Làm thế nào các doanh nghiệp đang áp dụng ai vào an ninh mạng

Trong bối cảnh mối đe dọa kỹ thuật số nơi các doanh nghiệp liên tục chơi trò đuổi bắt với các vectơ tấn công và lỗ hổng mới, cách phòng thủ tốt nhất mà họ có là điều khiến họ trở thành mục tiêu hấp dẫn của tin tặc: một núi dữ liệu. Chắc chắn, bạn đã có phần mềm mã hóa và bảo vệ điểm cuối. Và bạn đã có bộ phận CNTT và bộ phận bảo mật giám sát cơ sở hạ tầng và nền tảng giám sát mạng để chạy phản ứng sự cố đối với bất kỳ hoạt động hoặc xâm nhập độc hại nào. Nhưng, ngoài các biện pháp phản ứng này, các doanh nghiệp và nhà cung cấp bảo mật khác đang sử dụng trí tuệ nhân tạo (AI) để có cách tiếp cận chủ động.

Bằng cách sử dụng thuật toán học máy (ML) và các kỹ thuật AI khác để xác định các mẫu dữ liệu, hành vi người dùng dễ bị tổn thương và xu hướng bảo mật dự đoán, các công ty đang khai thác và phân tích sự giàu có của dữ liệu để hy vọng ngăn chặn vi phạm tiếp theo xảy ra.

"Chúng tôi có bộ sưu tập tệp khổng lồ: petabyte các tệp mà chúng tôi biết không phải là độc hại và petabyte là độc hại", Rick Howard, Giám đốc an ninh của công ty bảo mật doanh nghiệp Palo Alto Networks cho biết. "ML đang dạy các chương trình tìm phần độc hại mà không cần chúng tôi phải liệt kê tất cả các yếu tố mà họ đang tìm kiếm."

Howard là một phần của hội thảo gần đây có tên "Bảo đảm công nghệ đột phá - Năm năm tiếp theo", trong đó các thành viên hội thảo đã thảo luận về những thách thức đang phát triển đối với bối cảnh an ninh, và cách ML và tự động hóa đang thay đổi cách chúng ta xác định và đối phó với các mối đe dọa. Hội thảo này là một phần của hội nghị thượng đỉnh về an ninh mạng gần đây được tổ chức tại Nasdaq MarketSite ở Quảng trường Thời đại của thành phố New York để vinh danh Tháng nhận thức an ninh mạng quốc gia (NCSAM). Nó được tổ chức bởi Nasdaq và Liên minh an ninh mạng quốc gia (NCSA). Nhà tài trợ sự kiện Cisco, Dell, Palo Alto Networks và ServiceNow, công ty an ninh mạng Tenable và Wells Fargo đã cung cấp tham luận viên cho hội nghị thượng đỉnh.

Tự động hóa phòng thủ của bạn

AI luôn hiện diện trong phần mềm hiện đại. Trợ lý ảo, chatbot và các đề xuất dựa trên thuật toán bao trùm các ứng dụng tiêu dùng và trải nghiệm trực tuyến. Trong khi đó, các doanh nghiệp đang áp dụng ML và các kỹ thuật AI khác cho mọi bit dữ liệu họ thu thập được từ quản lý quan hệ khách hàng (CRM) và dữ liệu bán hàng cho mỗi lần nhấp và ưu tiên bao gồm hành vi của người dùng.

Dữ liệu bảo mật cũng giống như bất kỳ dữ liệu nào khác mà bạn cung cấp cho các mô hình ML. Bạn cung cấp càng nhiều dữ liệu và bạn huấn luyện nó càng tốt, AI sẽ càng chính xác hơn không chỉ đơn giản là xác định các mẫu mà còn trích xuất thông tin phù hợp để mang lại cho bạn lợi thế dự đoán. Áp dụng thành công các kỹ thuật AI đòi hỏi một tầm nhìn rõ ràng về các vấn đề bạn đang nhắm đến để giải quyết. Khi nói đến phản ứng sự cố, điều quan trọng là phải biết ML là gì và nó không phải là gì, theo Renaud Deraison, đồng sáng lập và CTO của Tenable.

"Học máy có nghĩa là đào tạo một triệu lần với một triệu biến thể, vì vậy lần tới khi máy tính gặp phải tình huống, nó sẽ biết phải làm gì", Deraison nói. "Điều này không làm cho nó có thể phát minh ra thứ gì đó. Chúng ta không ở giai đoạn mà chúng ta có thể nói 'máy tính ổn, chỉ cần bảo vệ tôi." "

Mục tiêu là để phần mềm an ninh mạng được truyền tải bằng AI để tự động hóa hoàn toàn dự đoán, phát hiện và phản hồi. Ron Zalkind, CTO của Cisco Cloudlock, đã thảo luận về cách nền tảng bảo mật đám mây của Cisco giải quyết các vấn đề DNS bằng cách áp dụng ML vào cơ sở dữ liệu khổng lồ về hoạt động của người tiêu dùng và doanh nghiệp để xác định khi nào một tác nhân xấu đang cố gắng tràn ngập DNS với dịch vụ từ chối phân tán (DDoS) tấn công. Sử dụng một ví dụ như DDoS botnet Mirai lịch sử đã tấn công nhà cung cấp DNS Dyn năm ngoái, Zalkind cho biết ý tưởng là giải quyết truy vấn DNS đó là một đích xấu và tự động khóa để cắt lưu lượng truy cập khỏi miền độc hại.

