Video: 14 Cose che Distruggono il Tuo Computer Lentamente ma Incessantemente (Settembre 2024)
La sicurezza IT è un inferno pericoloso e costoso. Vaste somme di denaro vengono spese per proteggere i dati e le reti aziendali. Orde di cattivi sono motivate a irrompere e le conseguenze del fallimento sono più dolorose del costo della protezione.
Peggio ancora, i modi attuali con cui i Chief Security Officer (CSO) gestiscono la sicurezza sono invadenti. Mentre gli strumenti di sicurezza fondamentali come la protezione dell'endpoint gestito saranno sempre necessari, ognuno di noi ha lamentato la difficoltà di gestire le password, ha imprecato sui diritti di accesso al software di cui abbiamo bisogno e si è lamentato delle barriere tra noi e del lavoro che dobbiamo fare. Se le procedure di sicurezza funzionassero il 100 percento delle volte, forse saremmo d'accordo, ma ehi, hai notato quante violazioni sono ancora segnalate? Anch'io. Dai un'occhiata a come il numero di violazioni dei dati all'anno è esploso in questo grafico di seguito (dal blog di analisi e visualizzazione dei dati Sparkling Data). Il grafico mostra le violazioni dei dati dal 2009, suddivise per tipo di settore e quanti milioni di record sono stati compromessi:
Fonte: 24 luglio 2016 ; Analisi dei dati di violazione HIPAA ; Dati scintillanti
Ma ci sono anche buone notizie. Le stesse tecnologie di machine learning (ML) e algoritmi analitici predittivi che offrono utili consigli sui libri e alimentano la tua business intelligence self-service (BI) più avanzata e la visualizzazione dei dati gli strumenti vengono incorporati negli strumenti di sicurezza IT. Gli esperti segnalano che probabilmente non spenderai meno soldi per la sicurezza IT della tua azienda a causa di ciò, ma almeno il tuo personale lavorerà in modo più efficiente e avrà maggiori possibilità di trovare hacker e malware prima che venga danneggiato.
La combinazione di sicurezza ML e IT può certamente essere etichettata come "tecnologia emergente", ma ciò che lo rende interessante è che non stiamo parlando di una sola tecnologia. ML comprende diversi tipi di tecnologia, ciascuno applicato in vari modi. E poiché così tanti venditori stanno lavorando in quest'area, siamo in grado di assistere a una categoria tecnologica completamente nuova competere, evolvere e, auspicabilmente, offrire vantaggi a tutti noi.
Allora, cos'è l'apprendimento automatico?
ML consente a un computer di insegnare a se stesso qualcosa senza dover essere programmato esplicitamente. Lo fa accedendo a grandi set di dati, spesso enormi.
"Con l'apprendimento automatico, possiamo dare a un computer 10.000 immagini di gatti e dirgli:" Ecco come appare un gatto ". E poi puoi dare al computer 10.000 foto senza etichetta e chiedergli di scoprire quali sono i gatti ", spiega Adam Porter-Price, Senior Associate presso Booz Allen. Il modello migliora man mano che fornisci feedback al sistema, indipendentemente dal fatto che la sua ipotesi sia corretta o errata. Nel tempo, il sistema diventa più preciso nel determinare se la foto include un gatto (come, ovviamente, tutte le foto dovrebbero).
Questa non è una tecnologia nuova di zecca, anche se i recenti progressi nei computer più veloci, algoritmi migliori e strumenti di Big Data hanno sicuramente migliorato le cose. "L'apprendimento automatico (specialmente applicato alla modellizzazione dei comportamenti umani) esiste da molto tempo", ha dichiarato Idan Tendler, CEO di Fortscale. "È una componente fondamentale dei lati quantitativi di molte discipline, che vanno dai prezzi delle tariffe aeree al sondaggio politico fino al marketing di fast food già negli anni '60".
Gli usi moderni più evidenti e riconoscibili sono nelle attività di marketing. Quando acquisti un libro su Amazon, ad esempio, i suoi motori di raccomandazione minano le vendite precedenti e suggeriscono libri aggiuntivi che probabilmente ti piaceranno (ad esempio, alle persone a cui piace Yendi di Steven Brust potrebbero piacere anche i romanzi di Jim Butcher), che si traducono in più vendite di libri. È applicato ML proprio lì. Un altro esempio potrebbe essere un'azienda che utilizza i suoi dati di gestione delle relazioni con i clienti (CRM) per analizzare la variazione dei clienti o una compagnia aerea che utilizza ML per analizzare quanti punti premio incentivano i frequent flyer ad accettare un'offerta particolare.
