Technologie, které předpovědí selhání vašeho zabezpečení

28. 8. 2016

Sdílet

 Autor: © alphaspirit - Fotolia.com
V roce 2013 vrátily americké úřady 5,8 miliardy dolarů z daňových odvodů, přičemž o dva roky později se ukázalo, že šlo o podvody. I kvůli tomuto incidentu se zvyšuje snaha mít analytické systémy, které různé nepravosti, podvody či hrozby dokážou včas předpovědět.

Prediktivní analýza využívá veřejně dostupné i soukromé zdroje dat, aby se pokusila zjistit budoucí akce. Na základě analýzy toho, co se již stalo, mohou organizace zjistit, co se pravděpodobně stane, a to dříve, než cokoli zasáhne bezpečnost fyzické infrastruktury organizace, lidský kapitál nebo duševní vlastnictví.

Finanční úřad v Kentucky měl donedávna dávkový proces automatického zpracování, jenž hledal příznaky podvodu na základě určitých kritérií, které úřad udržuje v tajnosti.

I se starým systémem dokázal tento finanční úřad zastavit pokusy o daňové podvody ve výši 8 milionů až 10 milionů dolarů, ale bylo potřebné systém zlepšovat, uvádí Melody Tudorová, tamější konzultantka pro daňovou politiku. „Podvodníci jsou stále chytřejší a chytřejší.“

Tudorová se svým týmem použila software SAS Fraud Framework for Government Tax Enforcement (prostředí pro odhalování daňových podvodů) a spolu s konzultanty prozkoumala možnosti použití prediktivní analýzy pro ochranu před podvody.

Poskytli společnosti SAS data za šest let a požádali ji, aby našla něco více než jen to, co již věděli. Tudorová si nebyla jistá, zda vůbec něco najde, ale očekávala, že by výsledky mohly překonat pouhé ověření již dosažených výsledků práce jejího týmu.

Namísto toho přišel SAS s unikátním vhledem, jako je například detekce podobných podání ze stejných IP adres, což by mohl být indikátor podvodu. SAS také dokázal efektivněji analyzovat vracení malých částek, aby se zjistilo, zda nějaká osoba nepoužívá k podvodům právě tuto metodu, aby si toho nikdo nevšiml.

Tým testoval tento nástroj celý minulý rok a potom ho nechal pracovat souběžně s původním systémem v průběhu letošního daňového období. Aplikace založená na technologii SAS odhalila již z kraje roku 2015 podvody ve výši dalšího milionu dolarů a Tudorová očekává, že se toto číslo do konce roku zdvojnásobí.

Prediktivní analýza je z hlediska nákladů rozhodně odůvodněná, popisuje Tudorová. „Námi dříve používané nástroje pomáhaly, ale nedokázaly rychle identifikovat vzory a anomálie ve velkém množství vracených částek,“ uvádí Tudorová. „Nyní dokážeme lépe zpracovat obrovské množství dat a zajistit, aby nedocházelo k vyplácení neoprávněných částek.“

 

Predikce vyžaduje trpělivost

Přestože je výše zmíněný finanční úřad z prediktivní analýzy nadšený, některé jiné organizace mají s objevením jejího plného potenciálu potíže, vyplývá z průzkumu vykonaného institutem SANS. Podle průzkumu z roku 2014 používalo nástroje prediktivní analýzy a odpovídající služby jen 29 % respondentů, což znamená pokles vůči roku 2013, kdy šlo o 38 % respondentů.

„Existuje mnoho nabídek a organizace si uvědomují, že může být těžké tyto nástroje nasadit,“ vysvětluje Phil Hagen, certifikovaný instruktor institutu SANS. „Snaží se zjistit, jestli vůbec mají dostatek lidských zdrojů na vyhodnocení a integraci těchto nástrojů a služeb BI.“

 „Nemůžete nasadit řešení prediktivní analýzy dnes a dostat z ní hodnotu až zítra. Vyžaduje to vytvoření základní linie normálnosti, aby bylo možné hned vidět souvislosti a odchylky,“ dodává Hagen.

Přesto však i nejdůmyslnější software pro prediktivní analýzy vyžaduje pomoc lidského talentu. Jakmile například nástroj výše zmíněného finančního úřadu (ať už původní kontrolní seznam nebo nový nástroj SAS) získá podezření z podvodu, záležitost vrácení daně se dále předá k přezkoumání člověkem, aby to zkontroloval.

„Prediktivní analýza je jen tak dobrá, jaké do ní vložíte prozíravost a otázky, na které se jí ptáte,“ zdůrazňuje Hagen.

Je také nezbytné, aby projekty prediktivní analýzy vedli datoví vědci, a ne týmy zabezpečení. „Týmy zabezpečení jsou spotřebiteli těchto dat – nikoli tvůrci,“ upozorňuje Hagen.

