Bagaimana perniagaan menggunakan ai untuk keselamatan siber

Dalam landskap ancaman digital di mana perniagaan sentiasa bermain menangkap dengan vektor serangan baru dan kelemahan, pertahanan terbaik yang mereka miliki adalah perkara yang sama yang membuat mereka sasaran yang menarik untuk penggodam: gunung data. Pasti, anda mempunyai perlindungan endpoint dan perisian penyulitan. Dan anda mendapat jabatan IT dan keselamatan anda mengawasi platform pemantauan infrastruktur dan rangkaian untuk menjalankan respons kejadian terhadap sebarang aktiviti atau pencerobohan yang berniat jahat. Tetapi, di luar langkah reaktif ini, perusahaan lain dan vendor keselamatan menggunakan kecerdasan buatan (AI) untuk mengambil pendekatan proaktif.

Dengan menggunakan algoritma pembelajaran komputer (ML) dan teknik AI lain untuk mengenal pasti corak data, tingkah laku pengguna yang terdedah, dan kecenderungan keselamatan ramalan, syarikat-syarikat adalah perlombongan dan menganalisis kekayaan data yang ada pada mereka dan diharapkan menghentikan pelanggaran seterusnya berlaku.

"Kami mempunyai koleksi fail gergasi: petabytes fail yang kami tahu tidak berniat jahat dan petabytes yang berlaku jahat, " kata Rick Howard, Ketua Pegawai Keselamatan syarikat keselamatan syarikat Palo Alto Networks. "ML mengajar program untuk mencari bahagian yang berniat jahat, tanpa kita perlu menyenaraikan semua faktor yang mereka cari."

Howard adalah sebahagian daripada panel baru-baru ini yang dikenali sebagai "Securing Breakthrough Technologies - The Five Years Next", di mana ahli panel membincangkan cabaran-cabaran yang berubah-ubah menghadapi landskap keselamatan, dan bagaimana ML dan automasi mengubah cara kami mengenal pasti dan menanggapi ancaman. Panel itu adalah sebahagian daripada sidang kemuncak keselamatan siber baru yang diadakan di Nasdaq MarketSite di Times Square New York City sebagai penghormatan Bulan Kesedaran Keselamatan Siber Nasional (NCSAM). Ia dihoskan oleh Nasdaq dan National Cyber ​​Security Alliance (NCSA). Penaja acara Cisco, Dell, Palo Alto Networks, dan ServiceNow, syarikat cybersecurity Tenable, dan Wells Fargo menyediakan ahli panel kepada sidang kemuncak itu.

Automating Defenses Anda

AI sentiasa hadir dalam perisian moden. Cadangan yang dibantu oleh pembantu maya, chatbots, dan algoritma maya merangkumi aplikasi pengguna dan pengalaman dalam talian. Sementara itu, perniagaan menggunakan ML dan teknik AI lain untuk setiap bit data yang mereka kumpul-dari pengurusan hubungan pelanggan (CRM) dan data jualan kepada setiap klik dan pilihan yang terdiri daripada tingkah laku pengguna.

Data keselamatan sama seperti data lain yang anda pakai ke dalam model ML. Semakin banyak data yang anda berikan dan semakin baik anda melatihnya, semakin tepat AI akan bukan hanya mengenali corak tetapi mengekstrak maklumat yang tepat untuk memberikan kelebihan ramalan. Berjaya menerapkan teknik AI memerlukan visi yang jelas tentang masalah yang anda hendak selesaikan. Apabila datang kepada tindak balas kejadian, penting untuk mengetahui apa ML dan apa yang tidak, menurut Renaud Deraison, pengasas bersama dan CTO Tenable.

"Pembelajaran mesin bermakna berlatih satu juta kali dengan satu juta variasi sehingga kali seterusnya komputer menghadapi keadaan, ia tahu apa yang harus dilakukan, " kata Deraison. "Ini tidak membuat ia dapat mengada-adakan sesuatu. Kami tidak berada di pentas di mana kita boleh mengatakan 'okay komputer, selamatkan saya.'"

