Din næste digitale sikkerhedsvagt skal være mere som RoboCop

Denne leverandørskrevne tech-primer er blevet redigeret af Network World for at eliminere produktpromovering, men læsere skal bemærke, at det sandsynligvis vil favorisere afsenderens tilgang.

Mennesker er klart ude af stand til at overvåge og identificere enhver trussel på nutidens store og komplekse netværk ved hjælp af traditionelle sikkerhedsværktøjer. Vi er nødt til at forbedre menneskelige evner ved at udvide dem med maskineintelligens. Blanding af mand og maskine - på nogle måder, svarende til hvad OmniCorp gjorde med RoboCop - kan øge vores evne til at identificere og stoppe en trussel, før det er for sent.

De "stumme" værktøjer, som organisationer stoler på i dag, er simpelthen ineffektive. Der er to konsistente, men alligevel overraskende ting, der gør denne udugelighed temmelig synlig. Den første er den mængde tid, hackere har fri regeringsperiode inden for et system, før de opdages: otte måneder hos Premera og P.F. Chang's, seks måneder hos Nieman Marcus, fem måneder på Home Depot, og listen fortsætter.

Den anden overraskelse er svaret. Alle kigger normalt bagud og prøver at finde ud af, hvordan de eksterne skuespillere kom ind. At finde den ordsprægede lækage og tilslutte det er naturligvis vigtigt, men denne tilgang behandler kun et symptom i stedet for at helbrede sygdommen.

Sygdommen er i dette tilfælde den voksende fraktion af hackere, der bliver så gode til, hvad de gør, at de kan infiltrere et netværk og vandre frit rundt og få adgang til flere filer og data, end selv de fleste interne medarbejdere har adgang til. Hvis det tog måneder for Premera, Sony, Target og andre at opdage disse dårlige skuespillere i deres netværk og begynde at lappe hullerne, der lod dem ind, hvordan kan de være sikre på, at en anden gruppe ikke fandt et andet hul? Hvordan ved de, at andre grupper ikke samler data lige nu? I dag kan de ikke vide det med sikkerhed.

Den typiske respons

Indtil for nylig har virksomheder virkelig kun haft en mulighed som et svar på stigende trusler, et svar, som de fleste organisationer stadig bruger. De hærder systemer, ratchet-up firewall og IDS / IPS regler og tærskler og sætter strengere webproxy- og VPN-politikker på plads. Men ved at gøre dette drukner de deres hændelsesresponshold i alarmer.

Stramning af politikker og tilføjelse af antallet af scenarier, der løfter et rødt flag, gør bare jobbet vanskeligere for sikkerhedsteam, der allerede er strakt tyndt. Dette medfører tusinder af falske positiver hver dag, hvilket gør det fysisk umuligt at undersøge hver enkelt. Som de seneste høje profilangreb har vist sig, hjælper floden af ​​advarsler ondsindet aktivitet med at glide gennem revnerne, for selv når det "fanges", gøres der ikke noget ved det.

Derudover spilder alles tid på at slå ned på sikkerhedsregler og procedurer. Ved design vil strammere politikker begrænse adgangen til data, og i mange tilfælde er disse data, hvad medarbejderne har brug for for at udføre deres job godt. Medarbejdere og afdelinger vil begynde at bede om de værktøjer og information, de har brug for, og spilde dyrebar tid for dem og IT / sikkerhedsteamene, der er nødt til at lægge veterinær på enhver anmodning.

Sætter RoboCop i sagen

Maskinens efterretning kan bruges til at politiets massive netværk og hjælpe med at udfylde huller, hvor de tilgængelige ressourcer og muligheder for menneskelig efterretning tydeligvis ikke kommer til kort. Det er lidt som at lade RoboCop politi i gaderne, men i dette tilfælde er det væsentligste armering statistiske algoritmer. Mere specifikt kan statistikker bruges til at identificere unormal og potentielt ondsindet aktivitet, når den forekommer.

Ifølge Dave Shackleford, en analytiker ved SANS Institute og forfatter af sin analyse- og intelligensundersøgelse fra 2014, "er en af ​​de største udfordringer, som sikkerhedsorganisationer står overfor, manglende synlighed til, hvad der sker i miljøet." Undersøgelsen blandt 350 it-fagfolk spurgte, hvorfor de har svært ved at identificere trusler, og en topreaktion var deres manglende evne til at forstå og baseline "normal opførsel." Det er noget, som mennesker bare ikke kan gøre i komplekse miljøer, og da vi ikke er i stand til at skelne mellem normal adfærd, kan vi ikke se unormal adfærd.

