视频: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
IT安全是一个危险且昂贵的难题。 保护公司数据和网络花费了大量资金。 成群的坏蛋被驱使闯入,失败的后果比保护的代价更痛苦。
更糟糕的是,首席安全官(CSO)当前处理安全性的方式是侵入性的。 虽然始终需要诸如托管端点保护之类的核心安全工具,但我们每个人都已为管理密码感到困难,抱怨对我们所需软件的访问权,并抱怨我们与我们需要做的工作之间的障碍。 如果安全性程序在100%的时间内都有效,那么也许我们会接受的,但是,嘿,您是否注意到仍然报告了多少次违规? 我也是。 只需看一下下面这张图中每年数据泄露的数量是如何爆炸的(数据分析和可视化博客Sparkling Data)。 该图显示了自2009年以来的数据泄露情况,按行业类型和被泄露的记录数进行了分解:
资料来源:2016年7月24日 ; HIPAA违约数据分析 ; 闪耀数据
但是,还有一个好消息。 相同的机器学习(ML)技术和预测分析算法可为您提供有用的书本建议,并为最先进的自助式商业智能(BI)和数据可视化提供支持 工具已合并到IT安全工具中。 专家报告说,您可能不会因此而花更少的钱在公司的IT安全上,但是至少您的员工将更有效地工作,并且在破坏之前找到黑客和恶意软件的机会更大。
机器学习和IT安全性的结合当然可以被标记为“新兴技术”,但是让它变得很酷的是,我们并不是在谈论一种技术。 ML由多种技术组成,每种技术都有不同的应用方式。 而且,由于有许多供应商在这一领域开展工作,因此我们可以看到整个新技术类别竞争,发展并希望为我们所有人带来好处。
那么,什么是机器学习?
ML允许计算机自学一些内容,而无需进行显式编程。 通过访问大型数据集(通常是大型数据集)来做到这一点。
“通过机器学习,我们可以为计算机提供10, 000张猫的图片,并告诉它,'这就是猫的模样。' 然后,您可以为计算机提供10, 000张未标记的图片,并要求它找出哪些是猫。” Booz Allen的高级研究员Adam Porter-Price解释道。 当您向系统提供反馈时,无论模型的猜测是正确还是不正确,模型都会不断完善。 随着时间的流逝,系统将更准确地确定照片是否包含猫(当然,所有照片都应包含)。
这并不是一项崭新的技术,尽管最近在更快的计算机,更好的算法和大数据工具方面取得了一定的进步。 Fortscale首席执行官Idan Tendler说:“机器学习(尤其是用于模拟人类行为的方法)已经存在了很长时间。” “这是许多学科定量方面的核心组成部分,从机票价格到政治民意调查再到快餐营销,其历史可以追溯到1960年代。”
最明显和可识别的现代用途是在营销活动中。 例如,当您在亚马逊上购买一本书时,它的推荐引擎会挖掘以前的销售情况,并建议您可能会喜欢的其他书(例如,喜欢史蒂文·布鲁斯特(Steven Brust)的 Yendi的人 也可能喜欢吉姆·布彻(Jim Butcher)的小说),这转化为更多的书本销售。 那就是在那儿应用了ML。 另一个示例可能是一家使用客户关系管理(CRM)数据分析客户流失的公司,或者是使用ML分析多少奖励积分来激励常旅客接受特定优惠的航空公司。
计算机系统收集和分析的数据越多,其见解(以及猫照片识别)就越好。 另外,随着大数据的到来,机器学习系统可以合并来自多个来源的信息。 例如,在线零售商可以查看自己的数据集之外,以分析客户的Web浏览器数据以及来自其合作伙伴站点的信息。
IT安全工具供应商Balabit的首席技术官BalázsScheidler表示,ML会收集人类无法理解的数据(例如数百万行网络日志文件或大量的电子商务交易),并将其转变为更易于理解的数据。 。
Scheidler说:“机器学习系统能够识别模式并突出异常,这有助于人类掌握情况,并在适当时采取行动。” “而且机器学习以自动化的方式进行这种分析;您无法仅通过查看事务日志来学习相同的东西。”
ML修补安全漏洞的地方
