Video: 16-jährige Katze verliert ihr geliebtes Zuhause... (November 2024)
IT-Sicherheit ist ein gefährliches und teures Höllenloch. Beträchtliche Beträge werden für den Schutz von Unternehmensdaten und Netzwerken ausgegeben. Horden von Bösen sind motiviert einzubrechen, und die Folgen für das Scheitern sind schmerzhafter als die Kosten des Schutzes.
Schlimmer noch, die derzeitige Art und Weise, wie Chief Security Officers (CSOs) mit Sicherheit umgehen, ist aufdringlich. Während grundlegende Sicherheitstools wie der Schutz verwalteter Endpunkte immer erforderlich sein werden, hat jeder von uns die Schwierigkeiten beim Verwalten von Kennwörtern beklagt, sich mit den Zugriffsrechten auf die benötigte Software befasst und sich über die Hindernisse beklagt, die zwischen uns und der zu erledigenden Arbeit bestehen. Wenn die Sicherheitsverfahren zu 100 Prozent funktionieren würden, wären wir vielleicht damit einverstanden - aber haben Sie bemerkt, wie viele Verstöße immer noch gemeldet werden? Ich auch. Schauen Sie sich in der folgenden Grafik an, wie viele Datenschutzverletzungen pro Jahr aufgetreten sind (von Data Analytics und Visualization Blog Sparkling Data). Die Grafik zeigt Datenverletzungen seit 2009, aufgeschlüsselt nach Branchen und wie viele Millionen Datensätze kompromittiert wurden:
Quelle: 24. Juli 2016 ; Analyse von HIPAA-Verstoßdaten ; Funkelnde Daten
Aber es gibt auch gute Neuigkeiten. Dieselben Technologien für maschinelles Lernen (ML) und prädiktiven Analysealgorithmen, mit denen Sie nützliche Buchempfehlungen erhalten und Ihre fortschrittlichsten Self-Service-Business-Intelligence- und Datenvisualisierungsfunktionen nutzen können Tools werden in IT-Sicherheitstools integriert. Experten geben an, dass Sie aus diesem Grund wahrscheinlich nicht weniger Geld für die IT-Sicherheit Ihres Unternehmens ausgeben werden, aber Ihre Mitarbeiter werden zumindest effizienter arbeiten und bessere Chancen haben, Hacker und Malware zu finden, bevor Schäden angerichtet werden.
Die Kombination von ML und IT-Sicherheit kann sicherlich als "aufstrebende Technologie" bezeichnet werden, aber was es cool macht, ist, dass wir nicht nur über eine Technologie sprechen. ML besteht aus mehreren Arten von Technologien, die jeweils auf unterschiedliche Weise angewendet werden. Und weil so viele Anbieter in diesem Bereich tätig sind, können wir beobachten, wie eine ganz neue Technologiekategorie konkurriert, sich weiterentwickelt und hoffentlich allen von uns Nutzen bringt.
Was ist maschinelles Lernen?
Mit ML kann sich ein Computer etwas beibringen, ohne dass dies explizit programmiert werden muss. Dies geschieht durch den Zugriff auf große Datenmengen, häufig große.
"Mit maschinellem Lernen können wir einem Computer 10.000 Bilder von Katzen geben und sagen: 'So sieht eine Katze aus.' Und dann können Sie dem Computer 10.000 unbeschriftete Bilder geben und ihn bitten, herauszufinden, welche Katzen sind ", erklärt Adam Porter-Price, Senior Associate bei Booz Allen. Das Modell verbessert sich, wenn Sie dem System eine Rückmeldung geben, ob die Vermutung richtig oder falsch ist. Mit der Zeit ermittelt das System genauer, ob das Foto eine Katze enthält (wie natürlich alle Fotos).
Dies ist keine brandneue Technologie, obwohl die jüngsten Fortschritte bei schnelleren Computern, besseren Algorithmen und Big-Data-Tools die Dinge sicherlich verbessert haben. "Maschinelles Lernen (insbesondere in Bezug auf die Modellierung menschlichen Verhaltens) gibt es schon seit langer Zeit", sagte Idan Tendler, CEO von Fortscale. "Es ist ein zentraler Bestandteil der quantitativen Aspekte vieler Disziplinen, angefangen von Flugpreisen über politische Umfragen bis hin zu Fast-Food-Marketing bereits in den 1960er-Jahren."
