Od narušení u společnosti Target v roce 2013 je jasné, že společnosti potřebují lépe reagovat na bezpečnostní upozornění, přestože jejich počet vzrostl. S letos rychle se šířícími ransomwarovými útoky a stále zpřísňujícími se požadavky na dodržování předpisů musí být reakce mnohem rychlejší.
Navyšování počtu zaměstnanců je v krizi kybernetického zabezpečení těžké, takže se firmy obracejí ke strojovému učení a umělé inteligenci (AI), aby automatizovaly úlohy a lépe odhalily špatné chování.
V kontextu počítačové bezpečnosti je AI takový software, který vnímá své prostředí natolik dobře, aby identifikoval události a podnikl kroky proti předem stanovenému záměru. AI je obzvláště dobrá při rozpoznávání vzorů a anomálií v nich, což je vynikající nástroj k odhalování hrozeb.
Strojové učení se často používá s umělou inteligencí. Je to software, který se dokáže „učit“ sám o sobě na základě lidských vstupů a výsledků přijatých opatření. Spolu s umělou inteligencí se strojové učení může stát nástrojem pro předvídání výsledků na základě minulých událostí.
Odhalení hrozeb
Společnost Barclays Africa začíná využívat AI a strojové učení k odhalení hrozeb IT i k reakcím na ně. „K dispozici jsou mocné nástroje, ale je třeba vědět, jak je integrovat do širší strategie kybernetické bezpečnosti,“ říká Kirsten Daviesová, ředitelka zabezpečení skupiny ve společnosti Barclays.
Tato technologie se například používá k hledání příznaků kompromitace v síti firmy, a to jak v interní infrastruktuře, tak i v cloudu. „Mluvíme o obrovských množstvích dat,“ vysvětluje Daviesová.
„Vzhledem k tomu, že se scenérie globálních hrozeb poměrně rychle zhoršuje, a to jak ve schopnostech, tak i ve spolupráci na straně útočníků, skutečně musíme využít pokročilé nástroje a technologie, abychom získali před hrozbami náskok.“
AI a strojové učení jí také umožňuje nasadit vlastní personál na nejcennější úlohy vedené lidmi. „Existuje obrovský nedostatek kritických dovedností, které potřebujeme globálně,“ popisuje Daviesová. „Byli jsme si už nějaký čas vědomi, že se to blíží, ale už je to zde. Nemůžeme dál dělat věci ručně.“
Tato banka není sama. Společnost Cadence Design Systems nabízející inženýrské služby neustále monitoruje hrozby při obraně svého duševního vlastnictví.
Každý den u ní proteče mezi 250 až 500 gigabity dat souvisejících s bezpečností z více než 30 tisíc koncových bodů a 8 200 uživatelů – a přitom je k dispozici jen 15 bezpečnostních analytiků, kteří to sledují.
„To je však jen část síťových dat, která dostáváme,“ uvádí Sreeni Kancharla, ředitel zabezpečení informací této společnosti. „Ve skutečnosti jich máme víc. Potřebujete použít strojové učení a umělou inteligenci, abyste se dokázali soustředit na skutečné problémy a zmírnit je.“
Cadence využívá tyto technologie ke sledování chování uživatelů a entit a pro řízení přístupu prostřednictvím produktů společnosti Aruba Networks, která patří pod HPE.
Kancharla říká, že aspekt „učení bez učitele (unsupervised learning)“ této platformy byl obzvláště atraktivní. „Je to měnící se prostředí,“ popisuje.
„V současné době jsou útoky tak důmyslné, že mohou probíhat jako drobné případy, které se časem rozrostou do velkého úniku dat. Tyto nástroje nám skutečně pomáhají.“
Dokonce i menší společnosti se potýkají s problémem přetížení bezpečnostními daty. Daqri je společnost, která vyrábí brýle a helmy pro rozšířenou realitu pro architekturu a výrobu. Má 300 zaměstnanců a centrum provozu zabezpečení s pouhým jedním pracovníkem.
