Eksperci ds. cyberbezpiecze?stwa zrobi? wszystko, co w ich mocy, aby zapobiec skutecznemu w?amaniu, ale wiedz? te?, ?e ograniczanie dost?pu do zasobów organizacji jest zupe?nie niepraktyczne. Najwi?kszym prze?omem ostatnich lat jest wykorzystanie uczenia maszynowego do wykrywania, kiedy próba naruszenia zabezpiecze? zako?czy?a si? sukcesem. Wi?cej na temat najnowszych metod i inteligentnych systemów zdradza Christian Putz z Vectra AI.
Wykrywanie anomalii w ruchu sieciowym
Czy ruch sieciowy generowany przez z?o?liwe oprogramowanie powoduje uruchomienie alarmów w momencie jego wykrycia? Okazuje si?, ?e niekoniecznie. Jak wyja?nia Christian Putz, dzieje si? tak z kilku powodów.
– Przyj?cie normy bazowego dzia?ania zwyk?ych u?ytkowników jest wysoce problematyczne. Atakuj?cy wiedz?, jak obej?? wykrywanie anomalii. B?d? maskowa? swoje dzia?ania, aby wygl?da?y, jakby by?y cz??ci? normalnych operacji. Na przyk?ad, ataki w rodzaju command and control b?d? wygl?da?y jak próba nag?o?nienia danej kwestii (beaconing) — w sieci widoczne b?d? okresowe wzrosty ruchu. I to jest krok pierwszy. Ale krok pierwszy obejmie równie? ka?d? aplikacj? mobiln?, która kiedykolwiek istnia?a, poniewa? powiadomienia push wygl?daj? dok?adnie tak samo – mówi.
W pierwszej kolejno?ci nale?y zaj?? si? konkretnym problemem bezpiecze?stwa, który nale?y rozwi?za? – pozwala to unikn?? problemu z nadzorowanym lub nienadzorowanym wst?pnym uczeniem maszynowym.
– Je?li próbujemy sprosta? wyzwaniu zwi?zanemu z bezpiecze?stwem, musimy zrozumie? najpierw, jaki problem rozwi?zujemy. Nale?y rozpocz?? od zidentyfikowania problemu z analitykami bezpiecze?stwa. Na przyk?ad, chc? znale?? atak typu command and control w ruchu sieciowym HTTPS. Wspó?pracujemy, aby zrozumie? najlepsz? metod? rozwi?zania problemu. Czy problem dotyczy klasyfikacji? Czy jest to mo?e problem wskazania anomalii? – t?umaczy przedstawiciel Vectra AI.
Hakerzy te? maj? s?abe punkty
Hakerzy maj? jedn? zalet?. Post?puj? zgodnie z tym samym typem procedury, niezale?nie od konkretnej topologii sieci. Okazuje si?, ?e dla atakuj?cych nie ma rozró?nienia mi?dzy wewn?trzn? sieci? LAN, lokalnym centrum danych lub dowoln? liczb? zdalnych chmur — dla nich to tylko jedna sie?. Ich cele s? takie same, a zatem podej?cie w zakresie infiltracji, samopropagacji i przemieszczania si?, ataku command and control, zbierania danych po?wiadczaj?cych, eksfiltracji danych czy szyfrowania jest bardzo mocno ustandaryzowane. Poprzez nauczenie si? typowych dzia?a? atakuj?cych, odpowiednio stworzone algorytmy mog? ustali? wzorce i odpowiednio zareagowa?.
Tym bardziej, ?e praca zdalna sprawi?a, ?e zmieni?a si? powierzchnia ataku —zwi?kszone wykorzystanie us?ug w chmurze, wi?ksza liczba us?ug wymaganych do wykonania codziennej pracy i inne czynniki, takie jak rosn?ca obecno?? IIoT i IoT w Sieci TCP/IP. Rozszerzony obszar ataku jest jednym z tematów dok?adnie zbadanych przez Gartner Security Operations Hype Cycle.
Niezale?nie od tego, sk?d pochodzi atak i za pomoc? którego mechanizmu atakuj?cy zdobywaj? punkt zaczepienia, istniej? oczywi?cie wskazówki dotycz?ce obecno?ci z?o?liwych aktorów.
– Relacja mi?dzy atakuj?cym a punktem ko?cowym, który znajduje si? w ?rodku sieci, zawsze wygl?da na odwrócon? w stosunku do przypadku normalnego u?ytkownika ko?cowego i serwera po drugiej stronie. Aby atak command and control móg? zadzia?a?, relacja jest odwrócona, inicjatywa zawsze jest po stronie atakuj?cego, klient odpowiada z wewn?trz sieci – mówi Putz.
Inteligentne narz?dzia wymagaj? eksperckiej wiedzy
Narz?dzia mog? by? inteligentne, ale organizacje nie powinny zak?ada?, ?e personel ds. cyberbezpiecze?stwa mo?e by? przez to mniej wykwalifikowany. Ka?de narz?dzie cyberbezpiecze?stwa nadal wymaga wiedzy fachowej, bez niej nie da si? wyci?gn?? klarownych wniosków z bardzo dynamicznego zestawu wyników.
– Narz?dzia pomagaj? wykwalifikowanemu personelowi wykonywa? swoj? prac? bardziej efektywnie, a w krytycznej sytuacji nieuniknionego naruszenia reagowa? o wiele szybciej. Jako Vectra AI zapewniamy du?? ilo?? informacji w formie czystego sygna?u. Nie wskazujemy masy detekcji rozproszonych po ca?ej infrastrukturze. Nasze narz?dzia zaprojektowali?my tak, aby wy?apa? najbardziej krytyczne elementy sieci i wyci?gn?? je na gór? kolejki, pomagaj?c ustali? firmie priorytety, co stanowi dla niej najwi?ksze zagro?enie – wyja?nia ekspert Vectra AI.
Jego zdaniem, obecnie nowoczesne narz?dzia s? niezb?dne, poniewa? natura sieci bardzo si? zmieni?a i b?dzie nadal ewoluowa?. Definicja sieci musi si? zmieni?, poniewa? wi?kszo?? ludzi postrzega j? jako centrum danych, ale to znacznie wi?cej.
– Obecnie niezwykle wa?ne jest zapewnienie naprawd? czystego sygna?u sieciowego, przygl?damy si? równie? technologiom chmurowym. Niezale?nie od tego, czy jest to infrastruktura jako us?uga, platforma jako us?uga, oprogramowanie, czy jako centrum danych; nale?y zapewni? widoczno?? ca?ej powierzchni ataku, aby móc ?ledzi? napastników, gdy si? przemieszczaj? – podsumowuje Christian Putz.