I stedet for at stole på, at mennesker ser på grafer på skærme på store skærme, eller menneskedefinerede regler og tærskler for at hæve flag, kan maskiner lære, hvordan normal opførsel ser ud, justere sig i realtid og blive smartere, efterhånden som de behandler mere information. Derudover har maskiner den hastighed, der kræves for at behandle den enorme mængde information, som netværk skaber, og de kan gøre det i næsten realtid. Nogle netværk behandler terabytes med data hvert sekund, mens mennesker på den anden side ikke kan behandle mere end 60 bit i sekundet.

Hvis man lægger behovet for hastighed og kapacitet til side, er et større emne med den traditionelle måde at overvåge sikkerhedsspørgsmål på, dumt. Det er heller ikke bare navnetopkald, de er bogstaveligt talt stumme. Mennesker sætter regler, der fortæller maskinen, hvordan de skal handle, og hvad de skal gøre - hastigheden og behandlingskapaciteten er irrelevant. Mens regelbaserede overvågningssystemer kan være meget komplekse, bygger de stadig på en grundlæggende formular "hvis dette, så gør det". At gøre det muligt for maskiner at tænke selv og fodre bedre data og indsigt til de mennesker, der er afhængige af dem, er det, der virkelig vil forbedre sikkerheden.

Det er næsten absurd at ikke have et lag af sikkerhed, der tænker for sig selv. Forestil dig i den fysiske verden, hvis nogen krydsede grænsen hver dag med en trillebør fuld af snavs og toldmyndighederne, der var flittige på deres job og fulgte reglerne, blev sigte gennem den snavs dag efter dag og aldrig fundet, hvad de troede, de var leder efter. Selvom den samme person gentagne gange krydser grænsen med en trillebør fuld af snavs, tænker ingen nogensinde at se på trillebøren. Hvis de havde gjort det, ville de hurtigt have lært, at han stjal trillebøre hele tiden!

Bare fordi ingen bad toldmyndighederne om at kigge efter stjålne trillebøre, gør det ikke OK, men som de siger, er bagspejlet 20/20. I den digitale verden er vi ikke nødt til at stole på bageftersyn, især nu hvor vi har magten til at sætte maskinens intelligens til at fungere og genkende anomalier, der kan forekomme lige under vores næser. For at cybersikkerhed skal være effektiv i dag, har den mindst brug for et grundlæggende intelligensniveau. Maskiner, der lærer på egen hånd og opdager afvigende aktivitet, kan finde den "trillebårstyv", der langsomt kan syfoneringsdata, selvom du ikke specifikt ved, at du leder efter ham.

Anomali-detektion er blandt de første teknologikategorier, hvor maskinlæring bliver brugt til at forbedre netværks- og applikationssikkerhed. Det er en form for avanceret sikkerhedsanalyse, som er et udtryk, der bruges temmelig ofte. Der er dog et par krav, som denne type teknologi skal opfylde for virkelig at blive betragtet som "avanceret." Det skal let bruges til at fungere kontinuerligt, mod en bred vifte af datatyper og kilder, og ved enorme dataskalaer for at producere høj trofaste indsigt for ikke at øge den alarmerende blindhed, der allerede står over for sikkerhedsteams.

Førende analytikere er enige om, at maskinlæring snart vil være et "behov for at have" for at beskytte et netværk. I en nov. 2014, Gartner-rapport med titlen, "Tilføj nye performance-metrics til at styre maskinelæringsaktiverede systemer", siger analytiker Will Cappelli direkte, "maskinlæringsfunktionalitet vil i løbet af de næste fem år gradvist blive gennemgribende og i processen , grundlæggende ændre systemets ydelse og omkostningsegenskaber. ”

Mens maskinlæring bestemt ikke er en sølvkugle, der vil løse alle sikkerhedsudfordringer, er der ingen tvivl om, at den vil give bedre information for at hjælpe mennesker med at træffe bedre beslutninger. Lad os stoppe med at bede folk om at gøre det umulige og lade maskineoplysning træde ind for at hjælpe med at få arbejdet gjort.

Prelert leverer avanceret analyse til detektion af trusselaktiviteter. Prelert hjælper organisationer hurtigt med at opdage, undersøge og reagere på trusselaktiviteter efter overtrædelse med automatisk opdagelse af maskinlæreanomalier.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.