Dołącz już teraz do uczestników Plebiscytu 

BITy 2022

Uczenie maszynowe i inteligentne systemy w ochronie przed cyberprzestępczością

Udostępnij

Eksperci ds. cyberbezpieczeństwa zrobią wszystko, co w ich mocy, aby zapobiec skutecznemu włamaniu, ale wiedzą też, że ograniczanie dostępu do zasobów organizacji jest zupełnie niepraktyczne. Największym przełomem ostatnich lat jest wykorzystanie uczenia maszynowego do wykrywania, kiedy próba naruszenia zabezpieczeń zakończyła się sukcesem. Więcej na temat najnowszych metod i inteligentnych systemów zdradza Christian Putz z Vectra AI.

Wykrywanie anomalii w ruchu sieciowym

Czy ruch sieciowy generowany przez złośliwe oprogramowanie powoduje uruchomienie alarmów w momencie jego wykrycia? Okazuje się, że niekoniecznie. Jak wyjaśnia Christian Putz, dzieje się tak z kilku powodów.

 Przyjęcie normy bazowego działania zwykłych użytkowników jest wysoce problematyczne. Atakujący wiedzą, jak obejść wykrywanie anomalii. Będą maskować swoje działania, aby wyglądały, jakby były częścią normalnych operacji. Na przykład, ataki w rodzaju command and control będą wyglądały jak próba nagłośnienia danej kwestii (beaconing) — w sieci widoczne będą okresowe wzrosty ruchu. I to jest krok pierwszy. Ale krok pierwszy obejmie również każdą aplikację mobilną, która kiedykolwiek istniała, ponieważ powiadomienia push wyglądają dokładnie tak samo mówi.

W pierwszej kolejności należy zająć się konkretnym problemem bezpieczeństwa, który należy rozwiązać – pozwala to uniknąć problemu z nadzorowanym lub nienadzorowanym wstępnym uczeniem maszynowym.

– Jeśli próbujemy sprostać wyzwaniu związanemu z bezpieczeństwem, musimy zrozumieć najpierw, jaki problem rozwiązujemy. Należy rozpocząć od zidentyfikowania problemu z analitykami bezpieczeństwa. Na przykład, chcę znaleźć atak typu command and control w ruchu sieciowym HTTPS. Współpracujemy, aby zrozumieć najlepszą metodę rozwiązania problemu. Czy problem dotyczy klasyfikacji? Czy jest to może problem wskazania anomalii? tłumaczy przedstawiciel Vectra AI.

Hakerzy też mają słabe punkty

Hakerzy mają jedną zaletę. Postępują zgodnie z tym samym typem procedury, niezależnie od konkretnej topologii sieci. Okazuje się, że dla atakujących nie ma rozróżnienia między wewnętrzną siecią LAN, lokalnym centrum danych lub dowolną liczbą zdalnych chmur — dla nich to tylko jedna sieć. Ich cele są takie same, a zatem podejście w zakresie infiltracji, samopropagacji i przemieszczania się, ataku command and control, zbierania danych poświadczających, eksfiltracji danych czy szyfrowania jest bardzo mocno ustandaryzowane. Poprzez nauczenie się typowych działań atakujących, odpowiednio stworzone algorytmy mogą ustalić wzorce i odpowiednio zareagować.

Tym bardziej, że praca zdalna sprawiła, że zmieniła się powierzchnia ataku —zwiększone wykorzystanie usług w chmurze, większa liczba usług wymaganych do wykonania codziennej pracy i inne czynniki, takie jak rosnąca obecność IIoT i IoT w Sieci TCP/IP. Rozszerzony obszar ataku jest jednym z tematów dokładnie zbadanych przez Gartner Security Operations Hype Cycle.

Niezależnie od tego, skąd pochodzi atak i za pomocą którego mechanizmu atakujący zdobywają punkt zaczepienia, istnieją oczywiście wskazówki dotyczące obecności złośliwych aktorów.

– Relacja między atakującym a punktem końcowym, który znajduje się w środku sieci, zawsze wygląda na odwróconą w stosunku do przypadku normalnego użytkownika końcowego i serwera po drugiej stronie. Aby atak command and control mógł zadziałać, relacja jest odwrócona, inicjatywa zawsze jest po stronie atakującego, klient odpowiada z wewnątrz sieci – mówi Putz.