„Úkol procházet bezpečnostní události a reagovat na ně klade vysoké nároky na pracovní sílu,“ uvádí Minuk Kim, tamější ředitel pro informační technologie a zabezpečení.
Zmíněná společnost používá nástroje umělé inteligence společnosti Vectra Networks ke sledování přenosů z přibližně 1 200 zařízení v jejím prostředí. „Když se podíváte na síťový provoz, můžete zjistit, zda někdo skenuje porty, skáče z hostitele na hostitele nebo přenáší velké objemy dat nekonvenční metodou,“ vysvětluje Kim.
Firma Daqri shromažďuje všechna svá data, analyzuje je a vkládá je do modelu hlubokého učení. „Nyní můžete dělat velmi inteligentní odhady toho, jaké přenosy by mohly být potenciálně škodlivé,“ prohlašuje Kim. Musí se to ale dít rychle.
„Jde o schopnost zpřísnit detekční a reakční smyčku,“ popisuje Kim. „Zde přichází ke slovu umělá inteligence. Pokud můžete zkrátit čas na kontrolu všech těchto incidentů, dramaticky zlepšíte schopnost zjistit, co se děje ve vaší síti, a až dojde ke kritickému narušení, můžete ho rychle identifikovat, reagovat na něj a minimalizovat škody.“
Přijetí AI
AI a strojové učení významně ovlivňují, jak rychle mohou společnosti reagovat na hrozby, potvrdila Johna Till Johnsonová, výkonná ředitelka společnosti Nemertes Research. „Je to skutečný trh,“ říká. „Existuje reálná potřeba a lidé to opravdu dělají.“
Společnost Nemertes nedávno udělala globální bezpečnostní studii. Průměrná doba, za kterou podnik zaznamenal útok a zareagoval na něj, byla 39 dní, ale některé organizace to zvládly už za několik hodin.
„Rychlost měla souvislost s automatizací a tyto reakce nelze automatizovat bez umělé inteligence a strojového učení,“ popisuje Johnsonová.
Vezměme si například detekci: „Střední doba detekce je jedna hodina,“ prohlašuje Johnsonová. „Společnosti s vysokým výkonem to obvykle zvládnou za méně než deset minut a firmám s nízkou výkonností to trvá dny až týdny.“
Strojové učení a analýza podle ní tento čas dokážou zkrátit prakticky na nulu, což je důvod, proč jsou organizace s vysokým výkonem tak rychlé.
Stejně tak při analýze hrozeb je střední čas tři hodiny. Vysoce výkonné společnosti to zvládnou za několik minut, ostatním to opět trvá dny nebo týdny. Behaviorální analýza hrozeb již byla nasazena ve 21 procentech z dotazovaných společností a dalších 12 procent uvádí, že ji chtějí začít používat do konce roku 2017.
Zejména firmy zabývající se finančními službami jsou na předním místě. Protože mají velmi cenná data, mají tendenci být v oblasti kybernetického zabezpečení nejlepší a mají peníze na zaplacení nových technologií. Není to levné.
Pokud jde o širší využití umělé inteligence a strojového učení, jsou čísla využívání ještě vyšší. Podle průzkumu společnosti Vanson Bourne zveřejněného 11. října tohoto roku již 80 procent organizací používá nějakou formu umělé inteligence.
Tato technologie se již vyplatí. V oblasti inovace produktů a výzkumu a vývoje uvedlo 50 procent respondentů, že má technologie pozitivní vliv na výnosy, 46 procent uvedlo pozitivní vliv na služby zákazníkům a 42 procent zmínilo dodavatelský řetězec a provoz. Bezpečnost a rizika nebyly daleko – 40 procent podniků vidí podstatné výhody.
Tato čísla pravděpodobně porostou. Podle nedávného průzkumu společnosti Spiceworks využívá umělou inteligenci ve svých IT odděleních 30 procent organizací s více než tisícem zaměstnanců a 25 procent plánuje její přijetí v příštím roce.
