Video: Cerita keluarga kucing sedih- uplod dari jesika nuraga (November 2024)
Keselamatan IT adalah lubang neraka yang berbahaya dan mahal. Jumlah wang yang banyak dibelanjakan untuk melindungi data dan rangkaian syarikat. Gerombolan orang jahat termotivasi untuk memecah masuk, dan akibat kegagalan lebih menyakitkan daripada kos perlindungan.
Lebih buruk lagi, cara-cara semasa Ketua Pegawai Keselamatan (CSO) berurusan dengan keselamatan adalah mengganggu. Walaupun alat keselamatan teras seperti perlindungan titik akhir yang dikendalikan akan selalu diperlukan, setiap orang dari kami telah merasakan kesukaran menguruskan kata laluan, memikirkan hak akses kepada perisian yang kami perlukan, dan mengadu tentang halangan antara kami dan kerja yang perlu kami lakukan. Jika prosedur keselamatan bekerja 100 peratus dari masa itu, mungkin kita akan baik-baik saja dengannya-tapi, adakah anda perhatikan berapa banyak pelanggaran yang masih dilaporkan? Saya juga. Cukup perhatikan bagaimana bilangan pelanggaran data setiap tahun telah meletup di dalam grafik ini di bawah (oleh analisis data dan visualisasi blog Sparkling Data). Grafik menunjukkan pelanggaran data sejak 2009, dipecahkan oleh jenis industri dan berapa jutaan rekod telah dikompromikan:
Sumber: 24 Julai 2016 ; Analisis Data Pelanggaran HIPAA ; Data Sparkling
Tetapi terdapat berita baik juga. Teknologi pembelajaran komputer (ML) yang sama dan algoritma analisis ramalan yang memberi anda cadangan buku yang berguna dan kuasa kecerdasan perniagaan (BI) dan visualisasi data yang paling maju alat sedang dimasukkan ke dalam alat keselamatan IT. Pakar melaporkan bahawa anda mungkin tidak akan menghabiskan lebih sedikit wang untuk keselamatan IT syarikat anda kerana ini, tetapi sekurang-kurangnya staf anda akan bekerja dengan lebih cekap dan mempunyai peluang yang lebih baik untuk mencari penggodam dan perisian berniat jahat sebelum kerosakan dilakukan.
Gabungan keselamatan ML dan IT pastinya dilabelkan sebagai "teknologi yang baru muncul, " tetapi yang menjadikannya sejuk adalah bahawa kita tidak bercakap tentang satu teknologi sahaja. ML terdiri daripada beberapa jenis teknologi, masing-masing digunakan dalam pelbagai cara. Dan, kerana begitu banyak vendor yang bekerja di kawasan ini, kita dapat menonton kategori teknologi baru yang bersaing, berkembang, dan diharapkan dapat memberi manfaat kepada kita semua.
Jadi, Apa Pembelajaran Mesin?
ML membolehkan komputer mengajar sesuatu tanpa perlu diprogram secara jelas. Ia melakukannya dengan mengakses set data yang besar-selalunya besar.
"Dengan pembelajaran mesin, kita dapat memberikan komputer 10, 000 gambar kucing dan memberitahu, 'Inilah kucing yang kelihatan seperti itu.' Dan kemudian, anda boleh memberikan 10.000 gambar tanpa label dan memintanya untuk mengetahui yang mana kucing, "jelas Adam Porter-Price, Associate Senior di Booz Allen. Model ini bertambah baik apabila anda memberi maklum balas sistem, sama ada tekaannya betul atau salah. Dari masa ke masa, sistem mendapat lebih tepat pada menentukan jika gambar itu termasuk kucing (seperti, sudah tentu, semua gambar sepatutnya).