Die augenfälligsten und erkennbarsten modernen Verwendungen sind in Marketingbemühungen. Wenn Sie beispielsweise ein Buch bei Amazon kaufen, werden durch die Empfehlungs-Engines frühere Verkäufe abgebaut und zusätzliche Bücher vorgeschlagen, die Ihnen wahrscheinlich gefallen (z. B. mögen Leute, die Steven Brusts Yendi mögen, möglicherweise auch Jim Butchers Romane), was sich in mehr Buchverkäufen niederschlägt. Das ist genau dort angewendet ML. Ein anderes Beispiel ist ein Unternehmen, das mithilfe seiner CRM-Daten (Customer Relationship Management) die Kundenabwanderung analysiert, oder eine Fluggesellschaft, die mithilfe von ML analysiert, wie viele Prämienpunkte Vielflieger dazu veranlassen, ein bestimmtes Angebot anzunehmen.
Je mehr Daten ein Computersystem sammelt und analysiert, desto besser sind seine Einsichten (und sein Katzenfotoausweis). Mit dem Aufkommen von Big Data können ML-Systeme Informationen aus mehreren Quellen bündeln. Ein Online-Händler kann über seine eigenen Datensätze hinausgehen und beispielsweise die Webbrowser-Daten und -Informationen des Kunden von seinen Partnerseiten analysieren.
Laut Balázs Scheidler, CTO des Anbieters von IT-Sicherheitstools Balabit, nimmt ML Daten, die für den Menschen zu umfangreich sind (z. B. Millionen Zeilen von Netzwerkprotokolldateien oder eine große Anzahl von E-Commerce-Transaktionen), und macht sie verständlicher.
"Maschinelle Lernsysteme erkennen Muster und markieren Anomolien, die es dem Menschen ermöglichen, eine Situation zu erfassen und gegebenenfalls Maßnahmen zu ergreifen", sagte Scheidler. "Und das maschinelle Lernen führt diese Analyse auf automatisierte Weise durch. Sie können nicht dasselbe einfach durch Betrachten von Transaktionsprotokollen lernen."
Wo ML Sicherheitslücken behebt
Glücklicherweise können dieselben ML-Prinzipien, die Sie bei der Entscheidung für ein neues Buch unterstützen, Ihr Unternehmensnetzwerk sicherer machen. Tatsächlich, sagte Fortscale's Tendler, seien die IT-Anbieter ein wenig zu spät zur ML-Party gekommen. Die Marketingabteilungen sahen finanzielle Vorteile bei der baldigen Einführung von ML, insbesondere weil die Kosten für das Falschen minimal waren. Wenn Sie das falsche Buch empfehlen, wird das Netzwerk nicht gestört. Sicherheitsspezialisten brauchten mehr Sicherheit in Bezug auf die Technologie und es scheint, als hätten sie diese endlich.
Ehrlich gesagt ist es an der Zeit. Weil die derzeitige Art und Weise, mit Sicherheit umzugehen, aufdringlich und reaktiv ist. Schlimmer noch: Die enorme Menge an neuen Sicherheitstools und unterschiedlichen Datenerfassungstools hat selbst den Beobachtern zu viel Aufwand beschert.
"Die meisten Unternehmen sind mit Tausenden von Warnungen pro Tag überflutet, die größtenteils von Fehlalarmen dominiert werden", sagte David Thompson, Senior Director Product Management des IT-Sicherheitsunternehmens LightCyber. "Selbst wenn die Warnung angezeigt wird, wird sie wahrscheinlich als ein einzigartiges Ereignis angesehen und nicht als Teil eines größeren, orchestrierten Angriffs verstanden."
Thompson zitiert einen Gartner-Bericht, der besagt, dass die meisten Angreifer durchschnittlich fünf Monate lang unentdeckt bleiben . Diese Fehlalarme können auch zu verärgerten Benutzern führen, betonte Ting-Fang Yen, ein Wissenschaftler bei DataVisor, wenn Mitarbeiter blockiert oder fälschlicherweise gemeldet werden, ganz zu schweigen von der Zeit, die das IT-Team für die Behebung der Probleme aufgewendet hat.
