Инструменты безопасности машинного обучения: хорошие парни наносят ответный удар

Опубликовано: 1 Апреля, 2023
Инструменты безопасности машинного обучения: хорошие парни наносят ответный удар

Машинное обучение — это просто развитие компьютеров от «тупых» машин, которые не могут научиться ничему новому, не будучи запрограммированными, до «умных» машин, которые могут. Что касается безопасности, в частности, машинное обучение стало незаменимым инструментом, поскольку оно активно анализирует огромные наборы данных для создания шаблонов, которые затем можно использовать не только для обнаружения, но и для прогнозирования того, откуда будет исходить атака. Плохая новость, однако, заключается в том, что у плохих парней почти такая же технология, поэтому использование инструментов безопасности на основе машинного обучения сейчас не столько выбор, сколько необходимость.

Машинное обучение в вредоносных программах

Давайте использовать вредоносные программы в качестве примера здесь. Обычное вредоносное ПО предназначено для самообновления всякий раз, когда оно начинает обнаруживаться, следовательно, оно меняет свое «поведение», чтобы избежать обнаружения. Это очень похоже на ML. На самом деле некоторые экземпляры вредоносных программ могут изменить свое поведение менее чем за 24 часа, что затрудняет их обнаружение даже для некоторых моделей машинного обучения, которые не часто переобучаются. Кроме того, атаки не ограничиваются вредоносными программами или фишингом, и теперь мы наблюдаем использование ряда нетрадиционных парадигм, таких как облачные вычисления, Интернет вещей, бесфайловые атаки и даже некоторые из них, основанные на искусственном интеллекте.

Хорошей новостью является то, что использование машинного обучения в области безопасности быстро становится отраслевым стандартом, и даже ведущие компании в области традиционной безопасности, такие как Symantec, присоединяются и предлагают инструменты безопасности на основе машинного обучения. Это чрезвычайно важно, особенно с учетом того, что нынешняя пандемия, последовавшая за ней изоляция и беспрецедентная новая удаленная рабочая сила предоставили хакерам по всему миру самую большую целевую поверхность, которую они когда-либо видели. В то время как большинство людей полагаются на VPN, которые хороши, но ни в коем случае не всеобъемлющи, давайте посмотрим на инструменты безопасности, которые на самом деле дают нам возможности машинного обучения.

Обнаружение аномалий на основе машинного обучения

Изображение 9997
Викимедиа

Создатели Norton Antivirus предлагают Symantec TAA (Target Attack Analytics), который доступен клиентам в рамках ATP или программы расширенной защиты от угроз. TAA работает не по традиционному пути, переобучению и обновлению, чтобы не отставать от вирусных мутаций, а использует облачную платформу с поддержкой машинного обучения для обнаружения «аномалий» и устранения их при необходимости. Также сообщается, что TAA инкапсулирует опыт и возможности ведущих аналитиков безопасности в тех, кого сейчас называют виртуальными аналитиками, которые могут помогать, давать советы и облегчать нагрузку на персонал службы безопасности.

Сказать, что новый проект был успешным, было бы преуменьшением. Организации, использующие TAA, не только смогли предотвратить атаки, но в некоторых случаях они даже смогли отследить и раскрыть источник. В начале 2018 года TAA помогла исследователям раскрыть запланированный кибершпионаж против телекоммуникационных, спутниковых и оборонных систем, который точно остался бы незамеченным без использования ИИ. Этот новый облачный подход также позволяет проводить переобучение аналитиков без необходимости обновления продукта каждый раз, когда возникает новая угроза или изменение угрозы.

Негде спрятаться

Изображение 9998 Следующей в нашем списке является британская компания по кибербезопасности Darktrace, которая с самого начала была нетрадиционной, когда они начали использовать ML для обнаружения внутренних нарушений в 2013 году. Перейдите к сегодняшнему дню, и кажется, что они не только создали свою собственную ниша под названием неконтролируемое машинное обучение, но их технология «иммунной системы предприятия» на основе машинного обучения уже используется тысячами организаций по всему миру. Darktrace Antigena использует эту технологию для выявления любых подозрительных действий и реагирования на них, даже если ничего подобного никогда не происходило в прошлом, эффективно решая проблему новых и непредвиденных угроз.