Matlamatnya adalah untuk perisian keselamatan siber yang dilancarkan AI untuk mengautomasikan ramalan, pengesanan dan tindak balas sepenuhnya. Ron Zalkind, CTO Cisco Cloudlock, membincangkan bagaimana platform keselamatan awan Cisco's Umbrella menyelesaikan masalah DNS dengan menggunakan ML ke pangkalan data pengguna dan perusahaan besar-besaran untuk mengenal pasti apabila seorang pelaku jahat cuba untuk membanjiri DNS dengan penafian perkhidmatan yang diedarkan Serangan (DDoS). Menggunakan contoh seperti Mirai botnet DDoS bersejarah yang melanda pembekal DNS Dyn tahun lepas, Zalkind berkata idea itu adalah untuk menyelesaikan pertanyaan DNS sebagai destinasi yang tidak baik dan mengautomasikan penguncian untuk memotong lalu lintas dari domain jahat.

Dari kiri: Pengarah Eksekutif NCSA, Michael Kaiser, ServiceNow Security CTO Brendan O'Connor, Palo Alto CSO Rick Howard, David Konetski Dell, Cisco Cloudlock CTO Ron Zalkin, dan CTO Renaud Deraison.

Kebenaran yang menyedihkan adalah, penggodam dan musuh telah menang. Brendan O'Connor, Security CTO di ServiceNow, berkata kami telah melihat inovasi yang luar biasa dalam pencegahan dan pengesanan tetapi industri keselamatan telah tertinggal ketika datang kepada respon automatik. AI membantu vendor membuat tanah itu.

"Apabila kita melihat bagaimana kita melakukan tindak balas pada hari ini, ia secara asasnya tidak berubah dalam 10 tahun yang lalu, " kata O'Connor. "Pelanggaran yang paling berbahaya yang berlaku bukanlah ninjas yang jatuh dari siling seperti Mission Impossible. Kami tidak memaksa penyerang untuk menjadi lebih baik atau menyesuaikan diri jika penjual tidak dapat menambal 30 atau 60 atau 90 hari, kredensial dan kata laluan yang diputar. Penyerang hanya boleh memuat turun alat dari internet dan mengeksploitasi kerentanan lama."

O'Connor dan Howard bersetuju bahawa penyerang seringkali menggunakan kelas teknologi yang lebih canggih. Botnets malware moden sangat berdaya tahan dan sukar untuk menurunkan satu komputer atau nod pada satu masa. Penyerang telah memeluk awan dan menggunakannya sebagai platform untuk menyerang perniagaan. "Pembangkang siber telah mengautomasikan proses mereka, dan kami masih berurusan dengannya sebagai manusia di ruang belakang, " kata Howard.

ML melawan automasi dengan automasi. Algoritma menganalisis set data yang luas untuk melihat kelaziman kecacatan, kemudahan pelaksanaan, dan pelbagai faktor lain. Analisis ini membantu syarikat mengutamakan salah satu daripada banyak patch yang perlu mereka gunakan harus difokuskan pada awalnya.

Masa Depan Keselamatan Prediktif

Automasi dan analisis ramalan dalam keselamatan siber telah lama wujud. Tetapi kemajuan dalam AI sejak beberapa tahun yang lalu telah berubah bagaimana ini berfungsi sepanjang seluruh stack teknologi syarikat. Selepas panel, PCMag terperangkap dengan David Konetski dari Dell. Beliau adalah Fellow dan Naib Presiden Penyelesaian Pelanggan di Pejabat CTO. Dell telah melakukan penyelidikan AI dan ML selama bertahun-tahun, untuk perkara-perkara seperti analisis kegagalan ramalan, sistem orkestrasi, dan pengurusan peranti. Konetski menerangkan bagaimana usaha AI Dell telah berkembang serta beberapa kerja inovatif yang dilakukan syarikat dalam keselamatan ramalan. Kerja ini melibatkan analisa malware, analisis tingkah laku pengguna, dan pengesanan anomali.

"Kami adalah salah seorang yang pertama melakukan analisis kegagalan ramalan, " kata Konetski. "Kami menyedari terdapat banyak instrumen di dalam kotak, dan sistem pengurusan mendapatkan sejumlah besar data tentang apa yang berlaku dalam rangkaian. Tidakkah anda dapat memberitahu apabila bateri atau cakera keras mungkin gagal?"

Analisis kegagalan ramalan bermula dengan pelanggan korporat sebelum dilancarkan ke perkhidmatan pelanggan Dell, dengan tambahan automasi seperti e-mel yang mencetuskan memberitahu pelanggan untuk menempah bateri baru sementara itu masih dilindungi oleh jaminan mereka. Di dunia keselamatan, ML prediktif kini digunakan untuk perlindungan ancaman maju (ATP). Pada tahun 2015, Dell bekerjasama dengan syarikat perlindungan ancaman berasaskan AI Cylance untuk melampaui sekadar menandakan fail sebagai berniat jahat. Sebaliknya, mereka melihat DNA fail untuk menentukan niatnya sebelum ia berjalan.

