Video: MIJN KAT VERPEST MIJN POTJE.. 😅 - Fortnite Battle Royale (Nederlands) (November 2024)
IT-beveiliging is een gevaarlijke en dure hel. Er worden enorme hoeveelheden geld uitgegeven om bedrijfsgegevens en netwerken te beschermen. Hordes slechteriken zijn gemotiveerd om in te breken, en de gevolgen voor mislukking zijn pijnlijker dan de kosten van bescherming.
Erger nog, de huidige manieren waarop Chief Security Officers (CSO's) omgaan met beveiliging zijn opdringerig. Hoewel kernbeveiligingstools, zoals beheerde eindpuntbeveiliging, altijd nodig zullen zijn, heeft eenieder van ons geklaagd over de moeilijkheid van het beheren van wachtwoorden, bekritiseerd over toegangsrechten tot de software die we nodig hebben en klaagden over de barrières tussen ons en het werk dat we moeten doen. Als beveiligingsprocedures 100 procent van de tijd zouden werken, zouden we het misschien wel goed vinden, maar heb je gemerkt hoeveel inbreuken er nog worden gemeld? Ik ook. Kijk maar eens hoe het aantal datalekken per jaar is geëxplodeerd in deze afbeelding hieronder (door data-analyse en visualisatieblog Sparkling Data). De afbeelding toont sinds 2009 datalekken, uitgesplitst naar bedrijfstype en hoeveel miljoenen records zijn aangetast:
Bron: 24 juli 2016 ; Analyse van HIPAA-inbreukgegevens ; Sprankelende gegevens
Maar er is ook goed nieuws. Dezelfde machine learning (ML) -technologieën en voorspellende analytische algoritmen die u nuttige boekaanbevelingen geven en uw meest geavanceerde self-service business intelligence (BI) en datavisualisatie mogelijk maken tools worden opgenomen in IT-beveiligingstools. Experts melden dat u hierdoor waarschijnlijk niet minder geld zult uitgeven aan de IT-beveiliging van uw bedrijf, maar dat uw medewerkers in ieder geval efficiënter zullen werken en een betere kans hebben om hackers en malware te vinden voordat er schade is aangericht.
De combinatie van ML en IT-beveiliging kan zeker worden bestempeld als 'opkomende technologie', maar wat het cool maakt, is dat we het niet over slechts één technologie hebben. ML bestaat uit verschillende soorten technologie, elk op verschillende manieren toegepast. En omdat er zoveel leveranciers op dit gebied werken, kunnen we een hele nieuwe technologiecategorie zien concurreren, evolueren en hopelijk ons allemaal ten goede komen.
Wat is Machine Learning?
Met ML kan een computer zichzelf iets leren zonder expliciet te moeten worden geprogrammeerd. Het doet dit door toegang te krijgen tot grote datasets - vaak enorme.
"Met machine learning kunnen we een computer 10.000 foto's van katten geven en zeggen: 'Zo ziet een kat eruit.' En dan kun je de computer 10.000 niet-gelabelde foto's geven en hem vragen om erachter te komen welke katten zijn ", legt Adam Porter-Price uit, een Senior Associate bij Booz Allen. Het model verbetert naarmate u het systeem feedback geeft, of de schatting nu juist of onjuist is. Na verloop van tijd wordt het systeem nauwkeuriger in het bepalen of de foto een kat bevat (zoals natuurlijk alle foto's zouden moeten).
Dit is geen gloednieuwe technologie, hoewel recente ontwikkelingen in snellere computers, betere algoritmen en Big Data-tools zeker dingen hebben verbeterd. "Machine learning (vooral zoals toegepast op het modelleren van menselijk gedrag) bestaat al lang", zegt Idan Tendler, CEO van Fortscale. "Het is een kerncomponent van de kwantitatieve kanten van veel disciplines, variërend van vliegtarieven tot politieke peilingen tot fastfoodmarketing al in de jaren zestig."
De meest voor de hand liggende en herkenbare moderne toepassingen liggen in marketinginspanningen. Wanneer u bijvoorbeeld een boek op Amazon koopt, worden de aanbevelingsengines ervan gebruikt voor eerdere verkopen en suggereren ze extra boeken die u waarschijnlijk leuk zult vinden (bijvoorbeeld mensen die de Yendi van Steven Brust leuk vonden, kunnen ook Jim Butcher's romans leuk vinden), wat zich vertaalt in meer boekenverkoop. Dat is ML daar toegepast. Een ander voorbeeld kan een bedrijf zijn dat zijn CRM-gegevens (Customer Relationship Management) gebruikt om klantverloop te analyseren, of een luchtvaartmaatschappij die ML gebruikt om te analyseren hoeveel beloningspunten frequent flyers stimuleren om een bepaald aanbod te accepteren.
