Video: Stray Kids "Back Door" M/V (Kasım 2024)
BT güvenliği tehlikeli ve pahalı bir cehennem deliğidir. Şirket verilerini ve ağlarını korumak için büyük miktarda para harcanmaktadır. Kötü adamların sürüleri zorla girmeye motive olur ve başarısızlığın sonuçları koruma maliyetinden daha acı vericidir.
Daha da kötüsü, Baş Güvenlik Görevlilerinin (STK'ların) güvenlikle uğraşmasının mevcut yolları müdahalecidir. Yönetilen uç nokta koruması gibi temel güvenlik araçları her zaman gerekli olmakla birlikte, her birimiz şifrelerimizi yönetme zorluğunu uyandırdık, ihtiyaç duyduğumuz yazılıma erişim haklarına değindik ve aramızdaki ve yapmamız gereken işlerden kaynaklanan engellerden şikayetçi olduk. . Güvenlik prosedürleri zamanın yüzde 100'ünde çalıştıysa, belki de bununla ilgili sorun giderdik - ama hey, kaç ihlalin hala bildirildiğini fark ettiniz mi? Ben de. Aşağıdaki grafikte yıllık veri ihlali sayısının nasıl arttığına bir göz atın (veri analizi ve Sparkling Data görselleştirme blogu). Grafikte, 2009’dan bu yana veri ihlalleri, sektörün türüne ve kaç milyon kaydın tehlikeye atıldığını gösteriyor:
Kaynak: 24 Temmuz 2016 ; HIPAA İhlali Verilerinin Analizi ; Köpüklü Veri
Ama aynı zamanda iyi haberler de var. Size faydalı kitap önerileri veren ve en gelişmiş self servis iş zekası (BI) ve veri görselleştirmenizi güçlendiren aynı makine öğrenmesi (ML) teknolojileri ve tahmine dayalı analitik algoritmalar araçlar BT güvenlik araçlarına dahil edilmektedir. Uzmanlar, bu nedenle muhtemelen şirketinizin BT güvenliğine daha az para harcayamayacağınızı, ancak en azından personelinizin daha verimli çalışacağını ve hasar vermeden önce bilgisayar korsanları ve kötü amaçlı yazılım bulma şansını daha iyi kullanacağını bildirdi.
ML ve IT güvenliğinin birleşimi kesinlikle "yeni gelişen teknoloji" olarak etiketlenebilir, ancak bunun tek sebebi, tek bir teknolojiden bahsetmememizdir. ML, her biri çeşitli şekillerde uygulanan birkaç tür teknolojiden oluşur. Ve bu alanda çok sayıda tedarikçi çalıştığından, yepyeni bir teknoloji kategorisinin rekabet ettiğini, gelişdiğini ve umarım hepimize fayda sağladığını görüyoruz.
Peki, Makine Öğrenmesi Nedir?
ML, bir bilgisayarın açıkça programlanması gerekmeden kendisine bir şey öğretmesine izin verir. Bunu, büyük veri setlerine (genellikle büyük veri gruplarına) erişerek yapar.
"Makine öğrenmesiyle, bir bilgisayara 10.000 adet kedi resmi verebilir ve 'Bir kedinin neye benzediğini söyleriz' diyebiliriz. Sonra bilgisayara 10.000 etiketsiz resim verebilir ve hangilerinin kedi olduğunu öğrenmelerini isteyebilirsiniz. "Diye açıklıyor Booz Allen’ın kıdemli bir üyesi olan Adam Porter-Price. Tahminin doğru veya yanlış olup olmadığı, sistem geri bildiriminde bulunurken model geliştirir. Zamanla, sistem fotoğrafın bir kedi içerip içermediğinin belirlenmesinde daha doğru olur (tabii ki tüm fotoğrafların olması gerektiği gibi).
Bu yepyeni bir teknoloji değil, daha hızlı bilgisayarlardaki son gelişmeler, daha iyi algoritmalar ve Büyük Veri araçları kesinlikle bazı şeyleri iyileştirdi. Fortscale CEO'su Idan Tendler, “Makine öğrenmesi (özellikle insan davranışlarını modellemeye uygulandığı gibi) uzun süredir var” dedi. “Bu, uçak fiyatlandırmasından politik oylamaya, fast food pazarlamaya, 1960'lara kadar uzanan birçok disiplinin kantitatif yanlarının temel bir bileşeni.”
