Kako se digitalno doba razvija i nastavlja oblikovati poslovni krajolik, korporativne mreže postaju sve složenije. Količina podataka koju kompanija prikuplja za otkrivanje malicioznog ponašanja stalno se povećava, što čini izazovom otkrivanje obmanjujućih i nepoznatih obrazaca napada i takozvane “igle u plastu sijena”. Uz sve veći broj prijetnji kibernetičke bezbjedmosti, kao što su kršenje podataka, napadi ransomware-a i maliciozni insajderi, organizacije se suočavaju sa značajnim izazovima u uspješnom praćenju i osiguravanju svojih mreža. Nadalje, nedostatak talenata u oblasti kibernetičke bezbjednosti čini ručno traženje pretnji i korelaciju dnevnika glomaznim i teškim zadatkom. Kako bi odgovorile na ove izazove, organizacije se okreću prediktivnoj analitici i sigurnosnim rešenjima vođenim mašinskim učenjem (ML) kao osnovnim alatima za osiguranje svojih mreža od kibernetičkih pretnji.
Uloga mrežnih sigurnosnih ML vođenih rešenja
Mrežna sigurnosna rešenja vođena ML-om u kibernetičkoj bezbjednosti odnose se na korištenje algoritama za samoučenje i drugih prediktivnih tehnologija (statistika, vremenska analiza, korelacije itd.) za automatizaciju različitih aspekata otkrivanja pretnji. Upotreba ML algoritama postaje sve popularnija za skalabilne tehnologije zbog ograničenja prisutnih u tradicionalnim sigurnosnim rešenjima zasnovanim na pravilima. Ovo rezultira obradom podataka putem naprednih algoritama koji mogu identifikovati obrasce, anomalije i druge suptilne pokazatelje maliciozne aktivnosti, uključujući nove i rastuće pretnje za koje možda nisu poznati loši indikatori ili postojeći potpisi.
Otkrivanje poznatih indikatora pretnji i blokiranje utvrđenih obrazaca napada i dalje je ključni dio ukupne kibernetičke higijene. Međutim, tradicionalni pristupi koji koriste izvore pretnji i statička pravila mogu postati dugotrajni kada je u pitanju održavanje i pokrivanje svih različitih izvora dnevnika. Osim toga, indikatori napada (IoA) ili indikatori kompromisa (IoC) možda neće biti dostupni u vrijeme napada ili su brzo zastarjeli. Shodno tome, kompanije zahtijevaju druge pristupe da popune ovu prazninu u svom stavu o kibernetičkoj bezbjednosti.
Ukratko, spomenuti nedostaci sigurnosnih rešenja zasnovanih na pravilima naglašavaju značaj zauzimanja holističkog pristupa mrežnoj sigurnosti, koji bi danas trebao uključivati rješenja za otkrivanje i odgovor mreže (NDR) na bazi ML-a kao dopunu tradicionalnim mogućnostima detekcije i preventivnim mjerama sigurnosti.
Prednosti ML-a za sigurnost mreže
Dakle, kako mašinsko učenje (ML) oblikuje budućnost mrežne sigurnosti? Istina je da sigurnosna rešenja zasnovana na ML-u donose značajnu transformaciju u mrežnoj sigurnosti pružajući timovima za sigurnost brojne prednosti i poboljšavajući ukupne mogućnosti otkrivanja pretnji organizacija:
- Analitika velikih podataka: Sa sve većom količinom podataka i različitim izvorima dnevnika, organizacije moraju biti u mogućnosti da obrađuju ogromne količine informacija u realnom vremenu, uključujući evidencije mrežnog prometa, krajnje tačke i druge izvore informacija u vezi sa kibernetičkim pretnjama. S tim u vezi, ML algoritmi mogu pomoći u otkrivanju sigurnosnih pretnji identifikacijom obrazaca i anomalija koje bi inače mogle ostati neprimijećene. Shodno tome, sposobnost i fleksibilnost rešenja za inkorporisanje različitih izvora dnevnika trebala bi biti ključni zahtjev za mogućnosti otkrivanja pretnji.