Hoe meer gegevens een computersysteem verzamelt en analyseert, des te beter zijn inzichten (en de identificatie van kattenfoto's). Bovendien kunnen ML-systemen met de komst van Big Data informatie uit meerdere bronnen bundelen. Een online retailer kan verder kijken dan zijn eigen gegevenssets, bijvoorbeeld door analyse van de webbrowser-gegevens van de klant en informatie van zijn partnersites.
ML neemt gegevens die te veel zijn voor mensen om te bevatten (zoals miljoenen regels netwerklogbestanden of een groot aantal e-commercetransacties) en maakt er iets eenvoudiger van, zei Balázs Scheidler, CTO van verkoper van IT-beveiligingstool Balabit.
"Machine learning-systemen herkennen patronen en benadrukken anomolieën, die mensen helpen een situatie te begrijpen en, waar nodig, actie te ondernemen", zei Scheidler. "En machine learning doet deze analyse op een geautomatiseerde manier; je zou niet dezelfde dingen kunnen leren door alleen naar transactielogboeken te kijken."
Waar ML beveiligingslekken herstelt
Gelukkig kunnen dezelfde ML-principes die u kunnen helpen beslissen over een nieuwe boekaankoop uw bedrijfsnetwerk veiliger maken. In feite, aldus Fortscale's Tendler, zijn de IT-leveranciers een beetje laat voor het ML-feest. De marketingafdelingen konden financiële voordelen zien bij de vroege invoering van ML, met name omdat de kosten van een fout minimaal waren. Het verkeerde boek aanbevelen zal iemands netwerk niet uitschakelen. Beveiligingsspecialisten hadden meer zekerheid nodig over de technologie en het lijkt erop dat ze deze eindelijk hebben.
Eerlijk gezegd is het tijd. Omdat de huidige manieren om met beveiliging om te gaan opdringerig en reactief zijn. Erger nog: de enorme hoeveelheid nieuwe beveiligingshulpmiddelen en ongelijksoortige hulpmiddelen voor gegevensverzameling heeft zelfs voor de kijkers te veel input opgeleverd.
"De meeste bedrijven worden overspoeld met duizenden waarschuwingen per dag, grotendeels gedomineerd door valse positieven, " zei David Thompson, Senior Director Product Management bij IT-beveiligingsbedrijf LightCyber. "Zelfs als de waarschuwing wordt gezien, zou deze waarschijnlijk worden gezien als een enkele gebeurtenis en niet worden begrepen als onderdeel van een grotere, georkestreerde aanval."
Thompson citeert een Gartner-rapport dat de meeste aanvallers gemiddeld vijf maanden onopgemerkt blijven. Die valse positieven kunnen ook leiden tot boze gebruikers, wees Ting-Fang Yen, een onderzoekswetenschapper bij DataVisor, telkens wanneer werknemers worden geblokkeerd of ten onrechte worden gemarkeerd, om nog maar te zwijgen over de tijd die het IT-team heeft doorgebracht om de problemen op te lossen.
Dus de eerste aanpak in IT-beveiliging met behulp van ML is het analyseren van netwerkactiviteit. Algoritmen beoordelen activiteitspatronen, vergelijken deze met gedrag uit het verleden en bepalen of de huidige activiteit een bedreiging vormt. Om te helpen evalueren leveranciers zoals Core Security netwerkgegevens zoals het DNS-opzoekgedrag van gebruikers en communicatieprotocollen binnen
Sommige analyses vinden in realtime plaats en andere ML-oplossingen onderzoeken transactierecords en andere logbestanden. Fortscale's product ziet bijvoorbeeld insider-bedreigingen, waaronder bedreigingen met gestolen inloggegevens. "We richten ons op toegangs- en authenticatielogboeken, maar de logboeken kunnen bijna overal vandaan komen: Active Directory, Salesforce, Kerberos, uw eigen 'kroonjuweelapplicaties'", zei Fortscale's Tendler. "Hoe meer variatie, hoe beter." Waar ML hier een belangrijk verschil maakt, is dat het de bescheiden en vaak genegeerde huishoudlogboeken van een organisatie kan omzetten in waardevolle, zeer effectieve en goedkope bronnen voor informatie over bedreigingen.
