CO TWOI ANALITYCY BEZPIECZEŃSTWA MOGĄ UCZYĆ SIĘ OD TWOICH DANYCH NAUKOWCÓW, BY ULEPSZYĆ CYBERBEZPIECZEŃSTWO - TECHCRUNCH - PRASOWE - 2019

Anonim

Michael Schiebel Współtwórca

Michael Schiebel jest inżynierem ds. Bezpieczeństwa cybernetycznego w Hortonworks.

Bezpieczeństwo pozostaje jednym z największych nierozwiązanych wyzwań dla firm. W ciągu ostatnich 30 lat wydano miliardy dolarów na technologie bezpieczeństwa, ale hakerzy wydają się odnosić więcej sukcesów niż kiedykolwiek wcześniej. Każda organizacja jest teraz pod ogromnym zagrożeniem, przez cały czas.

Dzisiaj hackowanie jest o wiele bardziej skomplikowane niż kiedyś: nie wymaga już tylko skanowania i penetrowania sieci poprzez lukę w zabezpieczeniach. Jednak tradycyjne narzędzia bezpieczeństwa stosowane przez większość firm są często niewystarczające, ponieważ nadal koncentrują się na tym, ignorując to, co jest obecnie bardzo złożonym, po kompromisowym ciągiem zdarzeń.

Większość narzędzi nadal jest oparta na rolach, z podpisami, regułami wykrywania i odpowiedzi. To ich upadek. Nowoczesne złożone łańcuchy ataków mają o wiele więcej faz, od rozpoznania do eksploatacji, podniesienia uprawnień, wewnętrznego rozprzestrzeniania się w poziomie, eksfiltracji danych i utrzymywania dostępu w czasie.

Ponieważ duża część innowacji w zakresie dużych zbiorów danych i bezpieczeństwa znajduje się obecnie w świecie oprogramowania typu open source, oto kilka lekcji, których nauczyły się naukowcy danych i do których specjaliści ds. Bezpieczeństwa muszą zwrócić uwagę.

Skoncentruj się na nieprawidłowościach

Nauka o danych polega na tworzeniu struktury z niestrukturalnymi danymi i etykietowaniu jej, dzięki czemu można porównać normalne i nieprawidłowe wzorce za pomocą maszyny lub algorytmów głębokiego uczenia się. Niezależnie od tego, czy chodzi o reklamę typu "clickstream", analizę nastrojów nabywcy, algorytmy rozpoznawania twarzy, przewidywanie wirusa pandemicznego czy modelowanie rozprzestrzeniania się szkodliwego oprogramowania za pośrednictwem sieci, to ta sama podstawowa nauka o danych. Jakie zmiany to rodzaj wykrywanego wzoru.

Zbyt wiele narzędzi bezpieczeństwa jest wbudowanych w probówkę.

Weźmy analizę nastrojów klientów, na przykład, gdzie szukamy "normalnych" zachowań zakupowych naszych klientów. Jak oni wchodzą w interakcje z nami? Co jest normalne? Chodzi o ignorowanie nieprawidłowości i skrajnych przypadków oraz umiejętność klasyfikowania typów normalnych zachowań.

A co, gdybym chciał zrozumieć internetowe oszustwa związane z kartami kredytowymi dla tego samego zestawu kupujących? Chciałbym skupić się na nieprawidłowościach. Są to te same dane, te same techniki i te same modele analityczne, ale wolisz skupić się na wartościach odbiegających od normalnych. Jest więc niezwykle ważne, aby sprzedawca zabezpieczeń i specjalista od zabezpieczeń korzystali z tych samych danych i zasadniczo tego samego algorytmu, tylko z alternatywnym celem.

Użyj WSZYSTKICH danych

Jest to podstawowa rzecz, której uczysz się jako informatyk, który może nie być oczywisty dla specjalistów od bezpieczeństwa. W przypadku rozwiązania zabezpieczającego, które wykrywa WSZYSTKIE zmiany zachowań, należy uruchomić algorytmy uczenia maszynowego w odniesieniu do nieprzetworzonej aktywności, a nie tylko wstępnie przefiltrowanego strumienia zdarzeń.

Nie można budować modeli analitycznych i profilu behawioralnego, aby odróżnić nienormalne zachowania, jeśli nie jesteś w stanie wykryć surowego zachowania w pierwszej kolejności. Jeśli planujesz przeprowadzać analitykę bezpieczeństwa z alertów generowanych w tradycyjnym produkcie zabezpieczającym, jesteś na niewłaściwym torze. Zbyt wiele narzędzi bezpieczeństwa jest wbudowanych w probówkę. W związku z tym ważne jest, aby przyjrzeć się, w jaki sposób rozwiązania analityki bezpieczeństwa zbierają dane, co gromadzą i czy dostarczają prawdziwego nieprzetworzonego źródła aktywności - zarówno w spoczynku, jak i w ruchu.

Automatyzuj, automatyzuj, automatyzuj

Prawdziwym problemem w większości organizacji jest to, że zbyt wiele danych dotyczących alertów bezpieczeństwa pojawia się zbyt szybko. Zespoły reagowania na incydenty są zbyt małe i zbyt przytłoczone, aby skutecznie monitorować, segregować i rozwiązywać incydenty związane z bezpieczeństwem.

Rozmawiałem z firmami generującymi setki tysięcy alertów na sekundę. Ale powiedzmy hipotetycznie, że duża firma generuje tylko 100 000 alertów dziennie. Czteroosobowy zespół ds. Reagowania na incydenty wydający średnio 30 minut na jeden przypadek będzie w stanie segregować tylko 16 alarmów dziennie na osobę lub codziennie aż 64 incydenty na zespół. Znaczna większość ostrzeżeń pozostanie niezbadana, wyjaśniając, dlaczego kompromisy mogą trwać średnio 145 dni, zanim ktokolwiek zauważy. Ze wszystkich względów i celów wiele organizacji nie patrzy.

W jaki sposób zespoły bezpieczeństwa mogą przetwarzać większy odsetek alertów dziennie? Czy może priorytetowo potraktować te najbardziej poważne? Odpowiedź brzmi: agresywnie zautomatyzować wykrywanie i reagowanie na alarmy, redukując 30-minutowy proces na jedno zdarzenie do dwóch.

Koncentrując się na nieprawidłowościach, wykorzystując wszystkie dostępne dane oraz, w miarę możliwości, integrując i automatyzując, zespoły i organizacje reagowania na incydenty będą w stanie lepiej radzić sobie z nowoczesnymi złożonymi sieciami ataków.