Ihr nächster digitaler Sicherheitsbeamter sollte eher RoboCop ähneln

Dieser vom Hersteller geschriebene Tech-Primer wurde von Network World bearbeitet, um Produktwerbung zu vermeiden. Die Leser sollten jedoch beachten, dass er wahrscheinlich den Ansatz des Einreichers begünstigt.

Menschen sind eindeutig nicht in der Lage, jede Bedrohung in den heutigen riesigen und komplexen Netzwerken mithilfe traditioneller Sicherheitstools zu überwachen und zu identifizieren. Wir müssen die menschlichen Fähigkeiten verbessern, indem wir sie mit maschineller Intelligenz erweitern. Das Mischen von Mensch und Maschine - in gewisser Weise ähnlich wie bei OmniCorp mit RoboCop - kann unsere Fähigkeit verbessern, eine Bedrohung zu erkennen und zu stoppen, bevor es zu spät ist.

Die „dummen“ Tools, auf die sich Unternehmen heute verlassen, sind einfach ineffektiv. Es gibt zwei konsistente, aber immer noch überraschende Dinge, die diese Unfähigkeit ziemlich offensichtlich machen. Die erste ist die Zeit, die Hacker innerhalb eines Systems frei regieren können, bevor sie entdeckt werden: acht Monate bei Premera und P.F. Chang's, sechs Monate bei Nieman Marcus, fünf Monate bei Home Depot, und die Liste geht weiter.

Die zweite Überraschung ist die Antwort. Normalerweise schaut jeder rückwärts und versucht herauszufinden, wie die externen Akteure dazu gekommen sind. Es ist offensichtlich wichtig, das sprichwörtliche Leck zu finden und es zu verstopfen, aber dieser Ansatz behandelt nur ein Symptom, anstatt die Krankheit zu heilen.

Die Krankheit ist in diesem Fall die wachsende Zahl von Hackern, die so gut darin sind, was sie tun, dass sie in ein Netzwerk eindringen und sich frei bewegen können und auf mehr Dateien und Daten zugreifen können, als selbst die meisten internen Mitarbeiter Zugriff haben. Wenn Premera, Sony, Target und andere Monate gebraucht haben, um diese schlechten Schauspieler in ihren Netzwerken zu erkennen und die Löcher zu flicken, die sie hereinlassen, wie können sie dann sicher sein, dass eine andere Gruppe kein anderes Loch gefunden hat? Woher wissen sie, dass andere Gruppen derzeit keine Daten stehlen? Heute können sie es nicht sicher wissen.

Die typische Antwort

Bis vor kurzem hatten Unternehmen wirklich nur eine Option als Reaktion auf zunehmende Bedrohungen, eine Reaktion, die die meisten Unternehmen immer noch einsetzen. Sie härten Systeme, Firewall- und IDS / IPS-Regeln und -Schwellenwerte neu ein und setzen strengere Webproxy- und VPN-Richtlinien ein. Aber auf diese Weise ertränken sie ihre Einsatzteams in Warnungen.

Die Verschärfung der Richtlinien und die Erhöhung der Anzahl der Szenarien, die eine rote Fahne setzen, erschweren die Arbeit für Sicherheitsteams, die bereits sehr dünn sind. Dies führt jeden Tag zu Tausenden von Fehlalarmen, so dass es physikalisch unmöglich ist, jeden einzelnen zu untersuchen. Wie die jüngsten hochkarätigen Angriffe bewiesen haben, hilft die Flut von Warnungen böswilligen Aktivitäten, durch die Ritzen zu rutschen, denn selbst wenn sie „gefangen“ werden, wird nichts dagegen unternommen.

Darüber hinaus verschwendet die Einschränkung von Sicherheitsregeln und -verfahren nur die Zeit aller. Durch strengere Richtlinien wird der Zugriff auf Daten eingeschränkt, und in vielen Fällen sind diese Daten das, was Mitarbeiter benötigen, um ihre Arbeit gut zu erledigen. Mitarbeiter und Abteilungen werden nach den benötigten Tools und Informationen fragen und damit wertvolle Zeit für sie und die IT- / Sicherheitsteams verschwenden, die jede Anfrage prüfen müssen.

RoboCop auf den Koffer legen

Maschinelle Intelligenz kann verwendet werden, um massive Netzwerke zu überwachen und Lücken zu schließen, in denen die verfügbaren Ressourcen und Fähigkeiten der menschlichen Intelligenz eindeutig unzureichend sind. Es ist ein bisschen so, als würde man RoboCop auf die Straße lassen, aber in diesem Fall sind statistische Algorithmen die Hauptbewaffnung. Insbesondere können Statistiken verwendet werden, um abnormale und potenziell böswillige Aktivitäten zu identifizieren, sobald sie auftreten.

Laut Dave Shackleford, Analyst am SANS Institute und Autor der Analytics and Intelligence Survey 2014, "besteht eine der größten Herausforderungen für Sicherheitsorganisationen darin, dass sie nicht genau wissen, was in der Umgebung passiert." Bei der Umfrage unter 350 IT-Fachleuten wurde gefragt, warum sie Schwierigkeiten haben, Bedrohungen zu identifizieren, und eine Top-Antwort war ihre Unfähigkeit, „normales Verhalten“ zu verstehen und zu begründen. Es ist etwas, was Menschen in komplexen Umgebungen einfach nicht können, und da wir normales Verhalten nicht unterscheiden können, können wir kein abnormales Verhalten erkennen.

