Uw volgende digitale bewaker zou meer op RoboCop moeten lijken

Deze door verkoper geschreven technische primer is bewerkt door Network World om productpromotie te elimineren, maar lezers moeten opmerken dat het waarschijnlijk de aanpak van de indiener zal bevoordelen.

Mensen zijn duidelijk niet in staat om elke bedreiging op de enorme en complexe netwerken van vandaag te bewaken en te identificeren met behulp van traditionele beveiligingstools. We moeten de menselijke capaciteiten verbeteren door ze uit te breiden met machine-intelligentie. Het combineren van mens en machine - in sommige opzichten vergelijkbaar met wat OmniCorp deed met RoboCop - kan ons vermogen om een ​​bedreiging te identificeren en te stoppen vergroten voordat het te laat is.

De 'domme' tools waar organisaties tegenwoordig op vertrouwen, zijn gewoon niet effectief. Er zijn twee consistente, maar nog steeds verrassende dingen die deze onbekwaamheid redelijk duidelijk maken. De eerste is de hoeveelheid tijd dat hackers vrij spel hebben binnen een systeem voordat ze worden gedetecteerd: acht maanden bij Premera en P.F. Chang's, zes maanden bij Nieman Marcus, vijf maanden bij Home Depot, en de lijst gaat maar door.

De tweede verrassing is de reactie. Iedereen kijkt meestal achterom en probeert erachter te komen hoe de externe actoren zijn binnengekomen. Het spreekwoordelijke lek vinden en dichten is natuurlijk belangrijk, maar deze aanpak behandelt alleen een symptoom in plaats van de ziekte te genezen.

De ziekte is in dit geval de groeiende groep hackers die zo goed worden in wat ze doen dat ze een netwerk kunnen infiltreren en vrij rond kunnen dwalen, waarbij ze toegang krijgen tot meer bestanden en gegevens dan zelfs de meeste interne medewerkers toegang hebben. Als het voor Premera, Sony, Target en anderen maanden duurde om deze slechte acteurs in hun netwerken op te sporen en de gaten te dichten die hen binnenlieten, hoe kunnen ze er dan zeker van zijn dat een andere groep geen ander gat heeft gevonden? Hoe weten ze dat andere groepen momenteel geen gegevens stelen? Tegenwoordig weten ze het niet zeker.

De typische reactie

Tot voor kort hadden bedrijven eigenlijk maar één optie als antwoord op toenemende dreigingen, een antwoord dat de meeste organisaties nog steeds gebruiken. Ze versterken systemen, versnellen de firewall en IDS / IPS-regels en -drempels en stellen strengere webproxy- en VPN-beleidsregels op. Maar door dit te doen verdrinken ze hun incidentresponsteams in waarschuwingen.

Het aanscherpen van het beleid en het toevoegen van het aantal scenario's die een rode vlag zullen opheffen, maakt de taak alleen maar moeilijker voor beveiligingsteams die al dun zijn. Dit veroorzaakt elke dag duizenden false positives, waardoor het fysiek onmogelijk is om ze allemaal te onderzoeken. Zoals recente spraakmakende aanvallen hebben bewezen, helpt de stortvloed aan waarschuwingen kwaadaardige activiteiten door de kieren te laten glijden, want zelfs als het wordt 'gepakt', wordt er niets aan gedaan.

Bovendien verspilt het verkorten van beveiligingsregels en -procedures gewoon ieders tijd. Door een strakker beleid zal de toegang tot gegevens worden beperkt, en in veel gevallen is die informatie nodig voor werknemers om hun werk goed te doen. Medewerkers en afdelingen zullen beginnen te vragen naar de tools en informatie die ze nodig hebben, waardoor ze kostbare tijd verspillen voor hen en de IT / beveiligingsteams die elk verzoek moeten onderzoeken.

RoboCop op de zaak zetten

Machine-intelligentie kan worden gebruikt om enorme netwerken te controleren en hiaten op te vullen waar de beschikbare middelen en capaciteiten van menselijke intelligentie duidelijk tekortschieten. Het lijkt een beetje op RoboCop de straten laten controleren, maar in dit geval zijn de belangrijkste bewapening statistische algoritmen. Meer in het bijzonder kunnen statistieken worden gebruikt om abnormale en mogelijk kwaadaardige activiteiten te identificeren wanneer deze zich voordoen.

Volgens Dave Shackleford, analist bij het SANS Institute en auteur van de Analytics and Intelligence Survey 2014, "is een van de grootste uitdagingen waarmee beveiligingsorganisaties worden geconfronteerd, gebrek aan zicht op wat er in de omgeving gebeurt." In het onderzoek onder 350 IT-professionals werd gevraagd waarom ze problemen hebben met het identificeren van bedreigingen. Een topreactie was hun onvermogen om "normaal gedrag" te begrijpen en te baseren. Het is iets dat mensen gewoon niet kunnen doen in complexe omgevingen, en omdat we normaal gedrag niet kunnen onderscheiden, kunnen we geen abnormaal gedrag zien.

