Strojové učení: Nová naděje proti kybernetickým útokům

9. 7. 2017

Sdílet

 Autor: © Andrea Danti - Fotolia.com
Technologie, která má potenciál zásadně změnit styl hry, by mohla přenést ochranu podnikových sítí na zcela novou úroveň.

Zneklidňující počet úspěšných krádeží dat během posledních několika let ukazuje, že organizace jsou zahlcené rostoucím počtem hrozeb. Objevil se však nový druh bezpečnostního řešení, který využívá pro podnikové zabezpečení strojové učení. Tyto nástroje dovolují analyzovat sítě, porozumět jim, detekovat anomálie a chránit podniky před ohrožením.

Je tedy strojové učení odpovědí na dnešní kybernetické výzvy? Oboroví analytici a firmy nabízející tyto produkty prohlašují, že zaznamenávají zvýšenou poptávku a že první reakce od uživatelů je pozitivní.

„Strojové učení je významným bezpečnostním trendem letošního roku,“ tvrdí Eric Ogren, hlavní bezpečnostní analytik ve společnosti 451 Research. „Každý šéf zabezpečení nyní ví, že behaviorální analytické produkty nabízejí nejlepší šanci zachytit útoky, které uniknou statické preventivní obraně.“

Dodává, že strojové učení je srdcem těchto behaviorálních přístupů. „Není to něco jako pozorování a poslouchání,“ dodává Ogren.

„Strojové učení podle něj zaznamenává chování při definování statistického profilu normální aktivity pro uživatele, zařízení nebo web. To je důležité, protože to poskytuje základ pro analýzu chování, aby bylo možné zabránit velkým škodám způsobeným útokem, který by unikl obraně před hrozbami nebo zneužil povolenou činnost.“

Dlouhodobý přínos strojového učení spočívá v tom, že směruje organizaci na cestu k pravděpodobnostnímu a prediktivnímu bezpečnostnímu přístupu, který se snadno integruje s obecně uznávanými postupy IT.

„Je vidět, že se to již vyplácí ve velkých cloudových a mediálních podnicích, kde se bezpečnost posuzuje méně ve smyslu prostého rozlišení dobrého či špatného a více ve smyslu snížení rizika narušení hlavní podnikatelské činnosti s bezprostředním vlivem na celkový zisk,“ vysvětluje Ogren.

 

Potenciální problémy

Stejně jako u všech novějších technologií přináší i strojové učení případné těžkosti. „Může být náročné rozlišit kvalitu algoritmů strojového učení od různých dodavatelů,“ vysvětluje Ogren.

Kvalita se podle něj projeví ve výsledcích. On sám doporučuje využít projekty ověření konceptu na několika oddělených případech nasazení pro uživatele, zařízení a weby, aby se zjistila efektivita produktu.

Přestože strojové učení může vést k obrovskému zlepšení zabezpečení, „není to alfa a omega“, poznamenává David Monahan, ředitel výzkumu zabezpečení a řízení rizik ve výzkumné společnosti Enterprise Management Associates. „Má svá omezení a nejlepší způsob využití. Je to skvělý nástroj pro významnou oblast zabezpečení k identifikaci toho, co je mimořádné a mělo by se prověřit a přezkoumat.“

Existují dva hlavní typy strojového učení používané v oblasti zabezpečení: s dohledem a bez dohledu. „Fungují lépe pro rozdílné účely, ale oba v podstatě nacházejí anomálie v daných sadách dat,“ popisuje Monahan. „Proto může být výsledek dobrý jen tak, jak jsou kvalitní  poskytnutá data. Strojové učení je tedy přídavná technologie, nikoli základní.“

 

Hlavní výhody

Základní výhodou této technologie je její schopnost rychle rozpoznat trendy, vzory a anomálie v rozsáhlých a různorodých souborech dat, vysvětluje Monahan.