Từ trái qua: Giám đốc điều hành NCSA Michael Kaiser, ServiceNow Security CTO Brendan O'Connor, Palo Alto CSO Rick Howard, Dell's David Konetski, Cisco Cloudlock CTO Ron Zalkin và Tenable CTO Renaud Deraison.

Sự thật đáng buồn là, tin tặc và kẻ thù đang chiến thắng. Brendan O'Connor, CTO bảo mật tại ServiceNow, cho biết chúng tôi đã thấy sự đổi mới to lớn trong phòng ngừa và phát hiện nhưng ngành công nghiệp bảo mật đã bị tụt lại phía sau khi có phản ứng tự động. AI đang giúp các nhà cung cấp tạo nên mặt bằng đó.

"Khi chúng tôi xem xét cách chúng tôi phản hồi ngày hôm nay, về cơ bản nó đã không thay đổi trong 10 năm qua", O'Connor nói. "Những vi phạm có hại nhất xảy ra không phải là ninja rơi từ trần xuống như Nhiệm vụ bất khả thi. Chúng tôi không buộc những kẻ tấn công phải cải thiện hoặc thích nghi. Nếu một nhà cung cấp không thể vá trong 30 hoặc 60 hoặc 90 ngày, họ đã không xoay thông tin xác thực và mật khẩu. Kẻ tấn công chỉ có thể tải xuống một công cụ từ internet và khai thác lỗ hổng cũ. "

O'Connor và Howard đã đồng ý rằng những kẻ tấn công thường ngày chỉ đơn giản là sử dụng một lớp công nghệ tiên tiến hơn. Các botnet phần mềm độc hại hiện đại có khả năng phục hồi cao và khó có thể gỡ xuống một máy tính hoặc nút tại một thời điểm. Những kẻ tấn công đã nắm lấy đám mây và đang sử dụng nó như một nền tảng để tấn công các doanh nghiệp. "Đối thủ không gian mạng đã tự động hóa các quy trình của họ và chúng tôi vẫn đang xử lý vấn đề đó khi con người ở phòng sau", Howard nói.

ML chiến đấu tự động hóa với tự động hóa. Các thuật toán phân tích các tập dữ liệu lớn để xem xét mức độ phổ biến của lỗ hổng, dễ thực hiện và một loạt các yếu tố khác. Phân tích này giúp các doanh nghiệp ưu tiên một trong nhiều bản vá mà họ cần triển khai nên được tập trung vào đầu tiên.

Tương lai của an ninh dự đoán

Tự động hóa và phân tích dự đoán trong an ninh mạng đã có từ lâu. Nhưng những tiến bộ trong AI trong nhiều năm qua đã thay đổi cách thức hoạt động của toàn bộ công nghệ. Sau bảng điều khiển, PCMag đã bắt kịp David Konetski của Dell. Ông là thành viên và Phó chủ tịch của Giải pháp khách hàng trong Văn phòng CTO. Dell đã thực hiện nghiên cứu về AI và ML trong nhiều năm, cho những việc như phân tích lỗi dự đoán, điều phối hệ thống và quản lý thiết bị. Konetski giải thích các nỗ lực AI của Dell đã phát triển như thế nào cũng như một số công việc sáng tạo mà công ty đang thực hiện trong bảo mật dự đoán. Công việc liên quan đến phân tích phần mềm độc hại, phân tích hành vi người dùng và phát hiện bất thường.

"Chúng tôi là một trong những người đầu tiên thực hiện phân tích thất bại dự đoán, " Konetski nói. "Chúng tôi nhận ra có rất nhiều thiết bị trong các hộp và hệ thống quản lý nhận được một lượng dữ liệu khổng lồ về những gì đang diễn ra trong mạng. Bạn có thể biết khi nào pin hoặc ổ cứng có thể bị hỏng không?"

Phân tích lỗi dự đoán đã bắt đầu với các khách hàng doanh nghiệp trước khi được đưa vào các dịch vụ khách hàng của Dell, với việc tự động hóa bổ sung như kích hoạt email thông báo cho khách hàng đặt mua pin mới trong khi nó vẫn được bảo hành. Trong thế giới bảo mật, ML dự đoán đó hiện được áp dụng để bảo vệ mối đe dọa tiên tiến (ATP). Vào năm 2015, Dell đã hợp tác với công ty bảo vệ mối đe dọa dựa trên AI để vượt xa việc đơn giản gắn thẻ một tệp là độc hại. Thay vào đó, họ xem xét DNA của một tệp để xác định ý định của nó trước khi nó chạy.

