התוכנה החדשה שלך עשויה להיות מחשב לומד שאוהב חתולים

אבטחת IT היא חור גיהנום מסוכן ויקר. הוצאת סכומי כסף עצומים להגנה על נתוני החברה והרשתות. המון רעים מונעים לפרוץ, והתוצאות לכישלון כואבות יותר מעלות ההגנה.

גרוע מכך, הדרכים הנוכחיות בהן מתמודדים קציני הביטחון הראשי (CSO) עם אבטחה הן פולשניות. אמנם כלי אבטחה בסיסיים כמו הגנה על נקודת קצה מנוהלים תמיד יהיו נחוצים, אך כל אחד מאיתנו הודה בקושי בניהול סיסמאות, התעסק בנוגע לזכויות גישה לתוכנה שאנו צריכים והתלונן על החסמים שבינינו והעבודה שאנו צריכים לעשות.. אם נהלי האבטחה עובדים 100 אחוז מהזמן, אולי היינו בסדר עם זה - אבל היי, האם שמתם לב כמה הפרות מדווחות? גם אני. פשוט תסתכל כיצד מספר הפרות הנתונים בשנה התפוצץ בגרפיקה זו למטה (על ידי ניתוח נתונים והמחשה לדימוי Sparkling Data). הגרפיקה מציגה הפרות נתונים מאז 2009, על פי סוג הענף וכמה מיליוני רשומות נפגעו:

מקור: 24 ביולי 2016 ; ניתוח נתוני הפרה של HIPAA ; נתונים נוצצים

אבל יש גם חדשות טובות. אותן טכנולוגיות למידת מכונה (ML) ואלגוריתמים אנליטיים חזויים שנותנים לך המלצות ספר מועילות ומעצימות את הבינה העסקית המתקדמת ביותר שלך לשרת עצמי (BI) והמחשת נתונים. כלים משולבים בכלי אבטחת IT. מומחים מדווחים כי ככל הנראה לא תוציא פחות כסף על אבטחת ה- IT של החברה שלך בגלל זה, אך לפחות הצוות שלך יעבוד ביעילות רבה יותר ויש סיכוי טוב יותר למצוא האקרים ותוכנות זדוניות לפני שייגרם נזק.

ניתן בהחלט לתייג את השילוב של אבטחת מידע ML ו- IT כ"טכנולוגיה מתפתחת ", אבל מה שהופך את זה למגניב הוא שאנחנו לא מדברים רק על טכנולוגיה אחת. ML מורכב מכמה סוגים של טכנולוגיה, שכל אחד מהם מיושם בדרכים שונות. ובגלל שכל כך הרבה ספקים עובדים בתחום זה, אנו צריכים לצפות בקטגוריית טכנולוגיה חדשה לגמרי המתחרה, מתפתחת, ובתקווה מספקים תועלת לכולנו.

אז, מה למידת מכונה?

ML מאפשרת למחשב ללמד את עצמו משהו מבלי צורך לתכנת אותו במפורש. זה עושה זאת על ידי גישה למערכות נתונים גדולות - לרוב ענקיות.

"בעזרת למידת מכונה נוכל לתת למחשב 10, 000 תמונות של חתולים ולהגיד לו 'זה איך נראה חתול'. ואז אתה יכול לתת למחשב 10, 000 תמונות ללא תווית ולבקש ממנו לברר מהן החתולים ", מסביר אדם פורטר-פרייס, עמית בכיר בבוז אלן. המודל משתפר ככל שאתה נותן משוב למערכת, בין אם הניחוש שלו נכון או לא נכון. עם הזמן המערכת מדייקת יותר את הקביעה אם התצלום כולל חתול (כמו, כמובן, כל התמונות צריכות).

זו אינה טכנולוגיה חדשה לגמרי, אם כי ההתקדמות האחרונה במחשבים מהירים יותר, אלגוריתמים טובים יותר וכלי ביג דאטה בהחלט שיפרו את הדברים. עידן טנדלר, מנכ"ל פורצקייל, אמר כי "למידת מכונה (במיוחד מיושמת במודלים של התנהגויות אנושיות). "זהו מרכיב ליבה בצדדים הכמותיים של תחומים רבים, החל מתמחור טיסה לתשאול פוליטי ועד שיווק מזון מהיר כבר בשנות השישים."

