Video: Phim ngắn kêu gá»i cá»ng Äá»ng 'quay lÆ°ng' vá»i sừng tê giác (Tháng Chín 2024)
Bảo mật CNTT là một địa ngục nguy hiểm và đắt tiền. Số tiền khổng lồ được dành để bảo vệ dữ liệu và mạng của công ty. Đám kẻ xấu được thúc đẩy để xâm nhập, và hậu quả cho sự thất bại còn đau đớn hơn cả chi phí bảo vệ.
Tồi tệ hơn, những cách hiện tại mà các nhân viên an ninh trưởng (CSO) đối phó với an ninh là xâm phạm. Mặc dù các công cụ bảo mật cốt lõi như bảo vệ điểm cuối được quản lý sẽ luôn luôn cần thiết, nhưng mỗi người trong chúng ta đều thấy khó khăn trong việc quản lý mật khẩu, chửi rủa về quyền truy cập vào phần mềm chúng ta cần và phàn nàn về các rào cản giữa chúng ta và công việc chúng ta cần làm . Nếu các quy trình bảo mật hoạt động 100% thời gian, có lẽ chúng ta sẽ ổn với nó, nhưng này, bạn có nhận thấy có bao nhiêu vi phạm vẫn được báo cáo không? Tôi cũng vậy. Chỉ cần xem số lượng vi phạm dữ liệu mỗi năm đã bùng nổ trong đồ họa này bên dưới (theo phân tích dữ liệu và blog trực quan Sparkling Data). Đồ họa cho thấy các vi phạm dữ liệu kể từ năm 2009, được chia ra theo loại ngành và có bao nhiêu triệu hồ sơ bị xâm phạm:
Nguồn: ngày 24 tháng 7 năm 2016 ; Phân tích dữ liệu vi phạm HIPAA ; Dữ liệu lấp lánh
Nhưng cũng có tin tốt. Các công nghệ máy học (ML) tương tự và các thuật toán phân tích dự đoán cung cấp cho bạn các đề xuất sách hữu ích và tăng sức mạnh cho trí tuệ kinh doanh tự phục vụ (BI) tiên tiến nhất của bạn và trực quan hóa dữ liệu các công cụ đang được tích hợp vào các công cụ bảo mật CNTT. Các chuyên gia báo cáo rằng bạn có thể sẽ không chi ít tiền hơn cho bảo mật CNTT của công ty vì điều này, nhưng ít nhất nhân viên của bạn sẽ làm việc hiệu quả hơn và có cơ hội tìm thấy tin tặc và phần mềm độc hại tốt hơn trước khi thiệt hại xảy ra.
Sự kết hợp giữa bảo mật ML và CNTT chắc chắn có thể được gắn nhãn là "công nghệ mới nổi", nhưng điều khiến nó thú vị là chúng ta không nói về chỉ một công nghệ. ML bao gồm một số loại công nghệ, mỗi loại được áp dụng theo nhiều cách khác nhau. Và, bởi vì rất nhiều nhà cung cấp đang làm việc trong lĩnh vực này, chúng tôi có thể xem một thể loại công nghệ hoàn toàn mới cạnh tranh, phát triển và hy vọng mang lại lợi ích cho tất cả chúng ta.
Vậy, Học máy là gì?
ML cho phép một máy tính tự dạy mình một cái gì đó mà không cần phải được lập trình rõ ràng. Nó làm như vậy bằng cách truy cập các tập dữ liệu lớn, thường là những tập hợp lớn.
"Với học máy, chúng tôi có thể cung cấp cho máy tính 10.000 bức ảnh về mèo và nói với nó, 'Đây là con mèo trông như thế nào'. Và sau đó, bạn có thể đưa cho máy tính 10.000 bức ảnh chưa được gắn nhãn và yêu cầu nó tìm ra những con nào là mèo ", Adam Porter-Price, một trợ lý cao cấp tại Booz Allen giải thích. Mô hình cải thiện khi bạn đưa ra phản hồi của hệ thống, cho dù dự đoán của nó là đúng hay không chính xác. Theo thời gian, hệ thống sẽ chính xác hơn trong việc xác định xem ảnh có bao gồm một con mèo hay không (tất nhiên, tất cả các bức ảnh nên).