- Automatska analiza anomalnog ponašanja: AI omogućava veoma potrebno praćenje stanja mrežne aktivnosti koristeći analizu normalnog mrežnog saobraćaja kao osnovnu liniju. Uz pomoć automatizovane korelacije i grupisanja, mogu se otkriti odstupanja i neobično ponašanje, smanjujući potrebu za inženjeringom ručnog otkrivanja i lovom na pretnje. Ključna pitanja na koja treba odgovoriti su “koja je aktivnost drugih klijenata u mreži?” i “da li je ponašanje klijenta u skladu sa njegovim prethodnim aktivnostima?”. Ovi pristupi omogućavaju otkrivanje neobičnog ponašanja kao što su domeni algoritama generisanih domenom (DGA), nepravilnosti zasnovane na volumenu u mrežnim vezama i neobični obrasci komunikacije (npr. latelarno kretanje) u mreži. Stoga, poređenje trenutnog ponašanja klijenta sa ponašanjem njegovih kolega služi kao prikladna osnova za identifikaciju suptilnih anomalija.
- Otkrivanje nepoznatih napada u realnom vremenu: Iako je relativno lako direktno otkriti poznate loše indikatore (određene IP adrese, domene itd.), mnogi napadi mogu ostati neotkriveni kada ovi indikatori nisu prisutni. Ako je to slučaj, statistike, detekcije zasnovane na vremenu i korelaciji su od ogromne vrijednosti za otkrivanje nepoznatih obrazaca napada na automatizovan način. Ugrađivanjem algoritamskih pristupa, tradicionalna sigurnosna rešenja zasnovana na potpisima i indikatorima kompromisa (IoC) mogu se poboljšati kako bi postala samostalnija i manje se oslanjala na poznate indikatore malicioznog softvera.
- Mogućnosti otkrivanja samoučenja: rešenja vođena ML-om uče iz prošlih događaja kako bi kontinuirano poboljšavali svoje mogućnosti otkrivanja pretnji, bodovanja pretnji, grupisanja i mrežne vizualizacije. Ovo može uključivati obuku samih algoritama ili prilagođavanje načina na koji se informacije predstavljaju na osnovu povratnih informacija od analitičara.
- Poboljšanje odgovora na incidente: Učenjem iz prethodnih aktivnosti analitičara za reagovanje na incidente, ML može automatizovati određene aspekte procesa odgovora na incidente, minimizujući vrijeme i resurse potrebne za rešavanje kršenja sigurnosti. To može uključivati korištenje algoritama za analizu teksta i dokaza, identifikovanje osnovnih uzroka i obrazaca napada.
Primjer rešenja za mrežnu sigurnost vođenog ML-om
Kada su u pitanju rešenja za otkrivanje i odgovor mreže (NDR) vođena ML-om koja uključuju navedene prednosti, ExeonTrace se ističe kao vodeće rešenje za mrežnu sigurnost u Evropi. Zasnovan na nagrađivanim algoritmima ML-a, koji uključuju deceniju akademskog istraživanja, ExeonTrace pruža organizacijama napredne mogućnosti otkrivanja pretnji od ML-a, potpunu vidljivost mreže, fleksibilnu integraciju izvora evidencije i analitiku velikih podataka. Osim toga, algoritmi se oslanjaju na analizu metapodataka umjesto stvarnih nosivosti zbog čega na njih ne utiče enkripcija, potpuno su bez hardvera i kompatibilni su s većinom infrastruktura kibernetičke bezbjednosti. Kao rezultat toga, ExeonTrace je u stanju da obrađuje neobrađene podatke dnevnika u moćne baze podataka grafova, koje se zatim analiziraju nadziranim i nenadziranim ML-modelima. Kroz korelaciju i fuziju događaja, algoritmi mogu precizno odrediti anomalije visoke vjernosti i suptilne znakove malicioznog ponašanja, čak i kada se bave novim kibernetičkim pretnjama kojima možda nedostaju utvrđeni potpisi ili poznati maliciozni indikatori.
Zaključak
Kako pretnja kibernetičkih napada postaje sve složenija, organizacije moraju ići dalje od tradicionalnih mjera sigurnosti kako bi zaštitile svoje mreže. Kao rezultat toga, mnoge kompanije se sada okreću mašinskom učenju (ML) i prediktivnoj analitici kako bi ojačale svoju bezbjednosnu odbranu. S tim u vezi, rešenja za detekciju i odgovor mreže (NDR) vođena ML-om, kao što je ExeonTrace, dizajnirana su da pomognu organizacijama da ostanu ispred okruženja pretnji koje se stalno razvija. Koristeći napredne ML algoritme koji analiziraju mrežni promet i dnevnike aplikacija, ExeonTrace nudi organizacijama brzo otkrivanje i odgovor čak i na najsofisticiranije kibernetičke napade.
Izvor: The Hacker News