Der erste Schritt in der IT-Sicherheit mit ML ist die Analyse der Netzwerkaktivität. Algorithmen bewerten Aktivitätsmuster, vergleichen sie mit früheren Verhaltensweisen und bestimmen, ob die aktuelle Aktivität eine Bedrohung darstellt. Als Hilfe werten Anbieter wie Core Security Netzwerkdaten wie das DNS-Suchverhalten der Benutzer und Kommunikationsprotokolle innerhalb von HTTP-Anforderungen aus.
Einige Analysen erfolgen in Echtzeit, und andere ML-Lösungen untersuchen Transaktionsdatensätze und andere Protokolldateien. Beispielsweise erkennt das Produkt von Fortscale Insider-Bedrohungen, einschließlich Bedrohungen mit gestohlenen Anmeldeinformationen. "Wir konzentrieren uns auf Zugriffs- und Authentifizierungsprotokolle, aber die Protokolle können von nahezu jedem Ort stammen: Active Directory, Salesforce, Kerberos, Ihre eigenen Kronjuwelanwendungen", so Tendler von Fortscale. "Je abwechslungsreicher, desto besser." Wo ML einen entscheidenden Unterschied macht, ist, dass es die bescheidenen und oft ignorierten Protokolldaten einer Organisation in wertvolle, hochwirksame und kostengünstige Quellen für Bedrohungsdaten verwandeln kann.
Und diese Strategien machen einen Unterschied. Eine italienische Bank mit weniger als 100.000 Benutzern war einer Insider-Bedrohung ausgesetzt, die darin bestand, vertrauliche Daten in großem Umfang auf eine Gruppe nicht identifizierter Computer zu übertragen. Insbesondere wurden legitime Benutzeranmeldeinformationen verwendet, um große Datenmengen über Facebook außerhalb des Unternehmens zu senden. Die Bank setzte das ML-basierte Darktrace Enterprise Immune System ein, das innerhalb von drei Minuten ein anormales Verhalten feststellte, wenn sich ein Unternehmensserver mit Facebook verband - eine ungewöhnliche Aktivität, sagte Dave Palmer, Director of Technology bei Darktrace.
Das System gab sofort eine Bedrohungswarnung aus, die es dem Sicherheitsteam der Bank ermöglichte, zu reagieren. Schließlich führte eine Untersuchung zu einem Systemadministrator, der versehentlich Malware heruntergeladen hatte, die den Server der Bank in einem Bitcoin-Mining-Botnet gefangen hielt - einer Gruppe von Computern, die von Hackern kontrolliert wurden. In weniger als drei Minuten testete das Unternehmen, untersuchte es in Echtzeit und begann mit seiner Reaktion - ohne Verlust von Unternehmensdaten oder Beschädigung der operativen Kundenservices, so Palmer.
Überwachen von Benutzern, nicht von Zugriffskontrolle oder Geräten
Computersysteme können jedoch jede Art von digitalem Fußabdruck untersuchen. Und genau das wird heutzutage von den Anbietern beachtet: Basiswerte für "bekanntermaßen gutes" Verhalten von Benutzern einer Organisation zu erstellen, die als User Behaviour Analytics (UBA) bezeichnet werden. Zugangskontrolle und Geräteüberwachung gehen nur so weit. Laut mehreren Experten und Anbietern ist es weitaus besser, Benutzer in den Mittelpunkt der Sicherheit zu rücken, worum es beim UBA geht.
"UBA ist eine Möglichkeit, um zu beobachten, was die Leute tun, und um zu bemerken, ob sie etwas Ungewöhnliches tun", sagte Scheidler von Balabit. Das Produkt (in diesem Fall die Blindspotter- und Shell-Kontrollbox von Balabit) erstellt eine digitale Datenbank mit dem typischen Verhalten jedes Benutzers. Dieser Vorgang dauert etwa drei Monate. Danach erkennt die Software Abweichungen von dieser Basislinie. Das ML-System erstellt eine Bewertung des Verhaltens eines Benutzerkontos und der Kritikalität des Problems. Warnungen werden generiert, wenn die Punktzahl einen Schwellenwert überschreitet.