Ini bukan teknologi baru, walaupun kemajuan terkini dalam komputer lebih cepat, algoritma yang lebih baik, dan alat Big Data telah pasti memperbaiki keadaan. "Pembelajaran mesin (terutama seperti yang digunakan untuk memodelkan perilaku manusia) telah lama wujud, " kata Idan Tendler, Ketua Pegawai Eksekutif Fortscale. "Ia adalah komponen teras dari segi kuantitatif pelbagai disiplin, mulai dari harga tiket penerbangan hingga pengundian politik kepada pemasaran makanan segera sehinggalah tahun 1960-an."
Kegunaan moden yang paling jelas dan dikenali adalah dalam usaha pemasaran. Apabila anda membeli sebuah buku di Amazon, contohnya, enjin cadangannya menjual jualan terdahulu dan mencadangkan buku tambahan yang anda mungkin nikmati (contohnya, orang yang menyukai Yendi Steven Brust mungkin juga suka novel Jim Butcher), yang menerangkan kepada lebih banyak jualan buku. Itu digunakan ML di sana. Satu lagi contoh adalah perniagaan yang menggunakan data pengurusan perhubungan pelanggan (CRM) untuk menganalisis pelanggan, atau syarikat penerbangan yang menggunakan ML untuk menganalisis berapa banyak mata ganjaran yang memberi insentif kepada risalah kerap untuk menerima tawaran tertentu.
Semakin banyak data sistem komputer mengumpulkan dan menganalisis, lebih baik pandangannya (dan pengenalan foto kucingnya). Selain itu, dengan adanya Data Big, sistem ML boleh menyusun maklumat dari pelbagai sumber. Peruncit dalam talian boleh melihat di luar set data tersendiri untuk memasukkan analisis data dan maklumat pelayar web pelanggan dari tapak rakannya, contohnya.
ML mengambil data yang terlalu banyak bagi manusia untuk memahami (seperti berjuta-juta garisan fail log rangkaian atau sebilangan besar urus niaga e-dagang) dan mengubahnya menjadi sesuatu yang lebih mudah difahami, kata Balázs Scheidler, vendor alat keselamatan IT CTO Balabit.
"Sistem pembelajaran mesin mengenali pola dan menyerlahkan anomol, yang membantu manusia memahami situasi dan, apabila sesuai, mengambil tindakan mengenainya, " kata Scheidler. "Dan pembelajaran mesin melakukan analisis ini secara automatik, anda tidak dapat mempelajari hal yang sama hanya dengan melihat hanya pada log transaksi."
Di mana ML Patches Kelemahan Keselamatan
Nasib baik, prinsip-prinsip ML yang sama yang dapat membantu anda menentukan pembelian buku baru boleh menjadikan rangkaian syarikat anda lebih selamat. Malah, kata Tendler Fortscale, vendor IT agak terlambat kepada parti ML. Jabatan-jabatan pemasaran dapat melihat faedah-faedah kewangan pada awal penggunaan ML, terutama karena biaya salah adalah minimum. Mengesyorkan buku yang salah tidak akan mengambil rangkaian sesiapa pun. Pakar keselamatan memerlukan lebih banyak kepastian tentang teknologi dan nampaknya mereka akhirnya memilikinya.
Terus terang, sudah tiba masanya. Kerana cara-cara semasa untuk menangani keselamatan adalah mengganggu dan reaktif. Lebih buruk: Jumlah alat-alat keselamatan baru dan alat pengumpulan data yang berbeza telah mengakibatkan terlalu banyak input bahkan bagi para pemerhati.
"Kebanyakan syarikat dibanjiri dengan beribu-ribu amaran sehari, sebahagian besarnya didominasi oleh positif palsu, " kata David Thompson, Pengarah Kanan Pengurusan Produk di LightCyber syarikat keselamatan IT. "Sekalipun amaran itu terlihat, ia mungkin dilihat sebagai peristiwa tunggal dan tidak difahami sebagai sebahagian daripada serangan yang lebih besar, dirancang."