En belirgin ve tanınabilir modern kullanımlar pazarlama çabalarındadır. Örneğin, Amazon'da bir kitap satın aldığınızda, tavsiye motorları önceki satışlara katkıda bulunur ve muhtemelen daha fazla kitap satışına dönüşen, zevk alacağınız ilave kitapları önerir (örneğin, Steven Brust'un Yendi'sini beğenen kişiler, Jim Butcher'ın romanlarını beğenebilir). İşte orada uygulanan ML. Bir başka örnek, müşteri karmaşasını analiz etmek için müşteri ilişkileri yönetimi (CRM) verilerini kullanan bir işletme veya kaç ödül puanının belirli bir teklifi kabul etmek için sık el ilanlarını teşvik ettiğini analiz etmek için ML kullanan bir havayolu olabilir.
Bir bilgisayar sistemi ne kadar fazla veri toplar ve analiz eder, içgörüsü de o kadar iyi olur (ve onun fotoğraf tanımlaması). Ayrıca, Büyük Veri'nin ortaya çıkmasıyla birlikte ML sistemleri birden fazla kaynaktan gelen bilgileri toplayabilir. Çevrimiçi bir perakendeci, örneğin müşterinin web tarayıcısı verilerinin analizini ve ortak sitelerden gelen bilgileri dahil etmek için kendi veri kümelerinin ötesine bakabilir.
BT, insanların anlayamayacağı kadar çok veri alıyor (milyonlarca satırlık ağ günlüğü dosyası veya çok sayıda e-ticaret işlemi gibi) ve anlaşılması daha kolay bir şey haline getiriyor, dedi BT güvenlik aracı satıcısı Balabit’in CTO’su Balázs Scheidler .
Scheidler, "Makine öğrenme sistemleri, insanların bir durumu kavramasına ve uygun olduğunda bu konuda harekete geçmelerine yardımcı olan kalıpları tanımakta ve anomolleri vurgulamaktadır." Dedi. "Ve makine öğrenimi bu analizi otomatik olarak yapar; aynı şeyleri yalnızca işlem kayıtlarına bakmaktan öğrenemezsiniz."
ML'nin Güvenlik Zafiyetlerini Yarattığı Noktalar
Neyse ki, yeni bir kitap alımına karar vermenize yardımcı olabilecek aynı ML ilkeleri şirket ağınızı daha güvenli hale getirebilir. Aslında, Fortscale's Tendler, BT satıcılarının ML partisine biraz geç kaldığını söyledi. Pazarlama departmanları, ML'nin erken evlat edinilmesinde finansal yararlar görebiliyordu, çünkü yanlış olma maliyeti çok düşüktü. Yanlış kitabı tavsiye etmek kimsenin ağını alt etmiyor. Güvenlik uzmanları, teknoloji konusunda daha fazla kesinlike ihtiyaç duyuyorlardı ve nihayet ellerinde bulunuyorlardı.
Açıkçası, zamanı geldi. Çünkü güvenlikle başa çıkmak için mevcut yollar müdahaleci ve reaktif. Daha da kötüsü: Çok sayıda yeni güvenlik aracı ve farklı veri toplama araçları, gözlemcilere bile çok fazla girdi sağlamıştır.
BT güvenlik şirketi LightCyber Ürün Yönetimi Direktörü David Thompson, "Çoğu şirket, çoğunlukla yanlış pozitiflerin hakim olduğu, günde binlerce uyarıya maruz kaldı" dedi. "Uyarı görünse bile, muhtemelen tekil bir olay olarak görülüyor ve daha büyük, yönetilen bir saldırının bir parçası olarak anlaşılmadı."