"Analytics versucht zu entscheiden, ob Sie selbst sind", sagte Scheidler. Beispielsweise verwendet ein Datenbankanalyst regelmäßig bestimmte Tools. Wenn sie sich also zu einem ungewöhnlichen Zeitpunkt von einem ungewöhnlichen Ort aus anmeldet und auf Anwendungen zugreift, die für sie ungewöhnlich sind, kommt das System zu dem Schluss, dass ihr Konto möglicherweise kompromittiert ist.
Die von Balabit erfassten UBA-Merkmale umfassen die historischen Gewohnheiten des Benutzers (Anmeldezeit, häufig verwendete Anwendungen und Befehle), Besitz (Bildschirmauflösung, Trackpad-Verwendung, Betriebssystemversion), Kontext (ISP, GPS-Daten, Standort, Netzwerkverkehrszähler). und Vererbung (etwas, das du bist). In der letzteren Kategorie befinden sich die Analyse der Mausbewegung und die Dynamik der Tastenanschläge, wobei das System abbildet, wie hart und schnell die Finger eines Benutzers auf die Tastatur schlagen.
Scheidler warnt, dass die Maus- und Tastaturmessungen noch nicht kinderleicht sind. Zum Beispiel, sagte er, ist das Erkennen von Tastenanschlägen zu 90 Prozent zuverlässig, so dass die Tools des Unternehmens nicht stark von einer Anomalie in diesem Bereich abhängen. Außerdem unterscheidet sich das Benutzerverhalten ständig geringfügig. Wenn Sie einen stressigen Tag oder Schmerzen in der Hand haben, sind die Mausbewegungen unterschiedlich.
"Da wir mit vielen Aspekten des Nutzerverhaltens arbeiten und der aggregierte Wert derjenige ist, der mit dem Basisprofil verglichen werden muss, weist er insgesamt eine sehr hohe Zuverlässigkeit auf, die zu 100 Prozent konvergiert", sagte Scheidler.
Balabit ist sicherlich nicht der einzige Anbieter, dessen Produkte UBA verwenden, um Sicherheitsereignisse zu identifizieren. Cybereason verwendet zum Beispiel eine ähnliche Methode, um Verhaltensweisen zu identifizieren, bei denen aufmerksame Menschen sagen: "Hmm, das ist lustig."
Erklärt Cybereasons CTO Yonatan Streim Amit: "Wenn unsere Plattform eine Anomalie feststellt - James arbeitet spät -, können wir sie mit anderen bekannten Verhaltensweisen und relevanten Daten in Beziehung setzen. Verwendet er dieselben Anwendungen und Zugriffsmuster? Sendet er Daten an jemanden, den er niemals kommuniziert? mit oder gehen alle Mitteilungen an seinen Vorgesetzten, der antwortet? " Cybereason analysiert die Anomalie, dass James ungewöhnlich spät arbeitet, mit einer langen Liste anderer beobachteter Daten, um einen Kontext für die Feststellung zu liefern, ob eine Warnung ein falsch positives oder ein berechtigtes Problem ist.
Es ist die Aufgabe der IT, Antworten zu finden, aber es ist sicher hilfreich, Software zu haben, die die richtigen Fragen aufwirft. Beispielsweise haben zwei Benutzer in einer Gesundheitsorganisation auf Aufzeichnungen von verstorbenen Patienten zugegriffen. "Warum sollte jemand Patienten untersuchen, die vor zwei oder drei Jahren verstorben sind, es sei denn, Sie möchten eine Art Identitäts- oder medizinischen Betrug begehen?" fragt Amit Kulkarni, CEO von Cognetyx. Bei der Identifizierung dieses Sicherheitsrisikos identifizierte das Cognetyx-System den unangemessenen Zugriff basierend auf den normalen Aktivitäten für diese Abteilung und verglich das Verhalten der beiden Benutzer mit dem der Zugriffsmuster ihrer Kollegen und mit ihrem eigenen normalen Verhalten.