幸运的是,可以帮助您决定购买新书的机器学习原则可以使您的公司网络更加安全。 实际上,Fortscale的Tendler说,IT厂商对ML派对有点晚了。 市场营销部门可以在早期采用机器学习中看到财务收益,特别是因为错误的代价很小。 推荐错误的书不会破坏任何人的网络。 安全专家需要对该技术有更多的确定性,而且看来他们终于有了。
坦白说,是时候了。 因为当前处理安全性的方法是侵入性的和被动的。 更糟糕的是:大量的新安全工具和不同的数据收集工具导致即使对于观察者而言,输入也过多。
IT安全公司LightCyber的产品管理高级总监David Thompson表示:“大多数公司每天都有成千上万的警报,其中大部分是误报。” “即使看到了警报,也可能会将其视为单个事件,而不应理解为是较大的精心策划的攻击的一部分。”
汤普森(Thompson)援引加特纳(Gartner)的一份报告说,大多数攻击者平均 五个月 未被发现。 DataVisor的研究科学家Ting-Fang Yen指出,这些误报还可能导致用户愤怒,每当员工被阻止或被标记为错误时,更不用说IT团队在解决问题上所花费的时间。
因此,使用ML进行IT安全的第一步是分析网络活动。 算法会评估活动模式,并将其与过去的行为进行比较,并确定当前活动是否构成威胁。 为了提供帮助,诸如Core Security之类的供应商会评估网络数据,例如HTTP请求中用户的DNS查找行为和通信协议。
某些分析是实时进行的,其他ML解决方案则检查事务记录和其他日志文件。 例如,Fortscale的产品可以发现内部威胁,包括涉及被盗凭证的威胁。 Fortscale的Tendler说:“我们专注于访问和身份验证日志,但是日志几乎可以来自任何地方:Active Directory,Salesforce,Kerberos,您自己的'皇冠珠宝应用程序'。” “品种越多越好。” ML在这里的关键与众不同之处在于,它可以将组织的谦虚且经常被忽略的内务处理日志转变成有价值,高效且廉价的威胁情报来源。
这些策略正在发挥作用。 一家拥有不到100, 000个用户的意大利银行经历了内部威胁,其中涉及将敏感数据大规模泄露到一组未识别的计算机上。 具体来说,使用合法的用户凭据通过Facebook在组织外部发送大量数据。 该银行部署了由ML支持的Darktrace企业免疫系统,该系统在公司服务器连接至Facebook的三分钟内即可检测到异常行为,这是不正常的活动,Darktrace技术总监Dave Palmer说。
该系统立即发出威胁警报,使银行的安全团队能够做出响应。 最终,调查导致系统管理员无意中下载了将银行服务器困在比特币挖矿僵尸网络中的恶意软件,该僵尸网络由黑客控制。 帕尔默说,在不到三分钟的时间内,该公司进行了分类,实时调查并开始响应,而不会丢失公司数据或损害客户运营服务。
监视用户,而不是访问控制或设备
但是计算机系统可以研究任何类型的数字足迹。 如今,这就是很多供应商的关注点:朝着组织的用户创建“已知良好”行为的基准(称为用户行为分析(UBA))迈进。 到目前为止,访问控制和设备监视都还没有。 几位专家和厂商表示,将 用户 作为安全的中心焦点要好得多,这正是UBA的全部目的。
Balabit的Scheidler说:“ UBA是一种观察人们在做什么并注意到他们是否在做异常事情的方式。” 该产品(在本例中为Balabit的Blindspotter和Shell Control Box)为每个用户的典型行为建立了一个数字数据库,此过程大约需要三个月。 此后,该软件会从该基线识别异常。 ML系统会创建一个分数,说明用户帐户的运行状况如何,以及问题的严重性。 只要分数超过阈值,就会生成警报。
Scheidler说:“分析人员会尝试确定您是否自己。” 例如,数据库分析师定期使用某些工具。 因此,如果她在不寻常的时间从不寻常的位置登录并访问不正常的应用程序,则系统会得出结论,认为她的帐户可能受到了损害。
Balabit跟踪的UBA特性包括用户的历史习惯(登录时间,常用应用程序和命令),所有物(屏幕分辨率,触控板使用,操作系统版本),上下文(ISP,GPS数据,位置,网络流量计数器) ,以及内在性(您就是这样)。 在后一类中是鼠标移动分析和按键动态,通过该系统可以绘制用户手指敲击键盘的力度和速度。