Thompson, bir Gartner raporunda, çoğu saldırganın ortalama beş ay tespit edilmediğini belirtti. Bu yanlış pozitifler ayrıca, kızgın kullanıcıların sonuçlanmasına neden olabilir, DataVisor'da bir araştırma bilimcisi olan Ting-Fang Yen'in, çalışanlar ne zaman bir hata ile bloke edildiğinde veya işaretlendiğinde, BT ekibi tarafından sorunları çözmek için harcanan zamandan bahsetmiyor.
Bu nedenle, ML kullanarak BT güvenliğindeki ilk uğraş ağ etkinliğini analiz etmektir. Algoritmalar etkinlik kalıplarını değerlendirerek bunları geçmiş davranışlarla karşılaştırarak mevcut etkinliğin tehdit oluşturup oluşturmadığını belirler. Bunun için, Core Security gibi satıcılar, kullanıcıların DNS arama davranışı gibi ağ verilerini ve HTTP istekleri içindeki iletişim protokollerini değerlendirir.
Bazı analizler gerçek zamanlı olarak gerçekleşir ve diğer ML çözümleri işlem kayıtlarını ve diğer günlük dosyalarını inceler. Örneğin, Fortscale'nin ürünü, çalınan kimlik bilgilerini içeren tehditler dahil olmak üzere içeriden gelen tehditleri tespit ediyor. Fortscale's Tendler, "Erişim ve kimlik doğrulama günlüklerine odaklanıyoruz, ancak günlükler neredeyse her yerden gelebilir: Active Directory, Salesforce, Kerberos, kendi" taç mücevher uygulamalarınız "." "Daha fazla çeşitlilik, daha iyi." ML'nin burada önemli bir fark yarattığı nokta, bir kuruluşun mütevazı ve göz ardı edilen temizlik kayıtlarını değerli, oldukça etkili ve ucuz tehdit istihbarat kaynaklarına dönüştürebilmesidir.
Ve bu stratejiler fark yaratıyor. 100.000'den az kullanıcısı olan bir İtalyan bankası, hassas verilerin bir grup tanımlanamayan bilgisayara geniş çapta boşaltılmasını içeren bir içeriden tehdit görmüştür. Özellikle, yasal kullanıcı kimlik bilgileri kuruluş dışından Facebook aracılığıyla büyük miktarda veri göndermek için kullanıldı. Darktrace Teknoloji Direktörü Dave Palmer, banka, üç dakika içinde bir şirket sunucusu Facebook'a bağlandığında üç dakika içinde anormal davranışlar tespit eden ML ile çalışan Darktrace Enterprise Immune System'i kullandı.
Sistem derhal bankanın güvenlik ekibinin yanıt vermesini sağlayan bir tehdit uyarısı yayınladı. Sonunda, bir sorgulama, bilgisayar korsanları tarafından kontrol edilen bir grup makine olan bitcoin madenciliği botnetinde bankanın sunucusunu yakalayan kötü amaçlı yazılımları yanlışlıkla indiren bir sistem yöneticisine yol açtı. Palmer, üç dakikadan kısa bir süre içinde, gerçek zamanlı olarak araştırma yaptı, soruşturdu ve yanıt verdi - kurumsal veri kaybı veya müşteri operasyonel servislerine zarar vermeden.
Kullanıcıları İzleme, Erişim Kontrolü veya Cihazları İzleme
Ancak bilgisayar sistemleri her türlü dijital ayak izini araştırabilir. İşte bu günlerde satıcının dikkatinin yoğunlaştığı yer burasıdır: bir kuruluşun Kullanıcı Behavior Analytics (UBA) adlı kullanıcılarının "iyi bilinen davranış" temellerini oluşturmaya doğru. Erişim kontrolü ve cihaz izleme yalnızca şu ana kadar devam ediyor. Kullanıcıları, UBA'nın neyle ilgili olduğu konusunda merkezi bir güvenlik odağı yapmak için çok sayıda uzman ve satıcı olduğunu söylemek çok daha iyidir.
Balabit'in Scheidler, "UBA, insanların ne yaptığını izlemenin ve sıra dışı bir şey yapıp yapmadıklarını fark etmenin bir yoludur" dedi. Ürün (bu durumda, Balabit's Blindspotter ve Shell Control Box), her kullanıcının yaklaşık üç ay süren bir sürecinin dijital veritabanını oluşturur. Bundan sonra, yazılım o temelden anomalileri tanır. ML sistemi, bir kullanıcının hesabının "kapalı" durumunun yanı sıra konunun ciddiyeti ile ilgili bir puan oluşturur. Puan bir eşiği aştığında uyarılar üretilir.