"Per Definition sind maschinelle Lernsysteme iterativ und automatisiert", so Tendler von Fortscale. "Sie versuchen, neue Daten mit dem zu" vergleichen ", was sie zuvor gesehen haben, aber sie werden nichts aus dem Ruder laufen lassen oder unerwartete oder unzulässige Ergebnisse automatisch" wegwerfen "."
Daher suchen die Algorithmen von Fortscale nach verborgenen Strukturen in einem Datensatz, auch wenn sie nicht wissen, wie die Struktur aussieht. "Selbst wenn wir das Unerwartete finden, bietet es Futter, auf dem möglicherweise eine neue Musterzuordnung erstellt werden kann. Das macht maschinelles Lernen so viel leistungsfähiger als deterministische Regelsätze: Maschinell lernende Systeme können Sicherheitsprobleme finden, die noch nie zuvor gesehen wurden."
Was passiert, wenn das ML-System eine Anomalie feststellt? Im Allgemeinen leiten diese Tools Alarme an einen Menschen weiter, um auf irgendeine Weise einen endgültigen Anruf zu tätigen, da die Nebenwirkungen eines falschen Positivs für das Unternehmen und seine Kunden schädlich sind. "Fehlerbehebung und Forensik erfordern menschliches Fachwissen", erklärt Scheidler von Balabit. Das Ideal ist, dass die generierten Warnungen genau und automatisiert sind und Dashboards einen nützlichen Überblick über den Systemstatus bieten und die Möglichkeit bieten, das "Hey, das ist seltsam" -Verhalten zu analysieren.
Quelle: Balabit.com (Klicken Sie auf die Grafik oben, um eine vollständige Ansicht zu erhalten.)
Das ist nur der Anfang
Gehen Sie nicht davon aus, dass ML und IT-Sicherheit wie Schokolade und Erdnussbutter oder Katzen und das Internet perfekt zusammenpassen. Dies ist noch in Arbeit, wird jedoch mehr Leistung und Nutzen bringen, da Produkte mehr Funktionen, Anwendungsintegration und technische Verbesserungen erhalten.
Suchen Sie kurzfristig nach Fortschritten in der Automatisierung, damit Sicherheits- und Betriebsteams schneller und mit weniger menschlichem Eingriff neue Datenerkenntnisse gewinnen können. In den nächsten zwei oder drei Jahren, so Mike Paquette, Vice President of Products bei Prelert, erwarten wir, dass Fortschritte in zwei Formen erzielt werden: eine erweiterte Bibliothek vorkonfigurierter Anwendungsfälle, die Angriffsverhalten identifizieren und Fortschritte bei der automatischen Auswahl und Konfiguration von Funktionen reduzieren die Notwendigkeit für Beratungsaufträge."
Die nächsten Schritte sind selbstlernende Systeme, die sich selbst gegen Angriffe wehren können, sagte Palmer von Darktrace. "Sie reagieren auf aufkommende Risiken durch Malware, Hacker oder unzufriedene Mitarbeiter auf eine Weise, die den vollständigen Kontext des normalen Verhaltens einzelner Geräte und der gesamten Geschäftsprozesse versteht, anstatt einzelne binäre Entscheidungen wie herkömmliche Abwehrmaßnahmen zu treffen. Dies ist von entscheidender Bedeutung." auf sich schneller bewegende Angriffe wie erpressungsbasierte Angriffe zu reagieren, die sich in Angriffe auf wertvolle Ressourcen (nicht nur auf Dateisysteme) verwandeln und so konzipiert sind, dass sie schneller reagieren, als dies von Menschen möglich ist."
Dies ist eine aufregende und vielversprechende Gegend. Die Kombination aus ML und fortschrittlichen Sicherheitstools bietet IT-Experten nicht nur neue Tools, sondern vor allem Tools, mit denen sie ihre Aufgaben präziser und dennoch schneller als je zuvor erledigen können. Es ist zwar keine Silberkugel, aber ein bedeutender Schritt vorwärts in einem Szenario, in dem die Bösen viel zu lange alle Vorteile gehabt haben.