Thompson memetik laporan Gartner yang mengatakan bahawa kebanyakan penyerang tidak dapat dikesan selama purata lima bulan . Positif palsu ini juga boleh menyebabkan pengguna yang marah, menunjuk Ting-Fang Yen, seorang saintis penyelidikan di DataVisor, apabila pekerja disekat atau ditandai kesalahan, belum lagi waktu yang dibelanjakan oleh pasukan IT untuk menyelesaikan masalah.
Jadi taktik pertama dalam keselamatan IT menggunakan ML menganalisis aktiviti rangkaian. Algoritma menilai corak aktiviti, membandingkannya dengan tingkah laku terdahulu, dan mereka menentukan sama ada aktiviti semasa menimbulkan ancaman. Untuk membantu, vendor seperti Core Security menilai data rangkaian seperti tingkah laku mencari DNS pengguna dan protokol komunikasi dalam permintaan
Sesetengah analisis berlaku dalam masa nyata, dan penyelesaian ML lain memeriksa rekod urus niaga dan fail log lain. Sebagai contoh, produk Fortscale menjejaki ancaman dalaman, termasuk ancaman yang melibatkan kelayakan yang dicuri. "Kami memberi tumpuan kepada log masuk dan pengesahan, tetapi log boleh datang dari mana-mana sahaja: Direktori Aktif, Salesforce, Kerberos, 'aplikasi permata mahkota' anda sendiri, " kata Fortscale's Tendler. "Lebih banyak lagi, lebih baik." Di mana ML membuat perbezaan utama di sini ialah ia dapat mengubah log rumah tangga yang merendahkan dan kurang perhatian organisasi menjadi sumber risikan ancaman, sangat berkesan, dan murah.
Dan strategi ini membuat perbezaan. Bank Itali dengan kurang daripada 100, 000 pengguna mengalami ancaman insider yang melibatkan exfiltration skala besar data sensitif kepada sekumpulan komputer yang tidak dikenali. Khususnya, kelayakan pengguna yang sah digunakan untuk menghantar jumlah data yang besar di luar organisasi melalui Facebook. Bank itu mengerahkan sistem Immune Enterprise Darktrace Enterprise, yang mengesan tingkah laku anomali dalam masa tiga minit apabila pelayan syarikat yang dihubungkan ke Facebook-satu aktiviti tidak biasa, kata Dave Palmer, Pengarah Teknologi di Darktrace.
Sistem ini segera mengeluarkan amaran ancaman, yang membolehkan pasukan keselamatan bank bertindak balas. Akhirnya, siasatan membawa kepada pentadbir sistem yang secara tidak sengaja memuat turun perisian hasad yang menjejaskan pelayan bank dalam botnet pertambangan bitcoin-sekumpulan mesin yang dikawal oleh penggodam. Dalam masa kurang dari tiga minit, syarikat itu menjalani pemeriksaan, disiasat dalam masa nyata, dan memulakan responsnya-tanpa kehilangan data korporat atau kerosakan kepada perkhidmatan operasi pelanggan, kata Palmer.
Pemantauan Pengguna, Bukan Kawalan Akses atau Peranti
Tetapi sistem komputer boleh menyiasat apa-apa jenis jejak digital. Dan di sinilah banyak perhatian vendor akan pergi ke hari ini: ke arah mewujudkan asas-asas "tingkah laku yang diketahui" oleh pengguna organisasi yang dinamakan Pengguna Behaviour Analytics (UBA). Kawalan akses dan pemantauan peranti pergi sejauh setakat ini. Lebih baik lagi, katakan beberapa pakar dan vendor, untuk menjadikan pengguna tumpuan utama keselamatan, yang mana UBA adalah semua.
"UBA adalah cara untuk melihat apa yang dilakukan oleh orang ramai dan melihat jika mereka melakukan sesuatu yang luar biasa, " kata Scheidler Balabit. Produk (dalam kes ini, Blindspotter dan Peti Kawalan Shell Balabit) membina pangkalan data digital setiap tingkah laku biasa pengguna, satu proses yang mengambil masa kira-kira tiga bulan. Selepas itu, perisian mengiktiraf anomali dari garis dasar tersebut. Sistem ML mewujudkan skor bagaimana "off" akaun pengguna berkelakuan, bersama-sama dengan kritikal masalah. Isyarat dijana apabila skor melebihi ambang.