„Je to mnohem rychlejší než u většiny, ne-li u všech nástrojů big dat, protože to funguje v reálném čase nebo téměř v reálném čase měřeném ve vteřinách až minutách a není nutné čekat na dávkové zpracování,“ tvrdí Monahan.

Potřeba strojového učení je vyvolávaná dvěma fakty, vysvětluje Kristine Lovejoyová, prezidentka a výkonná ředitelka společnosti BluVector, která nabízí bezpečnostní technologii využívající strojové učení.

Jedním je, že zjištění kompromitace trvá dlouhou dobu, a druhým, že v mnoha, ne-li ve všech případech se firmy dozvědí o svém napadení od někoho jiného.

„Organizace potřebují funkce, které jim umožní udržet krok s hrozbami, zjistit je a zlikvidovat dříve, než dojde k nějakým škodám,“ připomíná Lovejoyová.

Firmy „si uvědomily, že nedokážou předvídat každý možný vektor útoku a že si nemohou dovolit ručně vytvářet pravidla pro detekci vektorů, které očekávají“, uvádí Mike Paquette, produktový viceprezident společnosti Prelert, která je dalším dodavatelem bezpečnostních nástrojů využívajících strojové učení.

„Hledají takový způsob automatizace analýz svých dat z protokolů souvisejících se zabezpečením, aby nepřetržitě docházelo k detekci elementárního útočného chování,“ prohlašuje Paquette.

Zde je malá ukázka dostupných bezpečnostních nástrojů, které využívají strojové učení:

  • Společnost Acuity Solutions nabízí BluVector, produkt pro detekci malwaru a kybernetických útoků, který využívá strojové učení jako mechanismus identifikace a stanovení důležitosti potenciálních hrozeb. Po identifikaci hrozeb dochází k vytvoření forenzních balíčků pro specialisty na odchycení a reakci, kteří hrozby prozkoumají a ošetří.
  • DgSecure Monitor od společnosti Dataguise je produkt pro detekci narušení, který využívá strojové učení a behaviorální analytiku k varování v situacích, kdy se aktivity uživatele odchýlí od typického profilu chování. Produkt usnadňuje vytváření řídicích zásad zabezpečení dat pomocí této funkce v kombinaci se zásadami definovanými pro uživatele, a to nehledě na případnou chráněnost citlivých dat.
  • Společnost Deep Instinct nabízí produkt Deep Learning, který je inspirován schopností mozku učit se identifikovat objekt a změnit tuto identifikaci v okamžitou přirozenost. Při aplikaci hlubokého učení pro kybernetickou bezpečnost rozděluje produkt Deep Instinct tento proces dvou fází: učení a predikce. Výsledkem je pak instinktivní kybernetická ochrana i před nejméně určitelnými kybernetickými útoky z jakéhokoliv zdroje.
  • Společnost Distil Networks nabízí technologii, která chrání webové aplikace před škodlivými boty, před zneužitím rozhraní API a před podvody. Každý zákazník společnosti Distil podle jejích slov těží z globální infrastruktury strojového učení, která v reálném čase analyzuje útočné vzory. Distil například aktivně předpovídá boty na základě korelace více než 100 dynamických klasifikací a upozorňuje na anomálie v chování specifickém pro vzory unikátního webového provozu.
  • Společnost Prelert nabízí tři produkty pokročilé detekce hrozeb, které využívají strojové učení pro oblast bezpečnosti. Všechny tři jsou postavené na stroji behaviorální analytiky firmy Prelert, který využívá nedohlíženou technologii strojového učení k vytváření etalonů normálního chování v datech protokolů a identifikuje anomálie a neobvyklé vzory v datech souvisejících s kybernetickými útoky.

 

Příklady využití

Způsobů, jak lze tuto technologii strojového učení v bezpečnostní praxi využít, je určitě nespočet. Přinášíme příklady firem, které...

 

bitcoin školení listopad 24

Tento příspěvek vyšel v Security Worldu 3/2016. Oproti této variantě je obsáhlejší a obsahuje řadu dalších rad, které můžete využít u sebe ve firmě.

Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.