Inteligentne narzędzia wymagają eksperckiej wiedzy

Narzędzia mogą być inteligentne, ale organizacje nie powinny zakładać, że personel ds. cyberbezpieczeństwa może być przez to mniej wykwalifikowany. Każde narzędzie cyberbezpieczeństwa nadal wymaga wiedzy fachowej, bez niej nie da się wyciągnąć klarownych wniosków z bardzo dynamicznego zestawu wyników.

– Narzędzia pomagają wykwalifikowanemu personelowi wykonywać swoją pracę bardziej efektywnie, a w krytycznej sytuacji nieuniknionego naruszenia reagować o wiele szybciej. Jako Vectra AI zapewniamy dużą ilość informacji w formie czystego sygnału. Nie wskazujemy masy detekcji rozproszonych po całej infrastrukturze. Nasze narzędzia zaprojektowaliśmy tak, aby wyłapać najbardziej krytyczne elementy sieci i wyciągnąć je na górę kolejki, pomagając ustalić firmie priorytety, co stanowi dla niej największe zagrożenie wyjaśnia ekspert Vectra AI. 

Jego zdaniem, obecnie nowoczesne narzędzia są niezbędne, ponieważ natura sieci bardzo się zmieniła i będzie nadal ewoluować. Definicja sieci musi się zmienić, ponieważ większość ludzi postrzega ją jako centrum danych, ale to znacznie więcej.

– Obecnie niezwykle ważne jest zapewnienie naprawdę czystego sygnału sieciowego, przyglądamy się również technologiom chmurowym. Niezależnie od tego, czy jest to infrastruktura jako usługa, platforma jako usługa, oprogramowanie, czy jako centrum danych; należy zapewnić widoczność całej powierzchni ataku, aby móc śledzić napastników, gdy się przemieszczają – podsumowuje Christian Putz.

Źródło:vectra.ai

Zobacz

Pracownicy, czyli wewnętrzne cyberzagrożenie przedsiębiorstw

Atakujący regularnie próbują wykorzystać luki w zabezpieczeniach w celu...

Ile ton węgla zaimportuje Tauron do końca 2022?

Tauron szacuje, że w tym roku import węgla w grupie wyniesie 2,5 mln ton - poinformował PAP Biznes prezes Paweł Szczeszek. Dodał, że nowy blok w Jaworznie pracuje stabilnie, a proces wydzielania aktywów węglowych do NABE jest kontynuowany.

KE zatwierdziła wsparcie państwa w przymusowej likwidacji Getin Noble Bank

Komisja Europejska zatwierdziła w poniedziałek, zgodnie z unijnymi zasadami pomocy publicznej, szereg środków wsparcia w kontekście restrukturyzacji i uporządkowanej likwidacji polskiego Getin Noble Bank S.A.

NBP: napływ kapitału z inwestycji zagranicznych wyniósł 114,2 mld zł w 2021 r.

W 2021 roku napływ kapitału netto z tytułu zagranicznych inwestycji bezpośrednich wyniósł 114,2 mld zł - poinformował w poniedziałek Narodowy Bank Polski.

Gazociągiem Baltic Pipe płynie już gaz do Polski. PGNiG odgrywa kluczową rolę

Rusza przesył gazu gazociągiem Baltic Pipe - poinformowała w sobotę spółka Gaz-System. Gazociągiem Baltic Pipe płynie już gaz do Polski - dodał na Twitterze Baltic Pipe Project. Przez około dwa miesiące gazociąg będzie działał z ograniczoną mocą.

Czy CPK ma znaczenie militarne? Horała odpowiada

CPK ma znaczenie dla bezpieczeństwa państwa i będzie lotniskiem, które również będzie możliwe do wykorzystania militarnego w razie potrzeby. Ale takich lotnisk mamy w Polsce sporo, kolejne się przyda, ale nie jest kluczowe - stwierdził w czwartek wiceminister funduszy i polityki regionalnej, pełnomocnik rządu ds. CPK Marcin Horała.
- Reklama -

REKLAMA