ИТ-безопасность: являются ли алгоритмы волшебным средством против киберугроз?

Опубликовано: 3 Апреля, 2023
ИТ-безопасность: являются ли алгоритмы волшебным средством против киберугроз?

Предприятия и организации всех размеров пытаются справиться с растущим разнообразием и уровнем угроз, с которыми сталкиваются их сети, системы и данные. Прошлый год был плохим для всех, когда речь шла об ИТ-безопасности. Новые направления атак обнаруживаются почти ежедневно, а программы-вымогатели и фишинговые атаки становятся все более опасными, а хакеры, спонсируемые государством, вызывают опасения, поэтому неудивительно, что ИТ-специалисты, ответственные за защиту корпоративных активов, не могут спать по ночам.

Возможно, пришло время для чего-то нового в том, как организации подходят к задачам безопасности сети, данных и ИТ. Возможно, необходимы какие-то фундаментальные изменения в том, как мы защищаем сети, чтобы помочь нам выявлять и смягчать новые виды угроз и атак, когда они появляются в дикой природе.

Возможно, алгоритмы держат ключ к ответу на эту потребность.

Чтобы помочь нам понять, как алгоритмы могут помочь организациям защитить свои информационные активы, я взял интервью у Исаака Коэна, основателя и генерального директора Teramind, платформы для мониторинга сотрудников и предотвращения внутренних угроз, которая обнаруживает, записывает и предотвращает злонамеренное поведение пользователей в дополнение к помощи командам. для повышения производительности и эффективности.

МИТЧ: Спасибо, Исаак, за то, что согласился дать мне интервью об использовании алгоритмов для повышения корпоративной безопасности. Что вас заинтересовало в этой теме в первую очередь?

АЙЗАК: Спасибо, Митч, я рад быть здесь. Мой опыт работы в отрасли начался еще тогда, когда я программировал торговые алгоритмы в крупном хедж-фонде. За время моего пребывания в финансовом мире я провел огромное количество времени с очень конфиденциальной информацией. Вот тут-то и пробудилось мое любопытство к ИТ-безопасности, и я занялся ИТ-консалтингом, чтобы помочь компаниям лучше защитить свои массивы конфиденциальных данных.

За это время я понял, что ИТ-нормой было запретить и заблокировать как можно больше людей для защиты своих данных. Вскоре я пришел к выводу, что это очень неэффективный подход к обеспечению безопасности данных, поскольку он снижает производительность очень важного актива организации — сотрудников.

Оттуда я решил попробовать новый подход, сосредоточившись на алгоритмах, нацеленных на поведение пользователей, чтобы найти выбросы внутри компаний. Здесь родился Тераминд.

МИТЧ: Можете ли вы описать пример того, как алгоритмы могут быть полезны для повышения ИТ-безопасности компании или организации?

Изображение 10189
ISAAC: Я думаю, что интересным алгоритмическим подходом к безопасности было бы обнаружение самозванца. Каждый человек взаимодействует с компьютером определенным образом. Например, у вас, вероятно, есть предпочтительный способ закрыть или свернуть окна. Бьюсь об заклад, время, которое вы потратили между вводом «h» и «e» в слове «hello», отличается от времени, которое требуется мне, чтобы сделать то же самое. И когда вы пишете заглавную букву, вы используете левую или правую кнопку Shift? Используете ли вы мышь или клавиши со стрелками для обычной прокрутки? Я могу вспомнить около 200 таких типов сигналов, которые при алгоритмическом объединении даже с простыми линейными весами составляют профиль пользователя. После периода обучения эти данные можно использовать для определения того, действительно ли человек, сидящий за компьютером, является этим человеком или нет.

МИТЧ: Увлекательно! Каковы некоторые из ключевых областей ИТ-безопасности, где алгоритмы могут быть особенно полезны для защиты информационных активов бизнеса или организации?

ISAAC: Если подумать, алгоритмы могут помочь в любом аспекте ИТ-безопасности, но только в том случае, если все сделано правильно. В наши дни существует огромный ажиотаж вокруг машинного/глубокого обучения. Я думаю, что автоматическое обнаружение аномалий — это фантастика, но только в сочетании с произвольными правилами. Вы должны иметь возможность четко определить правило, например, когда пользователь отправляет электронное письмо, содержащее PII. Вы также должны иметь возможность получать оповещения, когда поведение пользователя по электронной почте изменяется, например, если он обычно отправляет электронные письма на 300 МБ в день, а однажды они отправляют 900 МБ, значит, что-то не так. Эти два метода, базовые алгоритмы и дискреционные правила, вместе составляют более надежный алгоритм для обнаружения нарушений безопасности. Вместе они создают сеть, чтобы поймать то, что, как вы знаете, является неприемлемым поведением, а также поведение, которое просто отклоняется от нормы.