Marketingová agentura Garrigan Lyman Group nasazuje umělou inteligenci a strojové učení pro řadu úkolů v oblasti kybernetické bezpečnosti včetně monitorování neobvyklých síťových a uživatelských aktivit a zjišťování nových phishingových e-mailů.
V opačném případě by nebylo možné udržet krok, vysvětluje technologický ředitel Chris Geiser. AI a strojové učení poskytují této společnosti výhodu. Přestože je jejich firma malá (jen 125 zaměstnanců), cloudové nasazení umožňuje získat nejnovější technologie, a to rychle.
„Můžeme tyto věci uvést do provozu, a získat tím hodnotu během pár týdnů,“ prohlašuje Geiser. Společnost Garrigan Lyman Group nasadila bezpečnostní nástroje využívající AI od firem Alert Logic a Barracuda a Geiser říká, že inteligence těchto produktů roste.
Umělá inteligence může pomáhat nástrojům rychle se přizpůsobit požadavkům společnosti bez významného úvodního vytrénování.
„Například se může model AI automaticky naučit, že pro některé organizace je využití nefiremní e-mailové adresy výkonným ředitelem anomální,“ vysvětluje Asaf Cidon, viceprezident pro služby zabezpečení obsahu ve společnosti Barracuda Networks.
„V jiných firmách může být pro výkonné ředitele zcela běžné používat osobní e-mail, když komunikují z mobilního zařízení, ale pro finančního ředitele by nebylo normální, kdyby posílal e-maily ze své osobní adresy.“
Další výhodou cloudového použití je, že je pro dodavatele snadnější zlepšovat své produkty na základě zpětné vazby od celé zákaznické základny.
„Kybernetické zabezpečení je hodně podobné sledování sousedství,“ prohlašuje Geiser. „Když v sousedství uvidím něco, co se mi nelíbí, může to být varování pro všechny, že to může být problém.“
V případě phishingových e-mailů a síťových útoků lze zjistit nové hrozby, když se poprvé objeví v jiných časových pásmech, takže některé společnosti získají varování s několikahodinovým předstihem.
To ale vyžaduje vysokou úroveň důvěry v dodavatele, upozorňuje Geiser. „Prověřili jsme pečlivě různými způsoby pověst a reference, abychom zjistili, zda jsme si vybrali vhodné dodavatele a jestli používají osvědčené postupy pro audit a dodržování předpisů, aby se umožnil přístup jen správným osobám,“ vysvětluje.
Jak firmy poprvé přejdou od manuálních procesů k automatizaci založené na umělé inteligenci, začnou hledat jiný druh důvěry. Kromě toho, že chtějí mít přehled o provozu dodavatele, mohou mít zájem také o vhled do rozhodovacích procesů umělé inteligence.
„Většina současné umělé inteligence je jak tajemná černá krabička, která magicky pracuje,“ uvádí Mike Armistead, výkonný ředitel a spoluzakladatel společnosti Respond Software.
Klíčovým aspektem expertních systémů je podle něj zajištění jejich transparentnosti, aby lidé mohli důvěřovat tomu, co AI dělá. Vyvolává to lepší zpětnou vazbu a vytváří to také hezký virtuální cyklus posilování a změny modelu.
„Vždy potřebujete vědět, proč došlo k rozhodnutí,“ potvrzuje Matt McKeever, ředitel zabezpečení informací ve společnosti LexisNexis Legal and Professional. „Musíme zajistit, abychom chápali způsob, jak se rozhoduje.“
Tato firma nedávno začala používat platformu GreatHorn, aby zabezpečila e-maily svých 12 tisíc zaměstnanců.
„Pokud začneme dostávat e-maily z domény, která vypadá podobně jako doména legitimní, dojde k jejímu označení stylem ‚podobná doména‘ a vznikne upozornění ‚Označili jsme ji, protože vypadá podobně jako doména, s níž normálně komunikujete, ale příznak hlavičky domény nevypadá správně‘,“ popisuje McKeever. „Vidíme, jak ke zjištění došlo, a můžeme říci: ‚Ano, to dává smysl.‘“
Jak se úroveň důvěry zvyšuje a míra přesnosti zlepšuje, LexisNexis přechází z pouhého označování podezřelých e-mailů do režimu jejich automatického umístění do karantény.