Это важное достижение в области безопасности просто потому, что данные, касающиеся атак, которые произошли ранее, никоим образом не защищают нас от будущих. Вместо того, чтобы играть в кошки-мышки, которые часто приводят к тому, что хорошие парни отстают как минимум на одно поколение от новейших вирусов и их мутаций, неконтролируемое машинное обучение переходит в наступление. Это достигается не только постоянным поиском «подозрительного» поведения, но и постоянным пересмотром того, что он считает подозрительным поведением. Это сильно ограничивает количество ходов, которые потенциальный злоумышленник может сделать, не будучи замеченным.

Ватсон в миксе

Изображение 389
IBM

Еще одним интересным инструментом безопасности, использующим машинное обучение для защиты облачных приложений, является IBM QRadar Advisor с Watson. Подобно виртуальным аналитикам из Symantec TAA, Qradar Advisor с Watson помогает снять нагрузку с аналитиков безопасности, не только предоставляя критическое представление о повседневных операциях, но и эффективно сводя на нет массу рутинных и повторяющихся задач.. Он делает это с помощью когнитивных рассуждений, основанных на когнитивной аналитике IBM Watson. Это также эффективно ускоряет общий цикл реагирования, а также позволяет аналитикам активно искать новые угрозы.

Эти неструктурированные данные могут включать в себя все, от веб-страниц до веб-сайтов безопасности или даже исследовательские работы в огромных объемах. Это эффективно ускоряет общий цикл реагирования, а также дает аналитикам возможность активно искать новые угрозы. Другие полезные функции включают в себя автоматическое расследование инцидентов, аналитику перекрестных расследований, расширенную обратную связь Watson с использованием внешней информации и упреждающую настройку вашей среды для повышения общей безопасности. UBA, или анализ поведения пользователей, — еще одна интересная функция, которая дает представление о внутренних пользователях и может даже защитить от атак изнутри, отмечая подозрительное поведение.

Вспомнить все

Последним, но, вероятно, самым продвинутым предложением в нашем списке является Vectra Cognito, использующая искусственный интеллект, машинное обучение, науку о данных и поведенческую аналитику. Он состоит из двух отдельных инструментов Cognito Detect и Cognito Recall. Его Cognito Detect используется для поиска скрытых угроз и злоумышленников в режиме реального времени, а также для автоматизации процесса обнаружения угроз. Дополнительные функции включают автоматическую защиту привилегированных учетных записей, постоянное отслеживание угроз, автоматические расследования безопасности и интеграцию с брандмауэрами и другими решениями для конечных точек. Cognito Detect также имеет «постоянно обучающуюся» поведенческую модель, которая, как следует из названия, всегда обновляет способ поиска и восприятия новых угроз.

Другая половина Cognito, которая называется Recall, выходит за рамки традиционных и часто негибких моделей хранения данных. В отличие от проприетарных решений для хранения данных, Recall на 100 % работает в облаке, что позволяет ему собирать, хранить и анализировать столько метаданных, сколько необходимо для проведения расследований или устранения неполадок. Здесь больше всего привлекает безграничный масштаб, особенно в нынешней ситуации, когда сотни, а то и тысячи сотрудников работают из дома. Функция Recall обеспечивает необходимую видимость не только для отслеживания всех новых устройств, но даже для сетей, через которые они проходят. Он делает это, сохраняя то, что сейчас называют «обогащенными» сетевыми метаданными, которые он анализирует для получения окончательных ответов.

Инструменты безопасности машинного обучения просто необходимы

Инструменты безопасности машинного обучения быстро превратились из интересной функции в термин, с которым быстро знакомится весь мир, и этот термин является «необходимым». Атаки с использованием искусственного интеллекта, коварное вредоносное ПО, которое может остаться незамеченным, и методы уклонения на основе искусственного интеллекта, которые могут обмануть обнаружение методом глубокого обучения, позволяют выбрать один из вариантов: «включиться или быть украденным».

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023