Ve firmě Surescripts se směruje a zpracovává sedm miliard transakcí zdravotnických informací ročně. Tamější ředitel zabezpečení informací Paul Calatayud řídí interní tým datových vědců a považuje prediktivní analýzu za jednu z nejlepších obranných linií, které používá jeho společnost proti podvodům a únikům nebo odcizení dat.

S daty za 13 let o více než 230 milionech pacientů musí Calatayud udržet náskok před těmi, kdo chtějí ublížit. „Všechny naše smlouvy jsou závislé na naší schopnosti dosáhnout důvěry mezi systémy. Dojde-li k úniku dat z naší společnosti, jednoduše přestaneme existovat,“ popisuje Calatayud.

Surescripts používá produkt Splunk Enterprise k vykonávání nezávislých výpočtů rizik a k detekci odchylek od normy. Manažeři firmy Surescripts se starají o vnitřní i vnější hrozby včetně krádeže přihlašovacích údajů zákazníků a zneužití chyb zaměstnanců.

Produkt Splunk Enterprise je například varuje, když pediatr předepíše 70letému pacientovi léky, i když by tak činit neměl.

Splunk Enterprise také monitoruje a agreguje data z nezpracovaných zdrojů dat, jako jsou například Active Directory, firewally, software pro správu identit a přístupu, souborové a tiskové servery a cloudové aplikace, aby pochopil chování uživatelů.

Pokud například zaměstnanec začne přenášet soubory rychleji než obvykle, je aktivnější v sociálních sítích, jako je LinkedIn, a opakovaně aktualizuje svůj životopis, produkt Splunk Enterprise předpokládá, že se tento zaměstnanec chystá opustit společnost, a upozorní na to Calatayuda.

Společně totiž mohou tyto akce indikovat, že chce zaměstnanec odejít a může se pokoušet stahovat duševní vlastnictví či chráněné zdravotní údaje. Díky upozornění může Calatayud rozšířit sledování, zkontaktovat oddělení lidských zdrojů a manažera zaměstnance, nebo v případě potřeby také omezit jeho přístup k síti.

Calatayud uvádí, že klíčové je mít nacvičené a připravené krizové řízení s potřebnými odděleními (právním, personálním, s týmem pro dodržování legislativy, s oddělením pro komunikaci, s externími subjekty vynucujícími dodržování zákona a samozřejmě s IT oddělením), aby mohla v případě výskytu podezřelé aktivity nastat rychlá reakce.

Pokud u nějakého zaměstnance společnosti Surescripts dojde k překročení prahové úrovně alarmů, může dojít k plné eliminaci této osoby z prostředí firmy během pouhých čtyř hodin.

Bez rychlé reakce se může prediktivní analýza stát dluhem bezpečnostního portfolia organizace. „Nemůžete pokračovat v zavádění bezpečnostních technologií a nebýt schopni reagovat na jejich výstupy,“ vysvětluje Calatayud.

 

Vytváření vlastního řešení

Jason O'Connor, viceprezident řešení pro analýzy a mise ve zbrojařské firmě Lockheed Martin, upozorňuje, že množství datových zdrojů použitelných pro detekci hrozeb může být pro mnoho organizací zdrcující, zejména s rostoucím využitím sociálních médií.

„Protože hrozby se začínají uskutečňovat téměř v reálném čase, musí být obrana před nimi ještě rychlejší – a proto tedy musí být prediktivní,“ vysvětluje O' Connor a dodává: „Téměř ke každé významné geopolitické události, která nastala v posledních deseti letech, se na internetu objevilo obrovské množství informací.“

Před sedmi lety na tuto změnu Lockheed Martin zareagoval nasazením vlastních matematiků a datových vědců na vývoj analytického stroje, který dokáže předvídat širokou řadu událostí, jako jsou například sociální nepokoje a biologické epidemie.

„Chtěli jsme nejen vidět, co se děje takticky, ale zjistit v datech také charakteristiky a signály, které by mohly naznačit či odhadnout důsledky,“ uvádí O' Connor.

Po úspěšném interním nasazení uvedl Lockheed Martin tento analytický stroj na trh komerčně pod názvem LM Wisdom – určený je pro jeho dodavatele i další partnery. Tato společnost stále používá LM Wisdom interně pro důležité oblasti zabezpečení jako například pro analýzy dodavatelského řetězce....

 

Tento příspěvek vyšel v Computerworldu 10/2015.Oproti této on-line verzi je výrazně obsáhlejší a přináší další poznatky a tipy, které lze využít při praktické implementaci u vás ve firmě.

Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.

bitcoin_skoleni