Scheidler着迷于极客,但他警告说,鼠标和键盘的测量还不是万无一失的。 他说,例如,确定某人的击键的可靠性大约为90%,因此该公司的工具不会严重依赖该区域的异常情况。 此外,用户的行为一直都略有不同。 如果您的一天压力很大或手部疼痛,则鼠标的移动会有所不同。
Scheidler说:“由于我们处理了用户行为的许多方面,并且汇总值是可以与基准配置文件进行比较的值,因此,它具有非常高的可靠性,可以收敛到100%。”
Balabit当然不是唯一使用UBA识别安全事件的产品的供应商。 例如,赛博森(Cybereason)使用类似的方法来识别行为,使细心的人说:“嗯, 这很 有趣。”
解释了Cybereason的首席技术官Yonatan Streim Amit:“当我们的平台发现异常(James迟到了)时,我们可以将其与其他已知行为和相关数据相关联。他是否使用相同的应用程序和访问模式?他是否正在向从未通信的人发送数据还是所有通讯都发送给了正在回覆的经理?” Cybereason会利用大量其他观察到的数据来分析James异常地工作到很晚的异常现象,从而为确定警报是误报还是合法问题提供了依据。
寻找答案是IT的工作,但是拥有可以提出正确问题的软件肯定会有所帮助。 例如,一家医疗保健机构中的两个用户正在访问死者的记录。 “为什么有人会看两三年前去世的患者,除非您想做某种身份证明或医疗欺诈?” 问Cognetyx首席执行官Amit Kulkarni。 在识别此安全风险时,Cognetyx系统根据该部门的正常活动识别了不适当的访问,并将两个用户的行为与对等用户的访问模式进行了比较,并与他们自己的正常行为进行了比较。
Fortscale的Tendler说:“根据定义,机器学习系统是迭代的和自动化的。” “他们希望将新数据与他们之前所看到的相匹配,但是不会使任何事情失去资格,也不会自动“丢弃”意外或超出范围的结果。”
因此,Fortscale的算法会在数据集中寻找隐藏的结构,即使它们不知道结构是什么样。 “即使我们发现了意外情况,它也提供了可能在其上构建新模式图的饲料。这就是使机器学习比确定性规则集强大得多的原因:机器学习系统可以发现从未见过的安全问题。”
ML系统发现异常时会发生什么? 通常,这些工具以某种方式将警报传递给人员以进行最终呼叫,因为误报的副作用会损害公司及其客户。 Balabit的Scheidler断言:“故障排除和取证需要人的专业知识。” 理想的情况是所生成的警报是准确且自动化的,并且仪表板提供了系统状态的有用概览,并能够深入研究“嘿,这很奇怪”的行为。
来源:Balabit.com(单击上方的图形可查看完整视图。)
这仅仅是个开始
不要以为机器学习和IT安全是巧克力,花生酱或猫和互联网等完美的结合。 尽管随着产品获得更多功能,应用程序集成和技术改进,它将获得更多功能和实用性,但这项工作仍在进行中。
在短期内,请寻求自动化方面的进步,以便安全和运营团队可以更快地获得新的数据见解,而无需人工干预。 Prelert产品副总裁Mike Paquette说,在接下来的两三年中,“我们希望技术进步有两种形式:用于识别攻击行为的预先配置用例的扩展库,以及自动功能选择和配置的进步,需要咨询服务。”
Darktrace的Palmer说,下一步是可以自我反击攻击的自学习系统。 “他们将以了解单个设备正常行为和整个业务流程的完整上下文的方式来应对恶意软件,黑客或不满员工的新兴风险,而不是像传统防御那样做出单个二进制决策。这将至关重要应对诸如勒索攻击之类的快速移动攻击,这种攻击将演变为攻击任何有价值的资产(不仅仅是文件系统),并且将被设计为以比人类更快的速度做出反应。”
这是一个充满希望的令人兴奋的领域。 机器学习和高级安全性工具的结合不仅为IT专业人员提供了新的工具,而且使他们可以更快,更准确地完成工作。 虽然不是灵丹妙药,但在坏人拥有所有优势太久的情况下,这是向前迈出的重要一步。
