Vídeo: ¡Gráficos Next Gen! ¿Puede tu PC con ello? Y rompemos algunos mitos! (De novembre 2024)
La seguretat informàtica és un forat perillós i costós. Es gasten grans quantitats de diners protegint dades i xarxes de l’empresa. Les hordes de dolents estan motivades a trencar-se i les conseqüències per al fracàs són més doloroses que el cost de la protecció.
Pitjor, són intrusives les maneres actuals de tractar els agents de seguretat (OSC) amb la seguretat. Tot i que les eines de seguretat bàsiques com la protecció d’endpoints gestionats sempre seran necessàries, cadascú de nosaltres ha preocupat la dificultat de gestionar contrasenyes, ha discutit els drets d’accés al programari que necessitem i s’ha queixat de les barreres entre nosaltres i el treball que hem de fer.. Si els procediments de seguretat funcionessin el 100 per cent de les vegades, potser estaríem bé, però heu notat quantes infraccions encara es denuncien? Jo també. Feu un cop d’ull a com ha esclatat el nombre d’incompliments de dades a l’any en aquest gràfic següent (mitjançant analítica de dades i blog de visualització Sparkling Data). El gràfic mostra els incompliments de dades des del 2009, es van desglossar per tipus d'indústria i per quants milions de registres es van comprometre:
Font: 24 de juliol de 2016 ; Anàlisi de les dades d’incompliment HIPAA ; Dades escumoses
Però també hi ha bones notícies. Les mateixes tecnologies d’aprenentatge automàtic (ML) i algorismes analítics predictius que us proporcionen recomanacions de llibres útils i que alimenten la vostra intel·ligència empresarial més avançada i la visualització de dades. s'estan incorporant eines a les eines de seguretat informàtica. Els experts denuncien que, probablement, no gastareu menys diners en la seguretat informàtica de la vostra empresa, però almenys el vostre personal treballarà de manera més eficient i tindrà una millor possibilitat de trobar pirates informàtics i programari maliciós abans que es produeixin danys.
La combinació de seguretat de ML i informàtica pot ser certament etiquetada com a "tecnologia emergent", però el que fa fresc és que no estem parlant d'una sola tecnologia. La ML consta de diversos tipus de tecnologia, cadascuna d’elles aplicada de diverses maneres. I, com que tants venedors treballen en aquest àmbit, aconseguim veure tota una nova categoria de tecnologia competir, evolucionar i, amb sort, proporcionar beneficis a tots nosaltres.
Llavors, què és l'aprenentatge automàtic?
ML permet a un ordinador ensenyar-se alguna cosa sense haver de ser programat explícitament. Ho fa accedint a grans conjunts de dades, sovint a grans.
"Amb l'aprenentatge automàtic, podem donar a un ordinador 10.000 imatges de gats i dir-ho:" És el que sembla un gat. I després podeu donar a l’ordinador 10.000 fotografies sense etiqueta i demanar-li que esbrini quines són les gats ", explica Adam Porter-Price, un associat principal de Booz Allen. El model millora a mesura que aporteu comentaris del sistema, tant si la seva suposició és correcta com si és incorrecta. Amb el pas del temps, el sistema s’aconsegueix amb més precisió a l’hora de determinar si la foto inclou un gat (com, per descomptat, totes les fotos haurien de fer).
Aquesta no és una tecnologia totalment nova, tot i que els avenços recents en equips més ràpids, millors algoritmes i eines Big Data han millorat les coses. "L'aprenentatge de màquines (sobretot aplicat a modelar comportaments humans) ha estat durant molt de temps", va dir Idan Tendler, director general de Fortscale. "És un component fonamental dels costats quantitatius de moltes disciplines, que van des dels preus aèries a la votació política fins al sondeig polític fins al màrqueting de menjar ràpid fins als anys seixanta".
Els usos moderns més evidents i reconeixibles es troben en els esforços de màrqueting. Quan compres un llibre a Amazon, per exemple, la seva recomanació genera motors sobre vendes anteriors i suggereix que hi hagi llibres addicionals, que probablement els agradarà (per exemple, a les persones que els agrada Yendi de Steven Brust també poden agradar les novel·les de Jim Butcher), cosa que es tradueix en més vendes de llibres. Això s'aplica ML aquí mateix. Un altre exemple pot ser una empresa que utilitza les dades de gestió de relacions amb els clients (CRM) per analitzar el desgast dels clients, o una companyia aèria que utilitza ML per analitzar quants punts de recompensa incentiven els flyers freqüents a acceptar una oferta determinada.