השימושים המודרניים הבולטים והזוהים הם במאמצים שיווקיים. כשאתה קונה ספר באמזון, למשל, מנועי ההמלצות שלו מכרים מכירות קודמות ומציעים ספרים נוספים שסביר להניח שתיהנה מהם (למשל, אנשים שאהבו את Yendi של סטיבן ברוסט עשויים גם לחבב את הרומנים של ג'ים בוצ'ר), שמתרגם למכירות ספרים נוספות. זה מיושם ML ממש שם. דוגמא נוספת עשויה להיות עסק המשתמש בנתוני ניהול קשרי לקוחות (CRM) שלו כדי לנתח את התעסוקה של הלקוחות, או חברת תעופה המשתמשת ב- ML כדי לנתח כמה נקודות תגמול ממריצות פליירים תכופים לקבל הצעה מסוימת.

ככל שמערכת מחשבים אוספת ומנתחת יותר נתונים, כך התובנות שלה טובות יותר (וזיהוי צילומי החתול שלה). בנוסף, עם כניסתם של ביג דאטה, מערכות ML יכולות לאחד מידע ממקורות רבים. קמעונאית מקוונת יכולה להסתכל מעבר למערכות הנתונים שלה עצמה כך שתכלול ניתוח של נתוני דפדפן האינטרנט של הלקוח ומידע מאתרי השותפים שלו, למשל.

ML לוקח נתונים שמאפשרים יותר מדי לבני אדם להבנה (כמו מיליוני שורות של קבצי יומן רשת או מספר עצום של עסקאות מסחר אלקטרוני) והופך את זה למשהו קל יותר להבנה, אמר בלז שיידלר, סמנכ"ל הכספים של ספקית כלי אבטחת ה- IT Balabit.

"מערכות למידת מכונות מזהות דפוסים ומדגישים אנומליות, שעוזרות לבני אדם לתפוס מצב ובמידת הצורך לנקוט בפעולה", אמר שיידלר. "ולמידה של מכונות מבצעת ניתוח זה בצורה אוטומטית; לא יכולת ללמוד את אותם דברים פשוט מהתבוננות ביומני עסקאות בלבד."

איפה ML מתמודד עם חולשות אבטחה

למרבה המזל, אותם עקרונות ML שיכולים לעזור לך להחליט על רכישות ספרים חדשות יכולים להפוך את רשת החברה שלך לבטוחה יותר. למען האמת, אמר טנדלר של פורצקייל, ספקי ה- IT מאחרים מעט במסיבת ML. מחלקות השיווק יכלו לראות יתרונות כספיים באימוץ מוקדם של ML, במיוחד מכיוון שעלות הטעות הייתה מינימלית. המלצה על ספר שגוי לא תוריד את הרשת של אף אחד. מומחי אבטחה היו זקוקים לוודאות רבה יותר לגבי הטכנולוגיה ונראה שיש להם סוף סוף.

האמת, זה הזמן. מכיוון שהדרכים העכשוויות להתמודד עם אבטחה הן פולשניות ותגובות. גרוע מכך: הנפח העצום של כלי אבטחה חדשים וכלים לאיסוף נתונים שונים הביאו לכניסה רבה מדי אפילו עבור הצופים.

דייוויד תומפסון, מנהל בכיר לניהול מוצר בחברת אבטחת ה- IT LightCyber, אמר כי "מרבית החברות מוצפות באלפי התראות ביום, שנשלטות ברובן על ידי חיובי שווא." "גם אם תראה את ההתראה, סביר להניח שהיא תיראה כאירוע יחיד ואינה מובנת כחלק מההתקפה הגדולה והמוזמרת."