"Analitis cuba untuk memutuskan sama ada anda sendiri, " kata Scheidler. Sebagai contoh, penganalisis pangkalan data kerap menggunakan alat tertentu. Oleh itu, jika dia log masuk dari lokasi yang tidak biasa pada masa yang luar biasa dan mengakses aplikasi luar biasa, maka sistem tersebut menyimpulkan bahawa akaunnya mungkin dikompromikan.
Ciri-ciri UBA yang dikesan oleh Balabit termasuk tabiat sejarah pengguna (waktu log masuk, aplikasi yang biasa digunakan, dan arahan), harta benda (resolusi skrin, penggunaan pad jejak, versi sistem operasi), konteks (ISP, data GPS,, dan keturunan (sesuatu yang anda). Dalam kategori kedua adalah analisis pergerakan tetikus dan dinamik keystroke, di mana sistem memaparkan bagaimana keras dan cepat jari pengguna memukul keyboard.
Walaupun menarik dalam istilah geek, Scheidler memberi amaran bahawa pengukuran tetikus dan papan kekunci tidak terlalu lemah. Sebagai contoh, katanya, mengenalpasti ketukan seseorang adalah kira-kira 90 peratus yang boleh dipercayai, jadi alat syarikat tidak banyak bergantung pada anomali di kawasan itu. Selain itu, tingkah laku pengguna sedikit berbeza sepanjang masa; jika anda mempunyai hari yang teruk atau sakit di tangan anda, pergerakan tetikus adalah berbeza.
"Memandangkan kami bekerja dengan banyak aspek tingkah laku pengguna dan nilai agregatnya adalah untuk dibandingkan dengan profil asas, semuanya mempunyai keandalan yang sangat tinggi yang menumpu kepada 100 peratus, " kata Scheidler.
Balabit pastinya bukan satu-satunya vendor yang produknya menggunakan UBA untuk mengenal pasti peristiwa keselamatan. Misalnya, Cybereason menggunakan metodologi yang sama untuk mengenal pasti tingkah laku yang membuat manusia memberi perhatian, "Hmm, itu lucu."
Menjelaskan CTO Yonatan Streim Amit Cybereason: "Apabila platform kami melihat anomali-James bekerja lewat-kita dapat mengaitkannya dengan tingkah laku yang diketahui dan data yang berkaitan. Adakah dia menggunakan aplikasi dan corak akses yang sama? Adakah dia menghantar data kepada seseorang yang tidak pernah berkomunikasi dengan atau semua komunikasi pergi ke pengurusnya, yang membalasnya? " Cybereason menganalisis anomali James bekerja secara luar biasa dengan senarai panjang data lain yang diperhatikan untuk menyediakan konteks untuk menentukan jika amaran adalah positif palsu atau kebimbangan yang sah.
Ia adalah tugas IT untuk mencari jawapan tetapi ia pasti membantu untuk mempunyai perisian yang dapat menimbulkan persoalan yang tepat. Sebagai contoh, dua pengguna dalam organisasi penjagaan kesihatan mengakses rekod pesakit yang mati. "Kenapa seseorang melihat pesakit yang telah meninggal dunia dua atau tiga tahun lalu, melainkan jika anda mahu melakukan beberapa jenis identiti atau penipuan perubatan?" meminta Amit Kulkarni, Ketua Pegawai Eksekutif Cognetyx. Dalam mengenal pasti risiko keselamatan ini, sistem Cognetyx mengenal pasti akses yang tidak sesuai berdasarkan aktiviti normal untuk jabatan itu dan membandingkan kedua-dua tingkah laku pengguna dengan corak akses rakan sebaya dan menentang tingkah laku mereka sendiri.
