Invatarea automata si analiza comportamentala a utilizatorului


Gartner previzioneaza ca, la nivel mondial, cheltuielile pentru securitatea informatiilor vor ajunge la 124 miliarde de dolari in acest an.

Cercetatorii in domeniul securitatii, pe de alta parte, estimeaza ca infractiunile informatice – in acelasi interval – ne vor costa 2 trilioane de dolari, fiind de 16 ori mai costisitoare decat investitiile efective in solutii de securitate.

Marea majoritate a programelor malware vizeaza pur si simplu vulnerabilitatile cunoscute, in timp ce botnet-ii raman acum nedetectati in cadrul organizatiilor vizate in medie, timp de aproape 12 zile. In multe cazuri, problema este una generata dintre resurse. Extinderea rapida a suprafetei de atac prin transformarea digitala si adoptarea fara precedent a dispozitivelor BYOD si IoT, combinate cu un nivel sporit de sofisticare a atacurilor si largirea decalajului de abilitati de securitate a facut ca multe echipe de securitate sa fie depasite de situatie.

Pentru a rezolva aceasta provocare, organizatiile apeleaza la instrumente de invatare automata (learning machine) pentru a-si umple golurile de securitate. Ca raspuns, multi, daca nu chiar toti noii furnizori, implementeaza module de invatare automata in solutiile lor cele mai recente. Multi CISO-uri cauta, in acest context, solutii minune care sa rezolve complet problema criminalitatii informatice. Ramane insa intrebarea daca invatarea automata poate adauga o valoare reala domeniului securitatii cibernetice sau nu.

Detectarea si preventia

Multe organizatii opereaza in prezent cu un kit standard de securitate cibernetica. Sunt dotate cu o multime de dispozitive care ofera politici de securitate despre care vanzatorii pretind ca pot detecta si preveni cele mai recente amenintari, prin detectie pe baza de semnatura, politici de mentinere sau chiar configuratii definite de catre utilizator. In aceasta categorie intra – iar expertii estimeaza ca organizatiile pot avea solutii chiar si de la 70 de furnizori de securitate diferiti in reteaua lor – echipamente de tip firewall, sisteme de prevenire a pierderilor de date (DLP), sisteme de prevenire a intruziunilor (IPS) si filtre de continut web (WCF). Mai mult decat atat, deoarece acesti senzori continua sa fie multipli, este posibil ca multi dintre ei sa nu fie configurati tocmai corect. Potrivit unui raport Gartner, 99% dintre incalcarile firewall-ului sunt cauzate chiar de diverse greseli care se fac in configurarea echipamentului firewall.

In plus, multe dintre aceste dispozitive functioneaza complet izolate unul de celalalt, incapabile sa partajeze sau sa coreleze inteligenta amenintarilor sau sa raspunda amenintarilor intr-o strategie coroborata sau coordonata. Ca atare, chiar si monitorizarea acestor echipamente necesita un nivel suplimentar de senzori – impreuna cu membri suplimentari ai echipei de securitate care sa le gestioneze si coreleze manual. Desigur, mai multi senzori si mai multe date necesita mai multe persoane, iar avand in vedere deficienta actuala de abilitati de securitate, aceasta strategie nu pare fezabila pentru viitor.

Invatarea automata

Invatarea masina sau automata (Machine learning – ML) este o componenta a Inteligentei Artificiale (AI). AI si ML pot extinde capacitatile umane, lucrand cu seturi de date mari si modele de comportament sau semnale in zgomot, care ar fi cu totul imposibile pentru oameni. Aceasta ofera un multiplicator de forte, permitand talentului uman existent sa detecteze analize de comportament automatizate de comportamente neobisnuitd sau instrumente UEBA (analiza de comportament a utilizatorului). Sarcinile Mundane pot fi, de asemenea, automatizate cu ML, permitand resurselor reduse ale personalului de securitate cibernetica sa se concentreze pe sarcini cu valoare mai mare.

Analitici comportamentale ale utilizatorului

ML si AI se bazeaza pe ‘big data’, iar eficienta si acuratetea este cu atat mai buna cu cat se furnizeaza un set mai mare de date. Important este, insa, ca datele introduse sa fie corecte. Aici este punctul in care intervine sistemul UEBA.

Combinarea datelor comportamentale corecte si esentiale ale utilizatorilor cu invatarea automata va permite monitorizarea cu mai multa acuratete a utilizatorilor, de la capat la altul, oferind o vizibilitate profunda asupra comportamentelor uzuale.

Odata ce s-a definit matricea de comportament normal, ori de cate ori un utilizator va face o actiune pe care sistemul UEBA o catalogheaza ca fiind in afara parametrilor de normalitate, echipa operationala de securitate cibernetica este alertata.

Daca activitatea legitima a unui utilizator este marcata ca anormala, ceea ce se poate intampla frecvent in etapele initiale de invatare, analistii pot pur si simplu sa eticheteze activitatea ca rutina, iar invatarea automata a sistemului UEBA va integra aceste date in mod corespunzator. Deoarece invatarea automata reduce rata de false pozitive, cu cat un utilizator se abate mai mult de la comportamentul normal, cu atat aceste notificari primesc un grad mai ridicat de urgenta.

Beneficiile combinate ale invatarii automate cu UEBA

Utilizarea invatarii automate, alaturi de datele de comportament ale utilizatorului, ofera securitate proactiva care nu este posibila in sistemele traditionale de prevenire si detectie bazate pe semnaturi.

Concluzii

O solutie de securitate UEBA construita pe o platforma de invatare automata ofera multe avantaje. Intrucat abilitatile sunt perfectionate plecand de la baza retelei, aceste solutii nu numai ca pot detecta modificari nefiresti ale comportamentului, dar pot identifica si preveni proactiv producerea anumitor comportamente inainte de a se intampla. Iar de vreme ce solutiile de invatare automata au, in general, sisteme proprii de alimentare si dezvoltare, cheltuielile generale pentru a le gestiona sunt reduse la minimum.

Cel mai important, probabil, este faptul ca invatarea automata intra in scena intr-un moment foarte oportun, cand numarul de profesionisti disponibili in prezent nu acopera nevoile organizationale. Degrevand specialistii de sarcini care oricum nu erau neaparat potrivite pentru acestia, resursa umana castiga timp necesar sa se concentreze pe acele zone in care pot adauga valoare, cum ar fi dezvoltarea politicilor si practicilor de securitate cibernetica.

Sursa aici.

Fortinet
Fortinet

Premiatele sisteme de securitate FortiNet si serviciile de subscriptii asociate acestora protejeaza retelele a peste 270.000 de clienti din intreaga lumea – incluzand cele mai mari firme de telecomunicatii, furnizori de servicii si companii, indiferent de marimea acestora. Fortinet a fost ... Citeşte mai mult »

Vedeti de asemenea

Cautati informatii