Com més dades recopilin i analitzin un sistema informàtic, millor serà la seva informació (i la seva identificació de fotografies de gats). A més, amb l’arribada de Big Data, els sistemes ML poden agrupar informació de diverses fonts. Un minorista en línia pot mirar més enllà dels seus propis conjunts de dades per incloure l’anàlisi de les dades i informació dels navegadors web del client, per exemple.
ML considera dades que són massa importants per comprendre els humans (com ara milions de línies de fitxers de registre de xarxa o un gran nombre de transaccions de comerç electrònic) i ho converteix en una cosa més fàcil d'entendre, va dir Balázs Scheidler, venedor de les eines de seguretat informàtica Balabit..
"Els sistemes d'aprenentatge automàtic reconeixen els patrons i destaquen les anomolies, que ajuden els humans a copsar una situació i, si escau, a prendre mesures sobre ella", va dir Scheidler. "I l'aprenentatge automàtic fa aquesta anàlisi de forma automatitzada; no podríeu aprendre les mateixes coses només buscant només els registres de transaccions."
On ML enganxa les debilitats de seguretat
Afortunadament, els mateixos principis de ML que us poden ajudar a decidir sobre una nova compra de llibres poden fer que la vostra empresa sigui més segura. De fet, va dir el licitador de Fortscale, els venedors d’informàtica arriben una mica tard al partit de ML. Els departaments de màrqueting podrien veure beneficis financers en l’adopció primerenca de ML, sobretot perquè el cost d’equivocar-se era mínim. Recomanar el llibre equivocat no eliminarà la xarxa de ningú. Els especialistes en seguretat necessitaven més seguretat sobre la tecnologia i sembla que finalment la tenen.
Francament, ja és hora. Perquè les maneres actuals d’afrontar la seguretat són intrusives i reactives. Pitjor: el poc volum de noves eines de seguretat i eines de recollida de dades diferents ha suposat una entrada massa inclosa per als observadors.
"La majoria de les empreses estan inundades amb milers d'alertes al dia, dominades en gran mesura per falsos positius", va dir David Thompson, director general de Gestió de Productes de la companyia de seguretat informàtica LightCyber. "Fins i tot si es mostra l'alerta, és probable que es vegi com un esdeveniment singular i no s'entén que formés part d'un atac més gran i orquestrat".
Thompson cita un informe de Gartner que assegura que la majoria dels atacants són desapercebuts durant una mitjana de cinc mesos . Ting-Fang Yen, científic investigador de DataVisor, va indicar que aquests falsos positius també poden causar usuaris enfadats, sempre que els empleats estiguin bloquejats o assenyalats per error, sense oblidar el temps que dedica l'equip informàtic a resoldre els problemes.
Per tant, la primera presa de seguretat de les TI mitjançant ML és analitzar l'activitat de la xarxa. Els algoritmes avaluen els patrons d’activitat, comparant-los amb el comportament passat i determinen si l’activitat actual representa una amenaça. Per ajudar-vos, venedors com Core Security avaluen dades de xarxa com el comportament de cerca DNS dels usuaris i els protocols de comunicació dins de les sol·licituds
Algunes anàlisis es produeixen en temps real, i altres solucions ML examinen els registres de transaccions i altres fitxers de registre. Per exemple, el producte de Fortscale mostra amenaces privilegiades, incloses amenaces que impliquen credencials robades. "Ens centrem en els registres d'accés i autenticació, però els registres poden provenir de gairebé qualsevol lloc: Active Directory, Salesforce, Kerberos, les vostres pròpies" aplicacions de joies de corona ", va dir el licitador de Fortscale. "Com més varietat, millor." Aquí, quan ML fa una diferència clau és que pot convertir els registres de neteja humils i ofegats per a una organització en fonts d’intel·ligència amenaçables, altament efectives i econòmiques.