"Dengan definisi, sistem pembelajaran mesin adalah berulang dan automatik, " kata Tendler Fortscale. "Mereka melihat 'mencocokkan' data baru terhadap apa yang mereka lihat sebelum ini, tetapi tidak akan 'membatalkan' apa-apa daripada tangan atau secara automatik 'membuang' hasil yang tidak dijangka atau di luar batas."
Jadi, algoritma Fortscale mencari struktur tersembunyi dalam set data, walaupun mereka tidak tahu strukturnya. "Walaupun kami mendapati yang tidak dijangkakan, ia memberikan makanan yang berpotensi untuk membina peta corak baru. Itulah yang menjadikan pembelajaran mesin jauh lebih berkuasa daripada set peraturan deterministik: Sistem pembelajaran mesin boleh menemui masalah keselamatan yang belum pernah dilihat sebelum ini."
Apa yang berlaku apabila sistem ML mendapati anomali? Secara amnya, alat ini menyerahkan amaran kepada manusia untuk membuat panggilan terakhir dalam beberapa cara kerana kesan sampingan positif palsu merosakkan syarikat dan pelanggannya. "Penyelesaian masalah dan forensik memerlukan kepakaran manusia, " tegas Scheidler Balabit. Yang ideal adalah bahawa isyarat yang dijana adalah tepat dan automatik, dan papan pemuka memberi gambaran yang berguna tentang status sistem dengan kemampuan untuk mengebor ke kelakuan "hey, itu pelik".
Sumber: Balabit.com (Klik pada grafik di atas untuk melihat paparan penuh.)
Ia hanya permulaan
Jangan anggap bahawa keselamatan ML dan IT adalah perlawanan yang sempurna seperti coklat dan kacang atau kucing kacang dan internet. Ini adalah kerja yang sedang berjalan, walaupun ia akan mendapat lebih banyak daya dan kegunaan kerana produk mendapat lebih banyak ciri, integrasi aplikasi, dan peningkatan teknologi.
Dalam jangka pendek, cari kemajuan automasi supaya pasukan keselamatan dan operasi dapat memperoleh wawasan data baru dengan lebih cepat dan dengan campur tangan manusia yang kurang. Dalam dua atau tiga tahun akan datang, kata Mike Paquette, VP produk di Prelert, "kami menjangkakan kemajuan akan datang dalam dua bentuk: sebuah perpustakaan yang diperluaskan bagi kes-kes penggunaan yang telah dikonfigurasikan yang mengenal pasti tingkah laku serangan, dan kemajuan dalam pemilihan dan konfigurasi ciri automatik, mengurangkan keperluan untuk perundingan perundingan."
Langkah seterusnya adalah sistem pembelajaran kendiri yang boleh melawan serangan terhadap mereka sendiri, kata Darktrace's Palmer. "Mereka akan bertindak balas terhadap risiko baru muncul dari malware, penggodam, atau pekerja yang tidak disukai dengan cara yang memahami konteks penuh perilaku normal peranti individu dan proses perniagaan keseluruhan, daripada membuat keputusan binari individu seperti pertahanan tradisional. untuk bertindak balas terhadap serangan yang lebih cepat, seperti serangan berasaskan pemerasan, yang akan menyerang setiap aset berharga (bukan hanya sistem fail) dan akan direka untuk bertindak balas lebih cepat daripada yang mungkin oleh manusia."
Ini adalah kawasan yang menarik dengan banyak janji. Gabungan alat keselamatan ML dan canggih tidak hanya memberi alat IT profesional baru untuk digunakan tetapi lebih penting lagi, ia memberi mereka alat yang membolehkan mereka melakukan pekerjaan mereka dengan lebih akurat, namun masih lebih cepat daripada sebelumnya. Walaupun bukan peluru perak, ia adalah satu langkah penting ke hadapan dalam senario di mana orang jahat mempunyai semua kelebihan terlalu lama.