"Chúng tôi đã sử dụng các khả năng bảo vệ dữ liệu của mình và đã nâng cao môi trường đó để bảo vệ dữ liệu tại điểm gốc, khi nó di chuyển và đặt một số kiểm soát truy cập xung quanh nó để bây giờ bạn biết, với tư cách là một nhân viên CNTT, nơi tất cả dữ liệu của bạn Konetski đang được sử dụng trên thế giới, bởi ai và như thế nào. Điều đó chưa từng có trước đây ", Konetski nói.

"Làm thế nào để bạn làm điều đó? Bạn nhìn vào hành vi của phần mềm, " Konetski tiếp tục. "Phần mềm đang làm mọi thứ theo một kiểu lạ hay độc hại? Đó là thế hệ phân tích hành vi đầu tiên. Và bây giờ thế hệ tiếp theo không chỉ nhìn vào mà cả hành vi cá nhân của bạn hoặc hành vi của máy, tùy thuộc vào đó là IoT hay máy tính cá nhân AI đang tìm kiếm hành vi bất thường có thể ổn, nhưng với tư cách là CTO, nếu tôi truy cập tất cả dữ liệu khách hàng của mình, tôi có thể bị gắn cờ với một cảnh báo như 'Bạn có nhận ra mình đang làm gì, có hay không ? ' Và theo cách đó, người dùng được đào tạo và biết rằng hệ thống đang theo dõi. "

Bước tiếp theo đó liên quan đến việc sử dụng AI với các phân tích hành vi người dùng để tránh các rủi ro an ninh mạng chủ động hơn từ bên trong một tổ chức. Lỗi của con người thường là nguồn gốc của các vi phạm và lỗ hổng bảo mật, có thể là mật khẩu mặc định, nỗ lực lừa đảo thành công hoặc trong trường hợp ngừng hoạt động Amazon S3 gần đây, lỗi chính tả.

Đối với một công ty như Dell cần giải quyết các lỗ hổng trong toàn bộ phần cứng và phần mềm, tập trung vào người dùng và tận dụng AI để ngăn chặn các mối đe dọa tiềm tàng tại nguồn của họ là cách hiệu quả hơn để đưa dữ liệu đó hoạt động. Nó không chỉ là về những gì các thuật toán ML đang phát hiện ra bên ngoài và các khả năng giảm thiểu mối đe dọa dự đoán mà AI cung cấp. Mặt khác của việc này là biến dữ liệu đó thành lời nhắc tự nhiên, nội bộ cho nhân viên trong tổ chức của bạn.

"Cho dù đó là người tiêu dùng hay doanh nghiệp, nếu tôi có thể cảnh báo bạn một chút và nói 'Bạn có chắc chắn muốn thực hiện nhấp chuột tiếp theo không? Chúng tôi đã phát hiện một mẫu được xác định là có khả năng gây hại.' Đó là phân tích hành vi người dùng kết hợp với kiến ​​thức về các kiểu tấn công, "Konetski giải thích.

Dell cũng đang làm việc để sử dụng bối cảnh của người dùng và máy để đưa ra quyết định thông minh về những gì bạn có quyền truy cập. Một giải pháp doanh nghiệp được quản lý ra mắt trong năm nay có tên Dell Data Guardian có cái mà Konetski gọi là khả năng kiểm soát truy cập "sớm" sẽ phát triển thành một cách sâu hơn để bảo vệ cơ sở hạ tầng mạng. Hãy tưởng tượng AI biết bạn là ai, bạn đang sử dụng thiết bị gì, bạn đang ở đâu trên thế giới và phân loại dữ liệu đó với ML để đưa ra quyết định kiểm soát truy cập thông minh.

"Vì vậy, ngày nay, nếu bạn ở một quốc gia Đông Âu đang cố gắng truy cập dữ liệu ở Austin, Texas, sẽ có điều gì đó buồn cười đang diễn ra. Những điều đơn giản như chúng ta có thể làm hôm nay", Konetski nói. "Đi tiếp, có lẽ tôi chỉ muốn cấp cho bạn quyền truy cập chỉ đọc. Có lẽ tôi muốn cấp cho bạn quyền truy cập từ xa nên tôi đang lưu trữ một ứng dụng trong trung tâm dữ liệu của mình và tôi sẽ chỉ cho bạn xem qua trình duyệt HTML5 Có lẽ tôi thấy bạn đang ở trên thiết bị công ty của bạn đằng sau tường lửa và mọi thứ đều được vá nên tôi đưa cho bạn một chìa khóa.

"Phần quan trọng, và những gì AI và ML cho phép chúng tôi làm, là thực hiện tất cả những điều này một cách minh bạch cho người dùng cuối. Vì vậy, khi bạn đang tìm kiếm quyền truy cập vào tệp đó, bạn không nhận ra chúng tôi có tất cả những điều này điều khiển trong nền, tất cả đều trông liền mạch với bạn. "