Đây không phải là một công nghệ hoàn toàn mới, mặc dù những tiến bộ gần đây trong máy tính nhanh hơn, thuật toán tốt hơn và các công cụ Dữ liệu lớn chắc chắn đã cải thiện mọi thứ. "Học máy (đặc biệt là áp dụng để mô hình hóa các hành vi của con người) đã có từ lâu, " Idan Tendler, CEO của Fortscale nói. "Đó là một thành phần cốt lõi của các khía cạnh định lượng của nhiều lĩnh vực, từ giá vé máy bay đến bỏ phiếu chính trị cho đến tiếp thị thức ăn nhanh từ những năm 1960".
Các ứng dụng hiện đại rõ ràng và dễ nhận biết nhất là trong nỗ lực tiếp thị. Ví dụ, khi bạn mua một cuốn sách trên Amazon, công cụ đề xuất của nó sẽ khai thác doanh số trước đó và đề xuất những cuốn sách bổ sung mà bạn có thể sẽ thích (ví dụ: những người thích Yendi của Steven Brust cũng có thể thích tiểu thuyết của Jim Butcher), giúp chuyển sang bán nhiều sách hơn. Đó là ML áp dụng ngay tại đó. Một ví dụ khác có thể là một doanh nghiệp sử dụng dữ liệu quản lý quan hệ khách hàng (CRM) của mình để phân tích khách hàng hoặc một hãng hàng không sử dụng ML để phân tích có bao nhiêu điểm thưởng khuyến khích người bay thường xuyên chấp nhận đề nghị cụ thể.
Hệ thống máy tính thu thập và phân tích càng nhiều dữ liệu, thông tin chi tiết của nó càng tốt (và nhận dạng ảnh mèo của nó). Ngoài ra, với sự ra đời của Dữ liệu lớn, các hệ thống ML có thể gộp thông tin từ nhiều nguồn. Ví dụ, một nhà bán lẻ trực tuyến có thể nhìn xa hơn các bộ dữ liệu của mình để bao gồm phân tích dữ liệu và thông tin trình duyệt web của khách hàng từ các trang đối tác của họ.
ML lấy dữ liệu quá nhiều để con người hiểu được (chẳng hạn như hàng triệu dòng tệp nhật ký mạng hoặc một số lượng lớn giao dịch thương mại điện tử) và biến nó thành một thứ dễ hiểu hơn, Balázs Scheidler, CTO của nhà cung cấp công cụ bảo mật CNTT Balabit nói .
Scheidler nói: "Các hệ thống máy học nhận ra các mô hình và làm nổi bật sự bất thường, giúp con người nắm bắt được tình huống và khi thích hợp sẽ hành động theo nó". "Và học máy thực hiện phân tích này theo cách tự động; bạn không thể học những điều tương tự chỉ đơn giản là chỉ nhìn vào nhật ký giao dịch."
Trường hợp ML Bản vá bảo mật Điểm yếu
May mắn thay, các nguyên tắc ML tương tự có thể giúp bạn quyết định mua sách mới có thể làm cho mạng công ty của bạn an toàn hơn. Trên thực tế, Tendler của Fortscale cho biết, các nhà cung cấp CNTT đến hơi muộn với bữa tiệc ML. Các bộ phận tiếp thị có thể thấy lợi ích tài chính trong việc áp dụng ML sớm, đặc biệt vì chi phí sai là tối thiểu. Đề xuất sách sai sẽ không làm mất mạng của bất kỳ ai. Các chuyên gia bảo mật cần sự chắc chắn hơn về công nghệ và có vẻ như cuối cùng họ đã có nó.
Thành thật mà nói, đó là về thời gian. Bởi vì các cách hiện tại để đối phó với an ninh là xâm nhập và phản ứng. Tồi tệ hơn: Khối lượng lớn các công cụ bảo mật mới và các công cụ thu thập dữ liệu khác nhau đã dẫn đến quá nhiều đầu vào ngay cả đối với người theo dõi.
"Hầu hết các công ty đang tràn ngập hàng ngàn cảnh báo mỗi ngày, phần lớn bị chi phối bởi những thông tin sai lệch", David Thompson, Giám đốc quản lý sản phẩm cao cấp của công ty bảo mật CNTT LightCyber cho biết. "Ngay cả khi cảnh báo được nhìn thấy, nó có thể sẽ được xem như là một sự kiện đơn lẻ và không được hiểu là một phần của một cuộc tấn công lớn hơn, được phối hợp."