Maggiore è il numero di dati raccolti e analizzati da un sistema informatico, migliori sono le sue intuizioni (e la sua identificazione di foto di gatti). Inoltre, con l'avvento dei Big Data, i sistemi ML possono riunire informazioni da più fonti. Un rivenditore online può guardare oltre i propri set di dati per includere, ad esempio, l'analisi dei dati e delle informazioni del browser Web del cliente dai suoi siti partner.
ML prende dati che sono troppo comprensibili agli umani (come milioni di righe di file di log di rete o un numero enorme di transazioni e-commerce) e li trasforma in qualcosa di più facile da capire, ha affermato Balázs Scheidler, CTO del fornitore di strumenti di sicurezza IT Balabit.
"I sistemi di apprendimento automatico riconoscono i modelli ed evidenziano le anomalie, che aiutano gli esseri umani a cogliere una situazione e, se del caso, ad agire su di essa", ha detto Scheidler. "E l'apprendimento automatico esegue questa analisi in modo automatizzato; non si possono imparare le stesse cose semplicemente guardando solo i registri delle transazioni."
Dove ML corregge i punti deboli della sicurezza
Fortunatamente, gli stessi principi ML che possono aiutarti a decidere sugli acquisti di un nuovo libro possono rendere più sicura la tua rete aziendale. In realtà, ha affermato Tendler di Fortscale, i venditori IT sono un po 'in ritardo rispetto alla festa ML. I dipartimenti di marketing potevano vedere benefici finanziari nell'adozione anticipata del ML, in particolare perché il costo di sbagliare era minimo. Raccomandare un libro sbagliato non distruggerà la rete di nessuno. Gli specialisti della sicurezza avevano bisogno di più certezza sulla tecnologia e sembra che finalmente ce l'abbiano.
Francamente, è ora. Perché gli attuali modi di gestire la sicurezza sono invadenti e reattivi. Peggio ancora: l'enorme volume di nuovi strumenti di sicurezza e disparati strumenti di raccolta dei dati ha prodotto troppi input anche per gli osservatori.
"La maggior parte delle aziende è invasa da migliaia di avvisi al giorno, in gran parte dominati da falsi positivi", ha affermato David Thompson, Senior Director of Product Management presso la società di sicurezza IT LightCyber. "Anche se l'avviso viene visualizzato, è probabile che venga visto come un evento singolare e non compreso come parte di un attacco più ampio e orchestrato."
Thompson cita un rapporto di Gartner secondo cui la maggior parte degli aggressori non viene rilevata per una media di cinque mesi . Questi falsi positivi possono anche provocare utenti arrabbiati, ha sottolineato Ting-Fang Yen, un ricercatore di DataVisor, ogni volta che i dipendenti vengono bloccati o contrassegnati per errore, per non parlare del tempo impiegato dal team IT per risolvere i problemi.
Quindi il primo approccio alla sicurezza IT tramite ML è l'analisi dell'attività di rete. Gli algoritmi valutano i modelli di attività, confrontandoli con il comportamento passato e determinano se l'attività corrente rappresenta una minaccia. Per aiutare, fornitori come Core Security valutano i dati di rete come il comportamento di ricerca DNS degli utenti e i protocolli di comunicazione all'interno delle richieste
Alcune analisi avvengono in tempo reale e altre soluzioni ML esaminano i registri delle transazioni e altri file di registro. Ad esempio, il prodotto Fortscale individua le minacce interne, comprese le minacce che coinvolgono credenziali rubate. "Ci concentriamo sull'accesso e sui registri di autenticazione, ma i registri possono provenire da quasi ovunque: Active Directory, Salesforce, Kerberos, le tue" applicazioni gioiello della corona "", ha dichiarato Tendts di Fortscale. "Più varietà, meglio è". Il punto in cui ML fa la differenza qui è che può trasformare i registri delle pulizie umili e spesso ignorati di un'organizzazione in fonti di intelligence sulle minacce preziose, altamente efficaci ed economiche.