תומפסון מצטט דיווח של גרטנר שאמר שרוב התוקפים מתעלמים במשך חמישה חודשים בממוצע. תוצאות חיוביות שגויות עלולות לגרום גם למשתמשים זועמים, ציין טינג-פאנג ין, מדען מחקר ב- DataVisor, בכל פעם שעובדים נחסמים או מסומנים בטעות, שלא לדבר על הזמן שהקדיש צוות ה- IT לפיתרון הבעיות.

לכן ההתמודדות הראשונה באבטחת IT באמצעות ML היא ניתוח פעילות רשת. האלגוריתמים מעריכים דפוסי פעילות, משווים אותם להתנהגות בעבר והם קובעים אם הפעילות הנוכחית מהווה איום. כדי לעזור, ספקים כמו Core Security מעריכים נתוני רשת כמו התנהגות בדיקת DNS של משתמשים ופרוטוקולי תקשורת בתוך בקשות

ניתוח מסוים מתרחש בזמן אמת, ופתרונות ML אחרים בוחנים רשומות עסקה וקבצי יומן אחרים. לדוגמה, המוצר של פורצקייל מגלה איומים פנימיים, כולל איומים הכרוכים בתעודות גנובות. "אנו מתמקדים ביומני גישה ואימות, אך היומנים יכולים להגיע כמעט מכל מקום: Active Directory, Salesforce, Kerberos, 'יישומי תכשיט הכתר שלך'", אמר Tendler של פורצקייל. "ככל שיש מגוון יותר, כן ייטב." איפה ש- ML עושה את ההבדל העיקרי כאן הוא שהוא יכול להפוך את יומני הניהול הצנועים ולעיתים קרובות מתעלמים מהם, למקורות מודיעין איומים יקרי ערך, יעילים מאוד וזולים.

והאסטרטגיות הללו עושות את ההבדל. בנק איטלקי עם פחות ממאה אלף משתמשים חווה איום פנימי שכולל סינון בקנה מידה גדול של נתונים רגישים לקבוצה של מחשבים לא מזוהים. באופן ספציפי, השתמשו בתעודות משתמשים לגיטימיות בכדי לשלוח כמויות גדולות של נתונים מחוץ לארגון באמצעות פייסבוק. דייב פאלמר, מנהל הטכנולוגיה של דארקטרייה, אמר בפרישת הבנק את מערכת Darktrace Enterprise Immune System, המופעלת על ידי ML, שגילתה התנהגות חריגה תוך שלוש דקות.

המערכת פרסמה מייד התראת איום, מה שאפשר לצוות האבטחה של הבנק להגיב. בסופו של דבר, בירור הוביל למנהל מערכות שהורד בשוגג תוכנות זדוניות שלכדו את שרת הבנק בבוטנט לכריית ביטקוין - קבוצת מכונות שנשלטת על ידי האקרים. תוך פחות משלוש דקות, ניסתה החברה בדיקה בזמן אמת והחלה בתגובה - ללא אובדן נתונים של החברה או נזק לשירותי התפעול של הלקוחות, אמרה פאלמר.

ניטור משתמשים, לא בקרת גישה או התקנים

אבל מערכות מחשב יכולות לחקור כל סוג של טביעת רגל דיגיטלית. וכאן מתייחסת תשומת לב רבה מצד הספקים בימינו: לקראת יצירת קווי בסיס של התנהגות "ידועה טובה" על ידי משתמשי הארגון הנקרא User Behavior Analytics (UBA). בקרת גישה וניטור מכשירים עוברים רק עד כה. הרבה יותר טוב, אומרים כמה מומחים וספקים, להפוך את המשתמשים למוקד האבטחה המרכזי, וזה מה ש- UBA עוסק.

שיידלר של בלביט אמר כי "UBA היא דרך לראות מה אנשים עושים ולהבחין אם הם עושים משהו לא רגיל." המוצר (במקרה זה, תריס הבקרה של בלביט ו- Shell Control) בונה מסד נתונים דיגיטלי של התנהגותו האופיינית של כל משתמש, תהליך שנמשך כשלושה חודשים. לאחר מכן התוכנה מזהה חריגות מאותו קו בסיס. מערכת ה- ML יוצרת ציון של אופן הפעולה של 'כבוי' של חשבון משתמש, יחד עם קריטיות הבעיה. התראות נוצרות בכל פעם שהציון עולה על סף.