Thompson trích dẫn một báo cáo của Gartner cho biết hầu hết những kẻ tấn công không bị phát hiện trong trung bình năm tháng . Những tích cực sai đó cũng có thể khiến người dùng tức giận, chỉ ra Ting-Fang Yen, một nhà khoa học nghiên cứu tại DataVisor, bất cứ khi nào nhân viên bị chặn hoặc gắn cờ bị lỗi, chưa kể đến thời gian của nhóm CNTT để giải quyết các vấn đề.
Vì vậy, chiến thuật đầu tiên trong bảo mật CNTT sử dụng ML là phân tích hoạt động mạng. Các thuật toán đánh giá các mẫu hoạt động, so sánh chúng với hành vi trong quá khứ và chúng xác định xem hoạt động hiện tại có gây ra mối đe dọa hay không. Để giúp đỡ, các nhà cung cấp như Core Security đánh giá dữ liệu mạng như hành vi tra cứu DNS và giao thức liên lạc trong các yêu cầu HTTP.
Một số phân tích xảy ra trong thời gian thực và các giải pháp ML khác kiểm tra hồ sơ giao dịch và các tệp nhật ký khác. Ví dụ: sản phẩm của Fortscale phát hiện các mối đe dọa trong nội bộ, bao gồm các mối đe dọa liên quan đến thông tin bị đánh cắp. "Chúng tôi tập trung vào nhật ký truy cập và xác thực, nhưng nhật ký có thể đến từ hầu hết mọi nơi: Active Directory, Salesforce, Kerberos, " ứng dụng trang sức vương miện của riêng bạn ", " Tendler của Fortscale nói. "Càng đa dạng, càng tốt." Trường hợp ML tạo ra sự khác biệt quan trọng ở đây là nó có thể biến nhật ký vệ sinh khiêm tốn và bị bỏ qua của một tổ chức thành các nguồn thông tin về mối đe dọa giá trị, hiệu quả cao và giá rẻ.
Và những chiến lược này đang tạo ra sự khác biệt. Một ngân hàng Ý có dưới 100.000 người dùng đã trải qua một mối đe dọa nội bộ liên quan đến việc lọc dữ liệu nhạy cảm trên quy mô lớn đối với một nhóm các máy tính không xác định. Cụ thể, thông tin người dùng hợp pháp đã được sử dụng để gửi khối lượng lớn dữ liệu bên ngoài tổ chức thông qua Facebook. Dave Palmer, Giám đốc Công nghệ của Darktrace cho biết, ngân hàng đã triển khai Hệ thống Miễn dịch Doanh nghiệp Darktrace do ML cung cấp, đã phát hiện hành vi bất thường trong vòng ba phút khi một máy chủ của công ty kết nối với Facebook một hoạt động không phổ biến.
Hệ thống ngay lập tức đưa ra cảnh báo về mối đe dọa, cho phép đội an ninh của ngân hàng phản hồi. Cuối cùng, một cuộc điều tra đã dẫn đến một quản trị viên hệ thống đã vô tình tải xuống phần mềm độc hại đã nhốt máy chủ của ngân hàng trong mạng botnet khai thác bitcoin, một nhóm máy do tin tặc kiểm soát. Trong vòng chưa đầy ba phút, công ty đã xử lý, điều tra trong thời gian thực và bắt đầu phản hồi của mình mà không mất dữ liệu của công ty hoặc thiệt hại cho các dịch vụ vận hành của khách hàng, Palmer nói.
Giám sát người dùng, không kiểm soát truy cập hoặc thiết bị
Nhưng hệ thống máy tính có thể điều tra bất kỳ loại dấu chân kỹ thuật số. Và đó là nơi mà nhiều nhà cung cấp chú ý đang diễn ra trong những ngày này: hướng tới việc tạo ra các đường cơ sở của hành vi "được biết đến" bởi người dùng của một tổ chức có tên là Phân tích hành vi người dùng (UBA). Kiểm soát truy cập và giám sát thiết bị chỉ đi cho đến nay. Một số chuyên gia và nhà cung cấp tốt hơn nhiều, để làm cho người dùng trở thành trọng tâm chính của bảo mật, đó là tất cả những gì về UBA.
