifikujú správanie pri útokoch a pokroky v automatizovanom výbere a konfigurácii funkcií, čím sa zníži potreba konzultácií. “
Ďalším krokom sú samoučiace sa systémy, ktoré dokážu bojovať proti útokom samy o sebe, uviedol Palmer z Darktrace. „Budú reagovať na objavujúce sa riziká spôsobené malvérom, hackermi alebo nespokojnými zamestnancami spôsobom, ktorý chápe úplný kontext normálneho správania jednotlivých zariadení a celkových obchodných procesov, namiesto toho, aby robili individuálne binárne rozhodnutia, ako sú tradičné obrany. Bude to rozhodujúce reagovať na rýchlejšie sa pohybujúce útoky, ako sú útoky založené na vydieraní, ktoré sa premenia na útok na akýkoľvek cenný majetok (nielen na súborové systémy) a budú navrhnuté tak, aby reagovali rýchlejšie, ako je možné u ľudí. ““
Je to vzrušujúca oblasť s množstvom sľubov. Kombinácia nástrojov ML a pokročilých bezpečnostných nástrojov nielenže dáva odborníkom v oblasti IT nové nástroje na používanie, ale čo je dôležitejšie, poskytuje im nástroje, ktoré im umožnia vykonávať svoju prácu presnejšie, ale stále rýchlejšie ako kedykoľvek predtým. Aj keď nejde o striebornú guľku, je to významný krok vpred v scenári, v ktorom mali zlí ľudia všetky výhody príliš dlho.