Anstatt sich darauf zu verlassen, dass Menschen Diagramme auf Großbildschirmen oder vom Menschen definierte Regeln und Schwellenwerte betrachten, um Flaggen zu setzen, können Maschinen lernen, wie normales Verhalten aussieht, sich in Echtzeit anpassen und intelligenter werden, wenn sie mehr Informationen verarbeiten. Darüber hinaus verfügen Maschinen über die Geschwindigkeit, die erforderlich ist, um die enorme Menge an Informationen zu verarbeiten, die Netzwerke erstellen, und dies nahezu in Echtzeit. Einige Netzwerke verarbeiten Terabyte an Daten pro Sekunde, während Menschen hingegen nicht mehr als 60 Bit pro Sekunde verarbeiten können.

Abgesehen von der Notwendigkeit von Geschwindigkeit und Kapazität ist ein größeres Problem bei der herkömmlichen Art der Überwachung auf Sicherheitsprobleme, dass Regeln dumm sind. Das ist nicht nur ein Namensruf, sie sind buchstäblich dumm. Menschen legen Regeln fest, die der Maschine sagen, wie sie handeln und was zu tun ist - die Geschwindigkeit und Verarbeitungskapazität sind irrelevant. Regelbasierte Überwachungssysteme können zwar sehr komplex sein, sie basieren jedoch immer noch auf einer grundlegenden Formel: „Wenn dies, dann tun Sie das“. Maschinen in die Lage zu versetzen, selbst zu denken und den Menschen, die sich auf sie verlassen, bessere Daten und Erkenntnisse zu liefern, wird die Sicherheit wirklich verbessern.

Es ist fast absurd, keine Sicherheitsebene zu haben, die für sich selbst denkt. Stellen Sie sich in der physischen Welt vor, jemand würde jeden Tag mit einer Schubkarre voller Schmutz die Grenze überqueren, und die Zollagenten, die fleißig bei ihrer Arbeit waren und die Regeln befolgten, durchsuchten diesen Schmutz Tag für Tag und fanden nie heraus, was sie dachten Auf der Suche nach. Obwohl dieselbe Person wiederholt mit einer Schubkarre voller Schmutz die Grenze überquert, denkt niemand daran, auf die Schubkarre zu schauen. Wenn sie das getan hätten, hätten sie schnell erfahren, dass er die ganze Zeit Schubkarren gestohlen hat!

Nur weil niemand den Zollagenten gesagt hat, sie sollen nach gestohlenen Schubkarren suchen, ist das nicht in Ordnung, aber im Nachhinein ist es 20/20. In der digitalen Welt müssen wir uns nicht mehr auf Rückblicke verlassen, insbesondere jetzt, wo wir die Möglichkeit haben, Maschinenintelligenz zum Einsatz zu bringen und Anomalien zu erkennen, die direkt vor unserer Nase auftreten könnten. Damit Cybersicherheit heute effektiv ist, ist mindestens ein grundlegendes Maß an Intelligenz erforderlich. Maschinen, die selbstständig lernen und anomale Aktivitäten erkennen, können den „Schubkarrendieb“ finden, der möglicherweise langsam Daten syphoniert, selbst wenn Sie nicht genau wissen, dass Sie ihn suchen.

Die Erkennung von Anomalien gehört zu den ersten Technologiekategorien, in denen maschinelles Lernen eingesetzt wird, um die Netzwerk- und Anwendungssicherheit zu verbessern. Es handelt sich um eine Form der erweiterten Sicherheitsanalyse, die häufig verwendet wird. Es gibt jedoch einige Anforderungen, die diese Art von Technologie erfüllen muss, um wirklich als „fortschrittlich“ zu gelten. Es muss einfach eingesetzt werden können, um kontinuierlich gegen eine breite Palette von Datentypen und -quellen und in großen Datenmengen zu arbeiten und High-Fidelity-Erkenntnisse zu erhalten, um die Alarmblindheit, mit der Sicherheitsteams bereits konfrontiert sind, nicht weiter zu erhöhen.

Führende Analysten sind sich einig, dass maschinelles Lernen bald ein „Muss“ sein wird, um ein Netzwerk zu schützen. In einem Gartner-Bericht vom November 2014 mit dem Titel „Hinzufügen neuer Leistungsmetriken zum Verwalten von Systemen mit maschinellem Lernen“ erklärt Analyst Will Cappelli direkt: „Die Funktionalität des maschinellen Lernens wird in den nächsten fünf Jahren allmählich allgegenwärtig und dabei allgegenwärtig , die Systemleistung und die Kostenmerkmale grundlegend ändern. “

Während maschinelles Lernen sicherlich keine Silberkugel ist, die alle Sicherheitsherausforderungen löst, wird es zweifellos bessere Informationen liefern, um Menschen dabei zu helfen, bessere Entscheidungen zu treffen. Hören wir auf, die Leute zu bitten, das Unmögliche zu tun, und lassen wir die maschinelle Intelligenz einspringen, um die Arbeit zu erledigen.

Prelert bietet Advanced Analytics für die Erkennung von Bedrohungsaktivitäten. Mit Prelert können Unternehmen Bedrohungsaktivitäten nach Verstößen schnell erkennen, untersuchen und darauf reagieren, indem sie Anomalien automatisch erkennen und maschinell lernen.

Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.