„Dosavadní výsledky byly opravdu dobré,“ tvrdí McKeever. „Máme velkou jistotu, že označujeme škodlivé e-maily, takže je začneme přesouvat do karantény a uživatel je ani neuvidí.“
Poté bude jeho tým rozšiřovat nástroj pro další firemní divize a obchodní oblasti, které používají Office 365, a bude hledat další způsoby, jak využít výhody umělé inteligence pro kybernetickou bezpečnost.
„Toto je jeden z našich prvních pokusů využít strojové učení pro zabezpečení,“ dodává McKeever.
Náskok před hrozbami
AI se zlepšuje s větším množstvím dat. Protože dodavatelé shromažďují rozsáhlé objemy dat, mohou se jejich systémy také učit označovat velmi rané náznaky nových hrozeb. Vezměte například útoky SQL injection.
Společnost Alert Logic zaznamená každé čtvrtletí přibližně půl milionu incidentů u svých čtyřech tisíců zákazníků, z nichž polovina představuje incidenty SQL injection.
„Na světě neexistuje žádná bezpečnostní společnost, která by dokázala každý případ přezkoumat lidským párem očí a rozhodnout, zda byl daný pokus SQL injection úspěšný, nebo ne,“ uvádí Misha Govshteyn, spoluzakladatel společnosti Alert Logic a hlavní viceprezident produktů a marketingu.
Díky strojovému učení tento dodavatel nejen dokáže zpracovávat události rychleji, ale také mezi nimi nacházet souvislosti podle času a geografické polohy.
„Některé útoky trvají déle než pár hodin, někdy dny, týdny a v několika případech i měsíce,“ popisuje. „Jsou nejen spouštěné dlouhou dobu, ale pocházejí také z různých částí internetu. Myslím, že jde o incidenty, kterých bychom si nevšimli v době, než jsme nasadili strojové učení.“
Dalším dodavatelem zabezpečení, který shromažďuje velké množství informací o bezpečnostních hrozbách, je společnost GreatHorn, cloudový dodavatel zabezpečení e-mailů, jež podporuje platformy Slack, Microsoft Office 365 a Google G Suite.
„Nyní máme téměř deset terabajtů analyzovaných dat o hrozbách,“ popisuje Kevin O’Brien, spoluzakladatel a výkonný ředitel této společnosti. „Začínáme tyto informace vkládat do tenzorového pole, abychom mohli začít vykreslovat vztahy mezi různými typy komunikace, různými druhy poštovních služeb a různými způsoby výměny zpráv.“
Výsledkem je, že tato společnost dokáže odhalit nové kampaně a poslat zprávy do karantény, nebo do nich vkládat varovné titulky, než jsou nezvratně identifikovány jako hrozby. „Potom je můžeme zpětně odstranit ze všech e-mailových schránek doručené pošty, kam byly doručeny,“ popisuje O’Brien.
Další využití AI
Hledání podezřelých vzorů v chování uživatelů a v síťových přenosech je v současné době pro strojovou inteligenci snadno dostupné. Dnešní systémy pro strojové učení jsou dobré při odhalování neobvyklých událostí ve velkých objemech dat a k provádění rutinních analýz a reakcí.
Dalším krokem je použití umělé inteligence k řešení složitějších problémů. Například vystavení společnosti kybernetickému riziku v reálném čase závisí na velkém počtu faktorů.
Patří mezi ně neopravené systémy, nezabezpečené porty, příchozí zacílené phishingové e-maily, množství privilegovaných účtů a slabých hesel, množství nezašifrovaných citlivých údajů a podobně.
Přesný obraz jejích rizik by mohl společnosti pomoci co nejúčinněji využít zdroje a vytvořit soubor metrik pro funkci kybernetického zabezpečení, který by nevycházel z toho, zda došlo k průniku do společnosti, či nikoli.