"אנליטיקס מנסה להחליט אם אתה עצמך", אמר שיידלר. לדוגמה, אנליסט מסד נתונים משתמש בקביעות בכלים מסוימים. לכן, אם היא נכנסת ממיקום לא שגרתי בזמן יוצא דופן וגישה ליישומים שאינם יוצאים מהכלל שלה, המערכת תגיע למסקנה כי יתכן שהחשבון שלה נפגע.

מאפייני UBA שעוקבים אחר Balabit כוללים את ההרגלים ההיסטוריים של המשתמש (זמן התחברות, יישומים נפוצים ופקודות), רכוש (רזולוציית מסך, שימוש במשטח המעקב, גרסת מערכת הפעלה), הקשר (ISP, נתוני GPS, מיקום, דלפקי תנועה ברשת), וירושה (משהו שאתה). בקטגוריה האחרונה נכללים ניתוח תנועות העכברים ודינמיקת הקשות, לפיה המערכת ממפה עד כמה האצבעות של המשתמש דוחקות את המקלדת בצורה קשה ומהירה.

למרות שהוא מרתק מבחינת חנון, שיידלר מזהיר שמדידות העכבר והמקלדת עדיין אינן אטומות לטופשות. לדוגמה, הוא אמר, זיהוי הקשות של מישהו הוא אמין של כ -90 אחוז, ולכן כלי החברה אינם סומכים במידה רבה על אנומליה בתחום זה. חוץ מזה, התנהגות המשתמשים שונה במקצת כל הזמן; אם יש לך יום מלחץ או כאב בידך, תנועות העכבר שונות.

"מכיוון שאנו עובדים עם היבטים רבים בהתנהגות המשתמשים והערך המצטבר הוא זה שיש להשווה לפרופיל קו הבסיס, בסך הכל יש לו אמינות גבוהה מאוד שמתכנסת למאה אחוז", אמר שיידלר.

בלביט בהחלט אינה הספקית היחידה שמוצריה משתמשים ב- UBA כדי לזהות אירועי אבטחה. Cybereason, למשל, משתמש במתודולוגיה דומה כדי לזהות התנהגות הגורמת לבני אדם הקשובים לומר "הממ, זה מצחיק."

יונתן סטרים עמית מסביר את ה- CTO של Cybereason: "כאשר הפלטפורמה שלנו רואה אנומליה - ג'יימס עובד עד מאוחר - נוכל לתאם בין התנהגויות ידועות אחרות ונתונים רלוונטיים. האם הוא משתמש באותם יישומים ודפוסי גישה? האם הוא שולח נתונים למישהו שהוא מעולם לא מתקשר עם או האם כל התקשורת עוברת למנהל שלו, מי משיב בחזרה? " Cybereason מנתח את האנומליה של ג'יימס שעבד באיחור חריג עם רשימה ארוכה של נתונים נצפים אחרים כדי לספק הקשר לקביעת אם ההתראה היא חיובית שגויה או דאגה לגיטימית.

תפקידו של ה- IT למצוא תשובות, אך זה בהחלט עוזר להחזיק בתוכנה שיכולה להעלות את השאלות הנכונות. לדוגמה, שני משתמשים בארגון הבריאות נכנסו לרשומות של חולים שנפטרו. "מדוע מישהו יסתכל על חולים שהלכו לעולמם לפני שנתיים-שלוש, אלא אם כן אתה רוצה לעשות איזושהי זהות או הונאה רפואית?" שואל עמית קולקרני, מנכ"ל קוגניקס. בזיהוי סיכון אבטחה זה, מערכת Cognetyx זיהתה את הגישה הבלתי הולמת על סמך הפעילויות הרגילות עבור אותה מחלקה, והשוותה את התנהגות שני המשתמשים להתנהגות של דפוסי הגישה של בני גילם וכנגד התנהגות רגילה שלהם.