"UBA là một cách để xem mọi người đang làm gì và chú ý xem họ có đang làm điều gì đó khác thường không, " Scheidler của Balabit nói. Sản phẩm (trong trường hợp này, Blindspotter và Shell Control Box của Balabit) xây dựng cơ sở dữ liệu kỹ thuật số về hành vi điển hình của mỗi người dùng, một quá trình mất khoảng ba tháng. Sau đó, phần mềm nhận ra sự bất thường từ đường cơ sở đó. Hệ thống ML tạo ra một số điểm về cách "tắt" tài khoản người dùng đang hoạt động, cùng với mức độ nghiêm trọng của vấn đề. Cảnh báo được tạo bất cứ khi nào điểm vượt quá ngưỡng.
"Analytics cố gắng quyết định xem bạn có phải là chính mình không, " Scheidler nói. Ví dụ, một nhà phân tích cơ sở dữ liệu thường xuyên sử dụng các công cụ nhất định. Vì vậy, nếu cô ấy đăng nhập từ một vị trí bất thường vào một thời điểm bất thường và truy cập các ứng dụng khác thường, thì hệ thống sẽ kết luận rằng tài khoản của cô ấy có thể bị xâm phạm.
Các đặc điểm UBA được Balabit theo dõi bao gồm thói quen lịch sử của người dùng (thời gian đăng nhập, ứng dụng thường dùng và lệnh), sở hữu (độ phân giải màn hình, sử dụng bàn di chuột, phiên bản hệ điều hành), bối cảnh (ISP, dữ liệu GPS, vị trí, bộ đếm lưu lượng mạng) và sự kế thừa (một cái gì đó bạn đang có). Trong loại thứ hai là phân tích chuyển động chuột và động lực gõ phím, theo đó hệ thống sẽ ánh xạ ngón tay của người dùng cứng và nhanh như thế nào.
Mặc dù hấp dẫn về mặt đam mê, Scheidler cảnh báo rằng các phép đo chuột và bàn phím vẫn chưa thể đánh lừa được. Ví dụ, ông nói, xác định tổ hợp phím của ai đó đáng tin cậy khoảng 90 phần trăm, vì vậy các công cụ của công ty không phụ thuộc nhiều vào sự bất thường trong khu vực đó. Bên cạnh đó, hành vi của người dùng hơi khác nhau mọi lúc; Nếu bạn có một ngày căng thẳng hoặc đau ở tay, các chuyển động của chuột là khác nhau.
Scheidler nói: "Vì chúng tôi làm việc với nhiều khía cạnh trong hành vi của người dùng và giá trị tổng hợp là giá trị được so sánh với hồ sơ cơ sở, hoàn toàn có độ tin cậy rất cao, hội tụ đến 100%".
Balabit chắc chắn không phải là nhà cung cấp duy nhất có sản phẩm sử dụng UBA để xác định các sự kiện bảo mật. Chẳng hạn, Cyberory sử dụng một phương pháp tương tự để xác định hành vi khiến con người chú ý nói, "Hmm, thật buồn cười."
Giải thích về CTO Yonatan Streim Amit của Cyberory: "Khi nền tảng của chúng tôi thấy một sự bất thường của James James làm việc muộn, chúng tôi có thể tương quan nó với các hành vi đã biết và dữ liệu có liên quan khác. với hoặc tất cả các thông tin liên lạc sẽ đến người quản lý của mình, ai sẽ trả lời lại? " Cyberory phân tích sự bất thường của James làm việc muộn một cách bất thường với một danh sách dài các dữ liệu được quan sát khác để cung cấp bối cảnh để xác định xem một cảnh báo là dương tính giả hay là mối quan tâm chính đáng.
Công việc của CNTT là tìm câu trả lời nhưng chắc chắn sẽ giúp có phần mềm có thể đưa ra các câu hỏi đúng. Chẳng hạn, hai người dùng trong một tổ chức chăm sóc sức khỏe đã truy cập vào hồ sơ của các bệnh nhân đã qua đời. "Tại sao ai đó sẽ nhìn vào các bệnh nhân đã qua đời hai hoặc ba năm trước, trừ khi bạn muốn làm một số loại danh tính hoặc gian lận y tế?" hỏi Amit Kulkarni, CEO của Cognetyx. Để xác định rủi ro bảo mật này, hệ thống Cognetyx đã xác định quyền truy cập không phù hợp dựa trên các hoạt động bình thường của bộ phận đó và so sánh hành vi của hai người dùng với mô hình truy cập của đồng nghiệp và chống lại hành vi thông thường của chính họ.