Scheidler, "Analytics, kendinizin olup olmadığına karar vermeye çalışıyor." Dedi. Örneğin, bir veritabanı analisti düzenli olarak belirli araçları kullanır. Bu yüzden, olağandışı bir zamanda olağandışı bir yerden giriş yapar ve olağandışı başvurularına erişirse, sistem hesabının tehlikeye girebileceği sonucuna varır.
Balabit tarafından takip edilen UBA özellikleri, kullanıcının tarihsel alışkanlıklarını (giriş zamanı, sık kullanılan uygulamalar ve komutlar), mal sahipliğini (ekran çözünürlüğü, trackpad kullanımı, işletim sistemi sürümü), bağlamı (ISS, GPS verileri, konum, ağ trafiği sayaçları) içerir. ve ve kendine özgü (sen bir şeysin). İkinci kategoride, fare hareketi analizi ve tuş vuruşu dinamiği vardır; bu sayede, sistem bir kullanıcının parmaklarının klavyeyi ne kadar sert ve hızlı sardığını tespit eder.
Geek açısından büyüleyici iken, Scheidler fare ve klavye ölçümlerinin henüz kusursuz olmadıklarını söyler. Örneğin, birinin tuş vuruşlarını tespit etmenin yaklaşık yüzde 90 güvenilir olduğunu, bu nedenle şirketin araçlarının o alanda büyük bir anomaliye güvenmediğini söyledi. Ayrıca, kullanıcı davranışı her zaman biraz farklıdır; stresli bir gününüz veya elinizde bir ağrı varsa, fare hareketleri farklıdır.
Scheidler, “Kullanıcıların davranışının birçok yönü ile çalıştığımızdan ve toplam değer temel profille karşılaştırılacak değer olduğundan, toplamda yüzde 100'e yaklaşan çok yüksek bir güvenilirliğe sahip” dedi.
Balabit kesinlikle, ürünleri güvenlik olaylarını tanımlamak için UBA kullanan tek satıcı değil. Örneğin, siber mevsim, dikkatli insanları “Hmm, bu komik” diyen davranışları tanımlamak için benzer bir metodoloji kullanır.
Cybereason'un CTO'su Yonatan Streim Amit'i açıklıyor: "Platformumuz bir anormallik gördüğünde - James geç saate kadar - bunu bilinen diğer davranışlarla ve ilgili verilerle ilişkilendirebilir. Aynı uygulamaları ve erişim modellerini kullanıyor mu? Hiç iletişim kurmadığı birine veri gönderiyor mu? Tüm iletişim yöneticisine gidiyor mu, yoksa kim cevap veriyor? " Cybereason, bir alarmın yanlış bir pozitif mi yoksa meşru bir kaygı mı olduğunu belirlemek için bir bağlam sağlamak üzere, uzun süredir gözlemlenen diğer verilerin listesiyle anormal çalışan James'in anomalisini analiz eder.
Cevapları bulmak BT'nin işidir, ancak doğru soruları ortaya çıkarabilecek bir yazılımın olmasına kesinlikle yardımcı olur. Örneğin, bir sağlık kuruluşundaki iki kullanıcı ölen hastaların kayıtlarına erişiyordu. “Neden bir ya da üç yıl önce vefat etmiş hastalara bakıyor, bir tür kimlik ya da tıbbi dolandırıcılık yapmak istemiyorsanız?” Cognetyx'in CEO'su Amit Kulkarni'ye soruyor. Bu güvenlik riskini belirlerken, Cognetyx sistemi, o departmanın normal etkinliklerine dayanarak uygunsuz erişimi tanımladı ve iki kullanıcının davranışını, meslektaşlarının erişim düzenleriyle ve kendi normal davranışlarıyla karşılaştırdı.
