ŠTO VAŠI SIGURNOSNI ZNANSTVENICI MOGU NAUČITI OD VAŠIH ZNANSTVENIKA DA POBOLJŠAJU SIGURNOST U CYBERSECU - TECHCRUNCH - PRIOPĆENJA ZA TISAK - 2019

Anonim

Michael Schiebel Suradnik

Michael Schiebel je GM za industriju kibernetske sigurnosti u Hortonworksu.

Sigurnost ostaje jedan od najvažnijih neriješenih izazova za tvrtke. Milijarde dolara potrošeno je na sigurnosnu tehnologiju tijekom posljednjih 30 godina, ali hakeri su izgledali uspješniji nego ikad. Svaka organizacija sada je pod krajnjom prijetnjom, cijelo vrijeme.

Danas je sjeckanje mnogo složenija umjetnost nego što je nekad bila: ona više ne uključuje samo skeniranje i prodiranje mreže preko ranjivosti. Ipak, tradicionalni sigurnosni alati koje koriste većina tvrtki često su neadekvatni jer se još uvijek usredotočuju na to, ignorirajući ono što je sada vrlo složen post-kompromisni lanac događaja.

Većina alata još uvijek je zasnovana na ulogama, s potpisima, pravilima otkrivanja i odgovora. To je njihov propast. Moderni kompleksni lanci napada imaju mnogo više faza, od izviđanja do eksploatacije, povećanja povlastica, unutarnjeg horizontalnog širenja, exfiltracije podataka i trajnosti pristupa tijekom vremena.

Budući da je većina inovacija u velikim podacima i sigurnost sada u svijetu otvorenog izvora, ovdje su neke lekcije koje su znanstvenici saznali i koje sigurnosne stručnjake trebaju obratiti pažnju.

Usredotočite se na abnormalnosti

Podatkovna je znanost o stvaranju strukture s nestrukturiranim podacima i označavanju tako da usporedite normalne i abnormalne uzorke pomoću algoritama stroja ili dubokog učenja. Bez obzira radi li se o oglašavanju na kliku, analizu osjećaja kupaca, algoritme prepoznavanja lica, predviđanje pandemijskog virusa ili modeliranje širenja zlonamjernog softvera putem mreže, to je ista osnovna znanost o podacima. Koje promjene je vrsta uzorka koju prepoznajete.

Previše sigurnosnih alata izgrađen je u epruveti.

Uzmi analizu osjećaja kupaca, na primjer, gdje tražimo "normalno" kupovno ponašanje naših kupaca. Kako oni stupaju u interakciju s nama? Što je normalno? To je sve o ignoriranju abnormalnosti i rubnih slučajeva i sposobnosti klasificiranja vrsta normalnog ponašanja.

Sada, što ako želim razumjeti prijevare s kreditnim karticama za isti skup kupaca? Htio bih se usredotočiti na abnormalnosti. To su isti podaci, iste tehnike i isti analitički modeli, ali biste se odlučili usredotočiti na izuzetnike u odnosu na normalan. Dakle, ključno je da sigurnosni dobavljač i stručnjak za sigurnost koriste iste podatke i bitno isti algoritam, samo s alternativnim fokusom.

Koristite sve podatke

To je temeljna stvar koju ćete naučiti kao znanstvenik koji možda neće biti očigledan za sigurnosne stručnjake. Za sigurnosno rješenje koje otkriva sve promjene u ponašanju, algoritme učenja stroja morate izvoditi prema neobrađenoj aktivnosti, a ne samo pred-filtriranom streamu događaja.

Ne možete izraditi analitičke modele i profil ponašanja kako biste razlikovali abnormalna ponašanja ako na prvom mjestu niste u mogućnosti otkriti sirovo ponašanje. Ako planirate izvršiti sigurnosnu analizu od upozorenja generiranih u tradicionalnom sigurnosnom proizvodu, na krivom je putu. Previše sigurnosnih alata izgrađen je u epruveti. Kao takav, važno je proučiti kako rješenja za analizu sigurnosti prikupljaju podatke, što prikupljaju i daju li pravi sirovi nefiltrirani feed aktivnosti - i to u mirovanju i pokretu.

Automatizirati, automatizirati i automatizirati

Pravi problem u većini organizacija je da previše podataka o sigurnosnim upozorenjima dolazi prebrzo. Timovi za reagiranje na incidente su premali i previše osvaja kako bi učinkovito pratili, procijenili i rješavali sigurnosne incidente.

Razgovarao sam s tvrtkama koje proizvode stotine tisuća upozorenja u sekundi. No, recimo, hipotetski, velika tvrtka generira samo 100.000 upozorenja dnevno. Četveročlani tim za odgovore na incident u prosjeku 30 minuta po slučaju bi mogao samo tri puta rasporediti upozorenja po danu po osobi - ili 64 slučaja po skupini dnevno. Velika većina upozorenja ostat će neprecizirana, objašnjavajući zašto kompromisi mogu trajati prosječno 145 dana prije nego što netko obavijesti. Za sve namjere i svrhe mnoge organizacije ne gledaju.

Kako sigurnosni timovi mogu obraditi veći postotak obavijesti dnevno? Ili prioritete potencijalno najozbiljnijih? Odgovor je agresivno automatiziranje otkrivanja i odgovora na upozorenja, što smanjuje 30-minutni proces po događaju do dva.

Usredotočujući se na abnormalnosti, koristeći sve raspoložive podatke i integrirati i automatizirati gdje god je to moguće, timovi i organizacije odgovornih za incidente bit će bolje u mogućnosti rješavati moderne složene lance napada.