In plaats van erop te vertrouwen dat mensen naar grafieken op grote schermen kijken, of door mensen gedefinieerde regels en drempels om vlaggen te heffen, kunnen machines leren hoe normaal gedrag eruit ziet, zich in realtime aanpassen en slimmer worden naarmate ze meer informatie verwerken. Bovendien beschikken machines over de snelheid die nodig is om de enorme hoeveelheid informatie die netwerken creëren te verwerken, en ze kunnen dit in bijna realtime doen. Sommige netwerken verwerken terabytes aan gegevens elke seconde, terwijl mensen daarentegen niet meer dan 60 bits per seconde kunnen verwerken.

Afgezien van de behoefte aan snelheid en capaciteit, zijn regels die dom zijn een groter probleem met de traditionele manier van bewaken van beveiligingsproblemen. Dat is ook niet alleen schelden, ze zijn letterlijk dom. Mensen stellen regels op die de machine vertellen hoe te handelen en wat te doen - de snelheid en verwerkingscapaciteit zijn niet relevant. Hoewel op regels gebaseerde bewakingssystemen erg complex kunnen zijn, zijn ze nog steeds gebaseerd op een basisformule "als dit, doe dat dan". Door machines in staat te stellen zelf na te denken en betere gegevens en inzichten te verstrekken aan de mensen die erop vertrouwen, zal de beveiliging echt verbeteren.

Het is bijna absurd om geen beveiligingslaag te hebben die voor zichzelf denkt. Stel je voor in de fysieke wereld als iemand elke dag de grens overstak met een kruiwagen vol vuil en de douane-agenten, ijverig waren in hun werk en de regels volgden, ze elke dag door dat vuil zochten, nooit vinden wat ze dachten dat ze waren zoeken naar. Ook al steekt diezelfde persoon herhaaldelijk de grens over met een kruiwagen vol vuil, niemand denkt ooit naar de kruiwagen te kijken. Als ze dat wel hadden gedaan, zouden ze snel hebben geleerd dat hij de hele tijd kruiwagens heeft gestolen!

Alleen omdat niemand tegen de douane heeft gezegd dat ze naar gestolen kruiwagens moeten zoeken, is het nog niet goed, maar achteraf gezien is het 20/20. In de digitale wereld hoeven we niet meer achteraf te vertrouwen, vooral nu we de kracht hebben om machine-intelligentie aan het werk te zetten en afwijkingen te herkennen die zich vlak onder onze neus zouden kunnen voordoen. Om cybersecurity vandaag effectief te laten zijn, heeft het op zijn minst een basisniveau van intelligentie nodig. Machines die zelfstandig leren en abnormale activiteiten detecteren, kunnen de 'kruiwagendief' vinden die mogelijk langzaam gegevens gaat syphoneren, zelfs als u niet specifiek weet dat u naar hem zoekt.

Anomalie-detectie is een van de eerste technologiecategorieën waar machine learning wordt gebruikt om de netwerk- en applicatiebeveiliging te verbeteren. Het is een vorm van geavanceerde beveiligingsanalyses, een term die vrij vaak wordt gebruikt. Er zijn echter een paar vereisten waaraan dit type technologie moet voldoen om echt als 'geavanceerd' te worden beschouwd. Het moet gemakkelijk kunnen worden ingezet om continu te werken, tegen een breed scala aan gegevenstypen en bronnen, en op enorme gegevensschalen om high-fidelity-inzichten te produceren om de alarmeringsblindheid waarmee beveiligingsteams reeds worden geconfronteerd niet verder te vergroten.

Vooraanstaande analisten zijn het erover eens dat machine learning binnenkort een 'noodzaak' moet zijn om een ​​netwerk te beschermen. In een Gartner-rapport van november 2014 met de titel 'Nieuwe prestatiestatistieken toevoegen om machine learning-enabled systemen te beheren', stelt analist Will Cappelli rechtstreeks: 'De functionaliteit van machine learning zal de komende vijf jaar geleidelijk doordringend worden en, in het proces, , systeemprestaties en kostenkenmerken fundamenteel wijzigen. ”

Hoewel machine learning zeker geen wondermiddel is dat alle beveiligingsuitdagingen zal oplossen, zal het ongetwijfeld betere informatie opleveren om mensen te helpen betere beslissingen te nemen. Laten we stoppen met mensen te vragen het onmogelijke te doen en machine-intelligentie in te schakelen om de klus te klaren.

Prelert biedt geavanceerde analyse voor detectie van bedreigingsactiviteiten. Prelert helpt organisaties bij het snel detecteren, onderzoeken en reageren op bedreigingsactiviteiten na een inbreuk met geautomatiseerde, machine learning anomaliedetectie.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.