"בהגדרה, מערכות למידת מכונות הן איטרטיביות ואוטומטיות", אמר טנדלר של פורצקייל. "הם מסתכלים על מנת 'להתאים' נתונים חדשים כנגד מה שהם ראו בעבר, אך לא 'יפסלו' שום דבר על הסף או 'יזרקו' באופן אוטומטי תוצאות בלתי צפויות או מחוץ לתחום."

אז האלגוריתמים של Fortscale מחפשים מבנים נסתרים במערך נתונים, גם כאשר הם לא יודעים איך נראה המבנה. "אפילו אם נמצא את הבלתי צפוי, הוא מספק מספוא שעליו אפשר לבנות מפת תבניות חדשה. זה מה שהופך את למידת המכונה לכל כך חזקה יותר מאשר קביעות הכללים הדטרמיניסטיות: מערכות למידת מכונות יכולות למצוא בעיות אבטחה שמעולם לא נראו לפני כן."

מה קורה כאשר מערכת ה- ML מוצאת חריגה? באופן כללי, כלים אלה מוסרים התראות לאדם על מנת לבצע שיחה אחרונה בדרך כלשהי מכיוון שתופעות הלוואי של חיובית שגויה פוגעות בחברה ולקוחותיה. "פיתרון בעיות וזיהוי פלילי דורש מומחיות אנושית", טוען שיידלר של בלביט. האידיאל הוא שההתראות שנוצרו מדויקות ואוטומטיות ולוחות מחוונים נותנים סקירה מועילה של מצב המערכת עם היכולת לבצע תרגילי התנהגות "היי, זה מוזר".

מקור: Balabit.com (לחץ על הגרפיקה למעלה בכדי לראות תצוגה מלאה.)

זו רק ההתחלה

אל תניח כי אבטחת ML ו- IT היא התאמה מושלמת כמו שוקולד וחמאת בוטנים או חתולים והאינטרנט. זו עבודה שמתבצעת, אם כי היא תשיג יותר כוח ושימושיות ככל שמוצרים יזכו לתכונות רבות יותר, שילוב יישומים ושיפורים טכניים.

בטווח הקצר, חפש התקדמות באוטומציה כך שצוותי האבטחה והתפעול יוכלו להשיג תובנות נתונים חדשות במהירות רבה יותר ובפחות התערבות אנושית. בשנתיים-שלוש הבאות, אמר מייק פקט, סמנכ"ל מוצרים ב- Prelert, "אנו מצפים שההתקדמות תגיע בשתי צורות: ספריה מורחבת של מקרי שימוש מוגדרים מראש המזהים את התנהגויות ההתקפה, והתקדמות בבחירה ותצורה אוטומטית של תכונות, ומפחיתה הצורך בהתייעצויות."

הצעדים הבאים הם מערכות למידה עצמית שיכולות להילחם בחזרה נגד התקפות בעצמם, אמר פאלמר של דרקטראק. "הם יגיבו לסיכונים המתעוררים מצד תוכנות זדוניות, האקרים או עובדים שלא הושפעו באופן שמבין את ההקשר המלא של התנהגות נורמלית של מכשירים בודדים ואת התהליכים העסקיים הכוללים, במקום לקבל החלטות בינאריות בודדות כמו הגנות מסורתיות. זה יהיה קריטי להגיב להתקפות מהירות יותר, כמו התקפות מבוססות סחיטה, אשר ישתנו לתקוף כל נכס יקר (לא רק מערכות קבצים) ויעוצבו להגיב מהר יותר ממה שאפשר על ידי בני אדם."

זהו אזור מרגש עם הרבה הבטחות. השילוב של ML וכלי אבטחה מתקדמים לא רק מעניקים לאנשי IT כלים חדשים לשימוש, וחשוב מכך, הוא נותן להם כלים המאפשרים להם לבצע את עבודתם בצורה מדויקת יותר, ובכל זאת מהר מאי פעם. אמנם לא כדור כסף, אך זהו צעד משמעותי קדימה בתרחיש בו הרעים הרוויחו את כל היתרונות הרבה יותר מדי זמן.