I aquestes estratègies marquen la diferència. Un banc italià amb menys de 100.000 usuaris va experimentar una amenaça privilegiada que suposava una exfiltració a gran escala de dades sensibles a un grup d’ordinadors no identificats. Concretament, es van utilitzar credencials legítimes d'usuari per enviar grans volums de dades fora de l'organització a través de Facebook. El banc va desplegar el sistema immunitari Enterprise Darktrace de ML, que va detectar un comportament anòmal als tres minuts quan un servidor de la companyia es va connectar a Facebook, una activitat poc característica, va dir Dave Palmer, director de Tecnologia de Darktrace.
El sistema va emetre immediatament una alerta d’amenaça, que va permetre que l’equip de seguretat del banc respongués. Finalment, una investigació va conduir a un administrador de sistemes que havia descarregat inadvertidament programari maliciós que va atrapar el servidor del banc en una botnet minera bitcoin, un grup de màquines controlades per pirates informàtics. En menys de tres minuts, la companyia va triar, investigar-se en temps real i va començar la seva resposta, sense pèrdues de dades corporatives ni danys en els serveis operatius del client, va dir Palmer.
Supervisió dels usuaris, sense control d'accés ni dispositius
Però els sistemes informàtics poden investigar qualsevol tipus d’empremta digital. I és aquí on es dirigeix molta atenció als venedors: cap a la creació de línies bàsiques de comportament "conegut" dels usuaris d'una organització anomenats User Behavior Analytics (UBA). El control d’accés i la supervisió de dispositius només van fins ara. Molt millor, diuen diversos experts i venedors, fer que els usuaris siguin el focus central de seguretat, que és el que es tracta d’UBA.
"UBA és una manera de veure el que fa la gent i de notar si estan fent alguna cosa fora del comú", va dir Scheidler de Balabit. El producte (en aquest cas, Balabit's Blindspotter i Shell Control Box) construeix una base de dades digital del comportament típic de cada usuari, un procés que triga uns tres mesos. A partir d’aleshores, el programari reconeix anomalies des d’aquesta línia de base. El sistema ML crea una part de com està "desactivat" un compte d'usuari, juntament amb la criticitat del problema. Es generen alertes sempre que la puntuació excedeixi un llindar.
"Analytics intenta decidir si ets tu mateix", va dir Scheidler. Per exemple, un analista de bases de dades utilitza regularment determinades eines. Així doncs, si inicia la sessió des d'una ubicació inusual en un moment inusual i accedeix a aplicacions inusuals, el sistema conclou que el seu compte pot estar compromès.
Les característiques de la UBA rastrejades per Balabit inclouen els hàbits històrics de l’usuari (temps d’inici de sessió, aplicacions d’ús comú i comandaments), possessions (resolució de pantalla, ús del trackpad, versió del sistema operatiu), context (ISP, dades GPS, ubicació, comptadors de trànsit de xarxa), i inherència (alguna cosa que sou). En aquesta darrera categoria es troben l’anàlisi del moviment del ratolí i la dinàmica de cops de teclat, de manera que el sistema mapeja amb quina velocitat i rapidesa els dits d’un usuari trontollen el teclat.
Encara que és fascinant en termes frikis, Scheidler adverteix que les mesures del ratolí i el teclat encara no són a prova d’impacte. Per exemple, va dir, identificar les pulsacions de algú és aproximadament un 90 per cent fiable, de manera que les eines de la companyia no es basen en una anomalia en aquesta àrea. A més, el comportament dels usuaris és lleugerament diferent en tot moment; si tens un dia estressant o un dolor a la mà, els moviments del ratolí són diferents.
"Com que treballem amb molts aspectes del comportament dels usuaris i el valor agregat és el que cal comparar amb el perfil de base, en conjunt té una fiabilitat molt elevada que arriba al 100 per cent", va dir Scheidler.
Balabit certament no és l’únic venedor que els seus productes utilitzen UBA per identificar esdeveniments de seguretat. La cibereason, per exemple, utilitza una metodologia similar per identificar un comportament que fa que els humans atents diguin: "Hmm, això és divertit".
Explica el CTO de Cybereason, Yonatan Streim Amit: "Quan la nostra plataforma veu una anomalia –James treballa tard–, la podem correlacionar amb altres comportaments coneguts i dades rellevants. Està fent servir les mateixes aplicacions i patrons d'accés? Envia dades a algú a qui mai comunica. amb o totes les comunicacions es dirigeixen al seu gestor, que respon? " La ciberreació analitza l’anomalia de que James treballa anormalment tard amb una llarga llista d’altres dades observades per proporcionar un context per determinar si una alerta és una preocupació falsa o positiva o legítima.