Давайте кратко рассмотрим отрасль здравоохранения, которая изо всех сил пытается сохранить конфиденциальность конфиденциальных данных. В этой отрасли оцифрованные записи и записи ЭМИ становятся нормой. Такая информация, как контактная информация пациента, электронные письма, медицинские записи и номера социального страхования, является высоко продаваемым контентом для Даркнета. И это вызвало «ажиотаж» среди злонамеренных преступников, потому что медицинские учреждения делают эту информацию достаточно доступной и легкой для поиска. Кроме того, преступники могут продолжать извлекать данные из сокровищницы данных, потому что утечка остается незамеченной в течение месяцев или лет. Самое слабое звено в защите этих данных лежит на пользователе — сотруднике. Сотрудники склонны к фишинговым письмам или фактически крадут информацию из организации и сами продают информацию в даркнете (инсайдерская угроза). Пользовательская аналитика и алгоритмы могут классифицировать наиболее важную информацию в вашей организации здравоохранения, собирать данные в режиме реального времени и предупреждать администраторов, когда указанные данные скомпрометированы.

МИТЧ: Итак, какие преимущества может иметь использование алгоритмов по сравнению с более традиционными подходами к защите корпоративных сетей и хранящихся в них конфиденциальных бизнес-данных?

Изображение 10190
ISAAC: Алгоритмы могут уловить то, о чем люди не подумали, а люди могут уловить то, для чего алгоритмы не предназначены. Вот почему я сторонник использования как алгоритмов, так и дискреционных методов, как описано ранее. В любом случае преимущество алгоритмов очевидно — их можно без труда выполнять на огромном количестве данных.

МИТЧ: Интересно. Как вы думаете, какие компании и организации могли бы больше всего выиграть от использования алгоритмов таким образом?

ИСАК: Всем! Крупные предприятия, средние предприятия, и мы часто подчеркиваем важность внедрения алгоритмов для малого бизнеса. Данные — это товар. Это чего-то стоит, и число хакеров растет, и они становятся все умнее, потому что видят финансовую ценность ваших данных. Утечка данных может нанести предприятию ущерб в размере от тысяч до миллионов долларов, включая все, начиная от гонораров юристов и заканчивая ущербом для бренда. Если нам нужно выбрать отрасль, компании в области права, энергетики, здравоохранения, финансов и розничной торговли могут извлечь наибольшую выгоду из этого подхода, потому что данные, которые они собирают и хранят, очень конфиденциальны и могут стоить очень дорого.

МИТЧ: Технологии защиты ИТ-активов и данных продолжают развиваться и совершенствоваться, но пользователи по-прежнему кажутся слабым звеном, когда речь идет о защите вашего бизнеса. Могут ли алгоритмы помочь снизить риск того, что пользователи станут основным вектором взлома?

ИСАК: Конечно. Алгоритмы могут помочь сформировать поведение пользователя так же, как и обычные дискреционные правила. Например, они могут предупредить пользователя о том, что было зафиксировано копирование слишком большого количества файлов за день, когда был достигнут определенный порог. Представьте себе пользователя, который получает это сообщение, он замирает на своем месте и переосмысливает свои намерения.

МИТЧ: Есть ли какие-нибудь хорошие ресурсы, на которые вы могли бы указать читателям, где они могут узнать больше о том, как они могут использовать алгоритмы для защиты своей корпоративной инфраструктуры, активов и данных?

ISAAC: Из-за растущей осведомленности в связи с недавними утечками данных появляется больше идейных лидеров и ресурсов для обучения лиц, принимающих решения, прогрессивности защиты данных на основе алгоритмов. Множество ресурсов, перечисленных здесь, включают блоги, учреждения и книги. Вот некоторые из моих любимых: CERT Insider Center и SANS Security Awareness Center. Чуть ближе к дому я также настоятельно рекомендую наш собственный блог экспертных ресурсов IT Security Central, который предоставляет комментарии к последним новостям, а также информативный, нерекламный контент по пользовательской аналитике, инсайдерским угрозам и мониторингу.

МИТЧ: Исаак, большое спасибо за то, что уделили нашим читателям немного своего драгоценного времени!

ИСАК: Спасибо!

Для получения дополнительной информации вы можете связаться с Исааком напрямую по адресу [email protected] или подписаться на его Twitter.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023