E queste strategie stanno facendo la differenza. Una banca italiana con meno di 100.000 utenti ha subito una minaccia interna che comporta l'esfiltrazione su larga scala di dati sensibili a un gruppo di computer non identificati. In particolare, le credenziali utente legittime sono state utilizzate per inviare grandi volumi di dati all'esterno dell'organizzazione tramite Facebook. La banca ha implementato il sistema immunitario Darktrace Enterprise basato su ML, che ha rilevato comportamenti anomali entro tre minuti quando un server aziendale si è collegato a Facebook, un'attività insolita, ha affermato Dave Palmer, direttore della tecnologia di Darktrace.
Il sistema ha immediatamente emesso un avviso di minaccia, che ha consentito al team di sicurezza della banca di rispondere. Alla fine, un'inchiesta ha portato un amministratore di sistema a scaricare inavvertitamente malware che ha intrappolato il server della banca in una botnet di mining bitcoin, un gruppo di macchine controllate da hacker. In meno di tre minuti, la società ha eseguito il triage, indagato in tempo reale e iniziato la sua risposta, senza perdita di dati aziendali o danni ai servizi operativi dei clienti, ha affermato Palmer.
Monitoraggio utenti, non controllo accessi o dispositivi
Ma i sistemi informatici possono indagare su qualsiasi tipo di impronta digitale. Ed è qui che molta attenzione del fornitore sta andando in questi giorni: verso la creazione di linee di base del comportamento "noto buono" da parte degli utenti di un'organizzazione chiamata User Behavior Analytics (UBA). Il controllo degli accessi e il monitoraggio dei dispositivi vanno solo finora. È molto meglio, affermano diversi esperti e venditori, rendere gli utenti il fulcro centrale della sicurezza, che è l'UBBA.
"UBA è un modo per vedere cosa fanno le persone e notare se stanno facendo qualcosa di straordinario", ha detto Scheidler di Balabit. Il prodotto (in questo caso, Balabit's Blindspotter e Shell Control Box) crea un database digitale del comportamento tipico di ciascun utente, un processo che richiede circa tre mesi. Successivamente, il software riconosce anomalie da quella base. Il sistema ML crea un punteggio di come "off" si comporta un account utente, insieme alla criticità del problema. Gli avvisi vengono generati ogni volta che il punteggio supera una soglia.
"Analytics cerca di decidere se sei te stesso", ha detto Scheidler. Ad esempio, un analista di database utilizza regolarmente determinati strumenti. Quindi, se accede da una posizione insolita in un momento insolito e accede ad applicazioni insolite per lei, il sistema conclude che il suo account potrebbe essere compromesso.
Le caratteristiche UBA tracciate da Balabit includono le abitudini storiche dell'utente (tempo di accesso, applicazioni e comandi di uso comune), proprietà (risoluzione dello schermo, uso del trackpad, versione del sistema operativo), contesto (ISP, dati GPS, posizione, contatori del traffico di rete) ed eredità (qualcosa che sei). Nell'ultima categoria ci sono l'analisi del movimento del mouse e la dinamica dei tasti, per cui il sistema mappa la forza e la velocità con cui le dita di un utente colpiscono la tastiera.
Sebbene affascinante in termini di geek, Scheidler avverte che le misurazioni del mouse e della tastiera non sono ancora infallibili. Ad esempio, ha affermato, identificare i tasti premuti da qualcuno è affidabile per circa il 90 percento, quindi gli strumenti dell'azienda non fanno molto affidamento su un'anomalia in quell'area. Inoltre, il comportamento dell'utente è leggermente diverso in ogni momento; se hai una giornata stressante o un dolore in mano, i movimenti del mouse sono diversi.
"Poiché lavoriamo con molti aspetti del comportamento degli utenti e il valore aggregato è quello da confrontare con il profilo di base, nel complesso ha un'affidabilità molto elevata che converge al 100 percento", ha affermato Scheidler.
Balabit non è certamente l'unico fornitore i cui prodotti utilizzano UBA per identificare eventi di sicurezza. La cybereason, per esempio, usa una metodologia simile per identificare il comportamento che induce gli umani attenti a dire "Hmm, è divertente".
Spiega il CTO di Cybereason Yonatan Streim Amit: "Quando la nostra piattaforma vede un'anomalia - James lavora fino a tardi - possiamo correlarla con altri comportamenti noti e dati rilevanti. Sta usando le stesse applicazioni e gli stessi schemi di accesso? Sta inviando dati a qualcuno che non comunica mai con o tutte le comunicazioni vanno al suo responsabile, che risponde? " Cybereason analizza l'anomalia di James che lavora in modo anomalo in ritardo con un lungo elenco di altri dati osservati per fornire un contesto per determinare se un avviso è un falso positivo o una preoccupazione legittima.