És tasca de la TI per trobar respostes, però segur que ajuda a tenir un programari que pugui plantejar les preguntes correctes. Per exemple, dos usuaris d’una organització sanitària tenien accés als registres de pacients morts. "Per què algú estaria mirant pacients que van morir fa dos o tres anys, tret que vulguis fer algun tipus d'identitat o frau mèdic?" pregunta Amit Kulkarni, directora general de Cognetyx. A l’hora d’identificar aquest risc de seguretat, el sistema Cognetyx va identificar l’accés inapropiat en funció de les activitats normals d’aquest departament i va comparar el comportament dels dos usuaris amb el dels patrons d’accés dels seus companys i el seu propi comportament normal.
"Per definició, els sistemes d'aprenentatge automàtic són iteratius i automatitzats", va dir el licitador de Fortscale. "Es veuen per" fer coincidir "les dades noves respecte al que han vist abans, però no" desqualificaran "res de la mà ni" llençaran "resultats inesperats o fora de límit".
Així que els algorismes de Fortscale busquen estructures ocultes en un conjunt de dades, fins i tot quan no saben com és l'estructura. "Fins i tot si ens trobem amb l'inesperat, proporciona pinso sobre el qual construir un nou patró. Això és el que fa que l'aprenentatge de màquines sigui molt més potent que els regles deterministes: els sistemes d'aprenentatge automàtic poden trobar problemes de seguretat que mai no s'han vist abans."
Què passa quan el sistema ML troba una anomalia? Generalment, aquestes eines transmeten alertes a un ésser humà per fer una trucada final d'alguna manera, ja que els efectes secundaris d'un fals positiu perjudiquen l'empresa i els seus clients. "La resolució de problemes i els forensics necessiten coneixements humans", afirma Scheidler de Balabit. L’ideal és que les alertes generades siguin exactes i automatitzades, i els taulers de taula donin una visió útil de l’estat del sistema amb la possibilitat de perforar un comportament “bo, això és estrany”.
Font: Balabit.com (Feu clic al gràfic superior per veure la vista completa.)
És només el començament
No suposeu que la seguretat de ML i informàtica és una combinació perfecta com la xocolata i la mantega de cacauet o els gats i internet. Es tracta d’un treball en curs, tot i que guanyarà més potència i utilitat a mesura que els productes guarden més funcions, integració d’aplicacions i millores tecnològiques.
A curt termini, busqueu avenços en automatització de manera que els equips de seguretat i operacions puguin obtenir nous coneixements de dades més ràpidament i amb menys intervenció humana. En els propers dos o tres anys, va dir Mike Paquette, vicepresident de productes de Prelert, "esperem que els avenços arribin de dues formes: una biblioteca ampliada de casos d'ús preconfigurats que identifiquen comportaments d'atac i avenços en la selecció i configuració automatitzada de funcions, reduint. la necessitat de consultar els compromisos ".
Els següents passos són sistemes d’autoaprenentatge que puguin lluitar contra atacs pel seu compte, va dir el responsable de Darktrace. "Respondran als riscos emergents de programari maliciós, pirates informàtics o empleats desafectats d'una manera que entengui el context complet del comportament normal dels dispositius individuals i els processos generals de negoci, en lloc de prendre decisions binàries individuals com les defenses tradicionals. Això serà crucial per respondre a atacs en moviment més ràpid, com els atacs basats en extorsió, es transformaran en atacar qualsevol actiu valuós (no només en sistemes de fitxers) i estaran dissenyats per reaccionar més ràpidament del que sigui possible els éssers humans ".
Aquesta és una zona emocionant i amb moltes promeses. La combinació d’eines de seguretat ML i avançades no només proporciona als professionals de les TI noves eines a utilitzar, sinó que és més important, que els proporciona eines que els permeten fer el seu treball amb més precisió, però encara més ràpid que mai. Tot i que no és una bala de plata, és un important pas endavant en un escenari en què els dolents tenen massa avantatges durant massa temps.