En deze strategieën maken een verschil. Een Italiaanse bank met minder dan 100.000 gebruikers ondervond een insiderbedreiging met betrekking tot grootschalige exfiltratie van gevoelige gegevens naar een groep niet-geïdentificeerde computers. In het bijzonder werden legitieme gebruikersreferenties gebruikt om grote hoeveelheden gegevens buiten de organisatie via Facebook te verzenden. De bank implementeerde het ML-powered Darktrace Enterprise Immune System, dat afwijkend gedrag binnen drie minuten detecteerde toen een bedrijfsserver verbinding maakte met Facebook - een ongebruikelijke activiteit, zei Dave Palmer, Director of Technology bij Darktrace.
Het systeem gaf onmiddellijk een dreigingswaarschuwing, waardoor het beveiligingsteam van de bank kon reageren. Uiteindelijk leidde een onderzoek tot een systeembeheerder die per ongeluk malware had gedownload die de server van de bank had gevangen in een bitcoin-mijnbotnet - een groep machines die door hackers worden bestuurd. In minder dan drie minuten gaf het bedrijf een triage, onderzocht het in realtime en begon het te reageren - zonder verlies van bedrijfsgegevens of schade aan de operationele diensten van klanten, aldus Palmer.
Gebruikers bewaken, geen toegangscontrole of apparaten
Maar computersystemen kunnen elke vorm van digitale voetafdruk onderzoeken. En dat is waar tegenwoordig de aandacht van leveranciers naar uitgaat: naar het creëren van basislijnen van "bekend goed" gedrag door gebruikers van een organisatie genaamd User Behaviour Analytics (UBA). Toegangscontrole en apparaatbewaking gaan alleen tot nu toe. Het is veel beter, zeggen verschillende experts en leveranciers, om gebruikers centraal te stellen in beveiliging, daar draait het bij UBA om.
"UBA is een manier om te kijken wat mensen doen en om te zien of ze iets bijzonders doen", zei Balabit's Scheidler. Het product (in dit geval Balabit's Blindspotter en Shell Control Box) bouwt een digitale database op van het typische gedrag van elke gebruiker, een proces dat ongeveer drie maanden duurt. Daarna herkent de software afwijkingen uit die basislijn. Het ML-systeem maakt een score van hoe "uit" een gebruikersaccount zich gedraagt, samen met de kritiek van het probleem. Waarschuwingen worden gegenereerd wanneer de score een drempel overschrijdt.
"Analytics probeert te bepalen of u uzelf bent", zegt Scheidler. Een database-analist gebruikt bijvoorbeeld regelmatig bepaalde tools. Dus als ze op een ongebruikelijke locatie op een ongebruikelijke locatie inlogt en toegang heeft tot ongebruikelijke applicaties, concludeert het systeem dat haar account mogelijk is aangetast.
De UBA-kenmerken die worden bijgehouden door Balabit omvatten de historische gewoonten van de gebruiker (inlogtijd, veelgebruikte applicaties en opdrachten), bezittingen (schermresolutie, trackpadgebruik, besturingssysteemversie), context (ISP, GPS-gegevens, locatie, tellers voor netwerkverkeer) en inherentie (iets wat je bent). In de laatste categorie zijn muisbewegingsanalyse en toetsaanslagdynamiek, waarbij het systeem in kaart brengt hoe hard en snel de vingers van een gebruiker op het toetsenbord slaan.
Hoewel fascinerend in geektermen, waarschuwt Scheidler dat de muis- en toetsenbordmetingen nog niet waterdicht zijn. Hij zei bijvoorbeeld dat het identificeren van iemands toetsaanslagen ongeveer 90 procent betrouwbaar is, zodat de tools van het bedrijf niet sterk afhankelijk zijn van een afwijking in dat gebied. Bovendien is het gebruikersgedrag voortdurend iets anders; als je een stressvolle dag hebt of pijn in je hand hebt, zijn de muisbewegingen anders.
"Omdat we met veel aspecten van het gedrag van de gebruikers werken en de geaggregeerde waarde vergeleken moet worden met het basisprofiel, heeft het een zeer hoge betrouwbaarheid die convergeert naar 100 procent", aldus Scheidler.
Balabit is zeker niet de enige leverancier wiens producten UBA gebruiken om beveiligingsgebeurtenissen te identificeren. Cybereason gebruikt bijvoorbeeld een vergelijkbare methode om gedrag te identificeren dat attente mensen laat zeggen: "Hmm, dat is grappig."
Legt Cybereason's CTO Yonatan Streim Amit uit: "Wanneer ons platform een afwijking ziet - James werkt laat - kunnen we het correleren met ander bekend gedrag en relevante gegevens. Gebruikt hij dezelfde applicaties en toegangspatronen? Stuur hij gegevens naar iemand die hij nooit communiceert met of gaat alle communicatie naar zijn manager, wie antwoordt terug? " Cybereason analyseert de anomalie van James die abnormaal laat werkt met een lange lijst van andere waargenomen gegevens om een context te bieden om te bepalen of een waarschuwing een vals positief of een terechte zorg is.