"Kami telah mengambil keupayaan perlindungan data kami dan telah meningkatkan persekitaran sekarang melindungi data di titik asal, ketika ia bergerak, dan meletakkan beberapa kendali akses di sekitarnya sehingga Anda sekarang tahu, sebagai orang IT, di mana semua data Anda sedang digunakan di dunia, oleh siapa, dan bagaimana. Itu tidak pernah berlaku sebelum ini, "kata Konetski.

"Bagaimana anda berbuat demikian? Anda melihat kelakuan perisian, " lanjut Konetski. "Adakah perisian melakukan perkara-perkara dalam corak pelik atau jahat? Itulah generasi analitik tingkah laku pertama. Dan sekarang generasi akan datang tidak hanya melihat tetapi tingkah laku peribadi atau tingkah laku mesin, bergantung kepada sama ada IoT atau pengkomputeran peribadi AI mencari kelakuan yang tidak baik yang mungkin baik-baik saja, tetapi sebagai CTO, jika saya mengakses semua data pelanggan kami, saya mungkin akan ditandakan dengan amaran seperti 'Adakah anda menyedari apa yang anda lakukan, ya atau tidak ? Dan dengan cara itu, pengguna mendapat latihan dan mengetahui bahawa sistem itu sedang menonton."

Langkah seterusnya melibatkan menggunakan AI dengan analisis tingkah laku pengguna untuk risiko keselamatan siber yang lebih proaktif dari dalam organisasi. Kesalahan manusia sering menjadi sumber pelanggaran dan kelemahan, sama ada kata laluan lalai, percubaan tembak-tembak yang berjaya, atau dalam hal pemecatan Amazon S3 yang baru-baru ini, kesilapan salah.

Bagi syarikat seperti Dell yang perlu menangani kelemahan dalam keseluruhan perkakasan dan perisian, tumpukan kepada pengguna dan memanfaatkan AI untuk membendung ancaman yang berpotensi di sumber mereka adalah cara yang lebih berkesan untuk meletakkan data itu berfungsi. Ia bukan hanya mengenai algoritma ML yang mengesan secara luaran dan keupayaan pengurangan ancaman AI yang memberi prediktif. Bahagian lain ini mengubah data tersebut ke dalam peringatan semula jadi, dalaman untuk pekerja dalam organisasi anda.

"Sama ada pengguna atau perusahaan, jika saya dapat memberi anda sedikit amaran dan berkata 'Adakah anda pasti mahu membuat klik berikutnya? Kami telah mengesan pola yang telah dikenal pasti sebagai berpotensi berniat jahat.' Itulah analisis tingkah laku pengguna yang digabungkan dengan pengetahuan corak serangan, "jelas Konetski.

Dell juga berusaha untuk menggunakan konteks pengguna dan mesin untuk membuat keputusan pintar tentang apa yang anda akses kepada. Penyelesaian perusahaan yang diuruskan dilancarkan tahun ini yang dipanggil Dell Data Guardian mempunyai apa yang disebut Konetski sebagai "awal" keupayaan kawalan akses yang akan berubah menjadi cara yang lebih mendalam untuk melindungi infrastruktur rangkaian. Bayangkan AI mengetahui siapa anda, apa peranti anda, di mana anda berada di dunia, dan mengklasifikasikan data dengan ML untuk membuat keputusan kawalan akses pintar.

"Hari ini, jika anda berada di negara Eropah Timur yang cuba mendapatkan data di Austin, Texas, ada sesuatu yang lucu berlaku. Perkara mudah seperti itu boleh kita lakukan hari ini, " kata Konetski. "Melangkah ke hadapan, mungkin saya hanya ingin memberi anda akses baca sahaja Mungkin saya ingin memberi anda akses jauh supaya saya menjadi tuan rumah sebuah aplikasi di pusat data saya dan saya hanya akan memberi anda pandangan melalui pelayar HTML5 Mungkin saya melihat anda berada di peranti korporat di belakang firewall dan semuanya ditampal jadi saya memberi anda kunci.

"Bahagian penting, dan apa yang dilakukan oleh AI dan ML yang membolehkan kita lakukan, adalah melakukan semua ini secara telus kepada pengguna akhir. Oleh itu, apabila anda mencari akses kepada fail itu, anda tidak menyadari kami mempunyai semua ini kawalan di latar belakang, semuanya kelihatan lancar kepada anda."