È compito dell'IT trovare risposte, ma aiuta sicuramente avere software in grado di sollevare le domande giuste. Ad esempio, due utenti di un'organizzazione sanitaria stavano accedendo ai record dei pazienti deceduti. "Perché qualcuno dovrebbe guardare i pazienti che sono morti due o tre anni fa, a meno che tu non voglia fare una sorta di identità o frode medica?" chiede Amit Kulkarni, CEO di Cognetyx. Nell'identificare questo rischio per la sicurezza, il sistema Cognetyx ha identificato l'accesso inappropriato in base alle normali attività per quel reparto e ha confrontato il comportamento dei due utenti con quello dei modelli di accesso dei loro pari e con il loro comportamento normale.
"Per definizione, i sistemi di apprendimento automatico sono iterativi e automatizzati", ha affermato Tendler di Fortscale. "Cercano di" confrontare "i nuovi dati con ciò che hanno visto prima, ma non" squalificano "nulla di sfuggente o" buttano via "automaticamente risultati imprevisti o fuori limite".
Quindi gli algoritmi di Fortscale cercano strutture nascoste in un set di dati, anche quando non sanno come appare la struttura. "Anche se troviamo l'inaspettato, fornisce il foraggio su cui costruire potenzialmente una nuova mappa di schemi. Questo è ciò che rende l'apprendimento automatico molto più potente dei set di regole deterministiche: i sistemi di apprendimento automatico possono trovare problemi di sicurezza che non sono mai stati visti prima."
Cosa succede quando il sistema ML rileva un'anomalia? In generale, questi strumenti trasmettono allarmi a un essere umano per effettuare una chiamata finale in qualche modo poiché gli effetti collaterali di un falso positivo sono dannosi per l'azienda e i suoi clienti. "La risoluzione dei problemi e la medicina legale hanno bisogno di competenze umane", afferma Scheidler di Balabit. L'ideale è che gli avvisi generati siano accurati e automatizzati e che i dashboard forniscano un'utile panoramica dello stato del sistema con la capacità di approfondire il comportamento "ehi, è strano".
Fonte: Balabit.com (fare clic sul grafico sopra per vedere a schermo intero).
È solo l'inizio
Non dare per scontato che la sicurezza ML e IT sia una combinazione perfetta come cioccolato e burro di arachidi o gatti e Internet. Si tratta di un lavoro in corso, sebbene guadagnerà più potenza e utilità man mano che i prodotti acquisiranno più funzionalità, integrazione delle applicazioni e miglioramenti tecnologici.
A breve termine, cercare i progressi dell'automazione in modo che i team di sicurezza e operativi possano ottenere nuove informazioni sui dati più rapidamente e con meno intervento umano. Nei prossimi due o tre anni, ha affermato Mike Paquette, vicepresidente dei prodotti di Prelert, "prevediamo che i progressi si presentino in due forme: una libreria estesa di casi d'uso preconfigurati che identificano i comportamenti di attacco e progressi nella selezione e configurazione automatizzata delle funzionalità, riducendo la necessità di incarichi di consulenza ".
I prossimi passi sono sistemi di autoapprendimento che possono combattere contro gli attacchi da soli, ha detto Palmer di Darktrace. "Risponderanno ai rischi emergenti di malware, hacker o dipendenti disaffezionati in un modo che comprende l'intero contesto del normale comportamento dei singoli dispositivi e dei processi aziendali globali, piuttosto che prendere decisioni binarie individuali come le difese tradizionali. Questo sarà cruciale a rispondere ad attacchi in movimento più rapido, come attacchi basati sull'estorsione, che si trasformeranno in attacchi a qualsiasi risorsa preziosa (non solo file system) e saranno progettati per reagire più velocemente di quanto sia possibile dagli esseri umani ".
Questa è un'area eccitante con molte promesse. La combinazione di ML e strumenti di sicurezza avanzati non solo offre ai professionisti IT nuovi strumenti da utilizzare, ma, soprattutto, offre loro strumenti che consentono loro di svolgere il proprio lavoro in modo più accurato, ma ancora più veloce che mai. Pur non essendo un proiettile d'argento, è un significativo passo avanti in uno scenario in cui i cattivi ragazzi hanno avuto tutti i vantaggi per troppo tempo.