Fortscale's Tendler, "Tanım gereği, makine öğrenme sistemleri yinelemeli ve otomatiktir, " dedi. "Yeni verileri daha önce gördükleri ile karşılaştırmak istiyorlar, ancak elde olmayan hiçbir şeyi" diskalifiye etmiyorlar "ya da beklenmedik veya sınır dışı sonuçları otomatik olarak atıyorlar."
Bu yüzden Fortscale'nin algoritmaları, bir veri setindeki gizli yapıları, hatta yapının nasıl göründüğünü bilmiyor olsalar bile arar. “Beklenmeyenleri bulsak bile, üzerine potansiyel olarak yeni bir kalıp haritası inşa edebileceğimiz bir yem sağlıyor. Makine öğrenmesini deterministik kural setlerinden çok daha güçlü kılan şey bu: Makine öğrenme sistemleri daha önce hiç görülmemiş güvenlik sorunlarını bulabiliyor.”
ML sistemi bir anormallik bulduğunda ne olur? Genel olarak, bu araçlar, yanlış bir pozitifin yan etkileri şirkete ve müşterilerine zarar verdiğinden, bir şekilde nihai bir arama yapmak için insana uyarıları dağıtır. Balabit's Scheidler, "Sorun giderme ve adli tıpta insan uzmanlığına ihtiyaç var" açıklamasında bulundu. İdeal olan, oluşturulan uyarıların doğru ve otomatik olması ve gösterge panolarının "hey, bu garip" bir davranış haline getirme yeteneği ile sistem durumuna ilişkin faydalı bir genel bakış sağlamasıdır.
Kaynak: Balabit.com (Tam görünümü görmek için yukarıdaki grafiğe tıklayın.)
Bu sadece başlangıç
ML ve IT güvenliğinin çikolata ve fıstık ezmesi veya kediler ve internet gibi mükemmel bir eşleşme olduğunu varsaymayın. Bu, devam etmekte olan bir çalışmadır, ancak ürünler daha fazla özellik, uygulama entegrasyonu ve teknik iyileştirmeler kazandıkça daha fazla güç ve kullanışlılık kazanacaktır.
Kısa vadede, güvenlik ve operasyon ekiplerinin daha hızlı ve daha az insan müdahalesiyle yeni veri öngörüleri elde edebilmesi için otomasyondaki gelişmeleri arayın. Önümüzdeki iki ya da üç yıl içinde, Prelert’in VP’sinin ürün müdürü olan Mike Paquette, “gelişmelerin iki şekilde gelmesini bekliyoruz: saldırı davranışlarını tanımlayan genişletilmiş bir önceden yapılandırılmış kullanım durumları kütüphanesi ve otomatik özellik seçimi ve konfigürasyonundaki ilerlemeleri azaltarak danışmanlık sözleşmelerine duyulan ihtiyaç. "
Sonraki adımlar, kendi başlarına saldırılara karşı kendi başlarına mücadele edebilecek kendi kendine öğrenme sistemleri, diyor Darktrace's Palmer. “Kötü amaçlı yazılımlardan, bilgisayar korsanlarından veya rahatsız olan çalışanlardan ortaya çıkan risklere, geleneksel savunma gibi bireysel ikili kararlar vermek yerine, bireysel cihazların ve genel iş süreçlerinin normal davranışının tam bağlamını anlayacak şekilde yanıt verecekler. Bu çok önemli olacak. Her türlü değerli varlığa (sadece dosya sistemlerinde değil) saldırmaya yol açacak ve haraç temelli saldırılar gibi daha hızlı hareket eden saldırılara yanıt vermek ve insanlar tarafından mümkün olandan daha hızlı tepki vermek üzere tasarlanacak ”dedi.
Bu, bolca söz verilen, heyecan verici bir alan. ML ve gelişmiş güvenlik araçlarının birleşimi yalnızca BT uzmanlarına kullanılacak yeni araçlar sağlamakla kalmaz, aynı zamanda daha da önemlisi, işlerini daha doğru ve daha hızlı bir şekilde yapmalarını sağlayan araçlar sunar. Gümüş bir mermi olmasa da, kötü adamların çok uzun zamandır tüm avantajlara sahip olduğu bir senaryoda atılmış önemli bir adımdır.