"Theo định nghĩa, các hệ thống máy học là lặp đi lặp lại và tự động, " Tendler của Fortscale nói. "Họ tìm cách 'khớp' dữ liệu mới với những gì họ đã thấy trước đây, nhưng sẽ không 'không đủ điều kiện' bất cứ điều gì ngoài tầm tay hoặc tự động 'vứt bỏ' kết quả bất ngờ hoặc vượt ra ngoài giới hạn."
Vì vậy, thuật toán của Fortscale tìm kiếm các cấu trúc ẩn trong một tập dữ liệu, ngay cả khi họ không biết cấu trúc đó trông như thế nào. "Ngay cả khi chúng tôi thấy điều bất ngờ, nó cung cấp thức ăn gia súc để có khả năng xây dựng bản đồ mẫu mới. Đó là điều khiến cho máy học mạnh mẽ hơn nhiều so với các bộ quy tắc xác định: Các hệ thống máy học có thể tìm thấy các vấn đề bảo mật chưa từng thấy trước đây."
Điều gì xảy ra khi hệ thống ML tìm thấy sự bất thường? Nói chung, các công cụ này đưa ra cảnh báo cho con người để thực hiện cuộc gọi cuối cùng theo một cách nào đó vì các tác dụng phụ của dương tính giả đang gây tổn hại cho công ty và khách hàng của công ty. "Xử lý sự cố và pháp y cần chuyên môn của con người", Scheidler của Balabit khẳng định. Lý tưởng là các cảnh báo được tạo là chính xác và tự động, và bảng điều khiển cung cấp một cái nhìn tổng quan hữu ích về trạng thái hệ thống với khả năng truy sâu vào hành vi "hey, thật kỳ lạ".
Nguồn: Balabit.com (Nhấp vào hình trên để xem toàn cảnh.)
Đây chỉ mới là bắt đầu
Đừng cho rằng bảo mật ML và IT là một kết hợp hoàn hảo như sô cô la và bơ đậu phộng hoặc mèo và internet. Đây là một công việc đang tiến triển, mặc dù nó sẽ đạt được nhiều sức mạnh và hữu ích hơn khi các sản phẩm đạt được nhiều tính năng hơn, tích hợp ứng dụng và cải tiến công nghệ.
Trong ngắn hạn, hãy tìm kiếm các tiến bộ tự động hóa để các nhóm bảo mật và vận hành có thể đạt được thông tin chi tiết mới nhanh hơn và ít can thiệp của con người hơn. Trong hai hoặc ba năm tới, Mike Paquette, phó chủ tịch sản phẩm của Prelert nói, "chúng tôi hy vọng các tiến bộ sẽ có hai dạng: một thư viện mở rộng các trường hợp sử dụng được cấu hình sẵn để xác định hành vi tấn công và tiến bộ trong việc lựa chọn và cấu hình tính năng tự động, giảm sự cần thiết phải tham gia tư vấn. "
Các bước tiếp theo là các hệ thống tự học có thể tự mình chống lại các cuộc tấn công, theo Palmer của Darktrace. "Họ sẽ phản ứng với các rủi ro mới phát sinh từ phần mềm độc hại, tin tặc hoặc nhân viên không bị ảnh hưởng theo cách hiểu toàn bộ bối cảnh hoạt động bình thường của các thiết bị cá nhân và quy trình kinh doanh tổng thể, thay vì đưa ra các quyết định nhị phân riêng lẻ như phòng thủ truyền thống. để đối phó với các cuộc tấn công di chuyển nhanh hơn, như các cuộc tấn công dựa trên tống tiền, sẽ biến thành tấn công bất kỳ tài sản có giá trị nào (không chỉ hệ thống tập tin) và sẽ được con người thiết kế để phản ứng nhanh hơn khả năng của con người. "
Đây là một khu vực thú vị với nhiều hứa hẹn. Sự kết hợp giữa ML và các công cụ bảo mật tiên tiến không chỉ cung cấp cho các chuyên gia CNTT các công cụ mới để sử dụng mà quan trọng hơn là nó cung cấp cho họ các công cụ cho phép họ thực hiện công việc của mình chính xác hơn, nhưng vẫn nhanh hơn bao giờ hết. Mặc dù không phải là viên đạn bạc, nhưng đó là một bước tiến đáng kể trong một kịch bản mà kẻ xấu đã có tất cả các lợi thế cho đến nay quá lâu.