Het is de taak van IT om antwoorden te vinden, maar het helpt zeker om software te hebben die de juiste vragen kan oproepen. Twee gebruikers in een zorginstelling hadden bijvoorbeeld toegang tot dossiers van overleden patiënten. "Waarom zou iemand naar patiënten kijken die twee of drie jaar geleden zijn overleden, tenzij je een vorm van identiteit of medische fraude wilt doen?" vraagt Amit Kulkarni, CEO van Cognetyx. Bij het identificeren van dit beveiligingsrisico identificeerde het Cognetyx-systeem de ongepaste toegang op basis van de normale activiteiten voor die afdeling, en vergeleek het gedrag van de twee gebruikers met dat van de toegangspatronen van hun collega's en met hun eigen normale gedrag.
"Machine learning-systemen zijn per definitie iteratief en geautomatiseerd, " zei Tendler van Fortscale. "Ze proberen nieuwe gegevens te 'matchen' met wat ze eerder hebben gezien, maar zullen niets uit de hand" diskwalificeren "of automatisch onverwachte of buitengesloten resultaten" weggooien "."
De algoritmen van Fortscale zoeken dus naar verborgen structuren in een gegevensset, zelfs als ze niet weten hoe de structuur eruit ziet. "Zelfs als we het onverwachte vinden, biedt het voer om potentieel een nieuwe patroonkaart op te bouwen. Dat maakt machine learning zoveel krachtiger dan deterministische regels: machine learning-systemen kunnen beveiligingsproblemen vinden die nog nooit eerder zijn gezien."
Wat gebeurt er wanneer het ML-systeem een afwijking vindt? Over het algemeen geven deze tools waarschuwingen door aan een mens om op de een of andere manier een laatste beslissing te nemen, omdat de bijwerkingen van een vals positief schadelijk zijn voor het bedrijf en zijn klanten. "Probleemoplossing en forensisch onderzoek hebben menselijke expertise nodig", stelt Schabitler van Balabit. Het ideaal is dat de gegenereerde meldingen nauwkeurig en geautomatiseerd zijn en dat dashboards een handig overzicht geven van de systeemstatus met de mogelijkheid om te kijken naar "hey, dat is raar" gedrag.
Bron: Balabit.com (klik op de afbeelding hierboven om de volledige weergave te zien.)
Het is nog maar het begin
Ga er niet vanuit dat ML- en IT-beveiliging een perfecte match is, zoals chocolade en pindakaas of katten en internet. Dit is een work in progress, hoewel het meer kracht en bruikbaarheid zal krijgen naarmate producten meer functies, applicatie-integratie en technische verbeteringen krijgen.
Zoek op korte termijn naar automatisering, zodat beveiligingsteams en operationele teams sneller en met minder menselijke tussenkomst nieuwe gegevensinzichten kunnen verkrijgen. In de komende twee of drie jaar, zei Mike Paquette, VP van producten bij Prelert, "verwachten we dat de vooruitgang in twee vormen komt: een uitgebreide bibliotheek met vooraf geconfigureerde gebruiksgevallen die aanvalsgedrag identificeren, en vorderingen in geautomatiseerde functieselectie en configuratie, waardoor de behoefte aan adviesopdrachten."
De volgende stappen zijn zelflerende systemen die terug kunnen vechten tegen aanvallen, zei Darktrace's Palmer. "Ze reageren op nieuwe risico's van malware, hackers of ontevreden werknemers op een manier die de volledige context van normaal gedrag van afzonderlijke apparaten en de algemene bedrijfsprocessen begrijpt, in plaats van individuele binaire beslissingen te nemen, zoals traditionele verdedigingen. Dit is cruciaal om te reageren op sneller bewegende aanvallen, zoals op afpersing gebaseerde aanvallen, die veranderen in het aanvallen van waardevolle activa (niet alleen bestandssystemen) en die zijn ontworpen om sneller te reageren dan mogelijk is door mensen."
Dit is een opwindend gebied met veel belofte. De combinatie van ML en geavanceerde beveiligingstools geeft IT-professionals niet alleen nieuwe tools om te gebruiken, maar, nog belangrijker, het geeft hen tools waarmee ze hun werk nauwkeuriger en toch sneller dan ooit kunnen doen. Hoewel het geen zilveren kogel is, is het een belangrijke stap vooruit in een scenario waarin de slechteriken al veel te lang alle voordelen hebben gehad.