„Pokud byste se dnes snažili popsat své prostředí, tak se tato data buď neshromažďují správně, nebo se nepřevádějí na využitelnou informaci,“ uvádí Gaurav Banga, zakladatel a výkonný ředitel společnosti Balbix, která je start-upem speciálně zaměřeným na boj s problémem predikce rizika narušení.
Umělá inteligence je klíčem k řešení tohoto problému. „Máme 24 různých typů algoritmů AI,“ prohlašuje Banga. „Vytváříme model zdola nahoru, rizikovou teplotní mapu, která pokrývá všechny aspekty prostředí, klikací, abyste mohli získat podrobnosti a zjistit, proč je něco červené,“ tvrdí Banga.
Podle něj je to normativní, takže se dozvíte, že když uděláte některé věci, barva se změní na žlutou a nakonec na zelenou. Můžete se zeptat: „Co je nejdůležitější věc, kterou teď mohu udělat?“ nebo „Jaké je moje phishingové riziko?“ nebo „Jaké je mé riziko pro ransomware?“
V budoucnu bude umělá inteligence pomáhat společnostem určit, do jakých nových bezpečnostních technologií by měly investovat. „Většina organizací dnes neví, kolik financí vynakládat na kybernetické zabezpečení a jak je co nejsmyslněji utratit,“ vysvětluje James Stanger, hlavní technologický evangelista společnosti CompTIA.
„Myslím si, že potřebujeme umělou inteligenci, abychom mohli poskytnout metriky, díky kterým se ředitel IT může obrátit na výkonného ředitele nebo na představenstvo a říci: ‚Tady jsou peníze, které potřebujeme, a tady jsou zdroje, které potřebujeme,‘ a měl k dispozici pravdivé a užitečné metriky pro zdůvodnění těchto nákladů.“
Je zde velký prostor pro pokrok, uvádí Govshteyn ze společnosti Alert Logic. „V oblasti zabezpečení se AI zatím využívá poměrně málo. Myslím, že ve skutečnosti za dalšími obory zaostáváme. Žasnu, že máme automobily, které se samy řídí, dříve než sítě, jež by se samy chránily,“ vysvětluje Govshteyn.
Navíc současné platformy umělé inteligence ve skutečnosti nechápou svět. „Tyto technologie jsou velmi dobré například při klasifikaci dat založených na podobných datových sadách, na kterých byly vytrénovány,“ tvrdí Steve Grobman, technologický ředitel společnosti McAfee.
Umělá inteligence podle něj ve skutečnosti není inteligentní. Nerozumí totiž konceptu útoku. V důsledku toho je lidský faktor při reakci stále kritickým prvkem řešení kybernetické obrany.
„V oblasti kybernetické bezpečnosti se snažíte detekovat protivníka, který je také člověk a snaží se zmařit účinnost vašich detekčních metod,“ vysvětluje Grobman.
„To se liší od ostatních oblastí, kde se v současné době používá umělá inteligence pro rozpoznávání obrazu a řeči nebo pro předpovědi počasí. „Není to jako hurikán prohlašující: ‚Chystám se změnit zákony fyziky a způsobit, že se voda odpaří jinak, aby mě bylo těžší sledovat,‘“ vysvětluje Grobman. „V oblasti kybernetického zabezpečení se ale děje přesně to.“
V této sféře však dochází k pokroku. „Je zde výzkumná oblast nazvaná reprodukční soupeřící sítě (generative adversarial networks), kde máte dva stroje strojového učení, přičemž se jeden pokouší něco detekovat a druhý vidí, když se něco detekovalo, a snaží se tomu uniknout,“ vysvětluje Sven Krasser, hlavní vědec společnosti CrowdStrike.
„Takové věci můžete použít ke zjišťování, jakou podobu mohou nové hrozby mít,“ dodává Krasser.
Tento příspěvek vyšel v Security Worldu 4/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU