Kilka dni temu pisaliśmy o analizie behawioralnej i jej roli w wykrywaniu cyberzagrożeń.
LINK:
Analiza behawioralna w systemach cyberbezpieczeństwa – omówienie – Grupa E
Naturalnie, ten temat prowadzi do kolejnej technologii, która coraz częściej pojawia się w kontekście cyberbezpieczeństwa – uczenia maszynowego (machine learning – ML). W nowoczesnych systemach cyberbezpieczeństwa coraz częściej ML stoi za inteligentnym przewidywaniem ataków i automatyzacją reakcji na incydenty.
Dzisiaj weźmiemy na warsztat, jak uczenie maszynowe jest wykorzystywane w praktyce.
Jak ML wspiera systemy cyberbezpieczeństwa?
Uczenie maszynowe to w dużym uproszczeniu sposób, w jaki systemy mogą „uczyć się” na podstawie wcześniej obrobionych danych i wyciągać z nich „własne” wnioski. W cyberbezpieczeństwie oznaczać może to np. analizowanie wzorców ruchu sieciowego lub identyfikację podejrzanego zachowania użytkowników, bez konieczności polegania na znanych klasycznych sygnaturach.
W praktyce ML pomaga w trzech głównych obszarach:
1. Wykrywanie zagrożeń na podstawie ustalonych wzorców
Klasyczne systemy cyberbezpieczeństwa, opierają się na znanych sygnaturach ataków. Teoretycznie nie jest problemem coś, co posiada z góry ustalony schemat działania, jednakże nowoczesne zagrożenia, które jeszcze nie trafiły do bazy danych, potrafią sprawnie przejść przez te mechanizmy. Natomiast uczenie maszynowe potrafi analizować wzorce zachowań i wykrywać anomalie niezależnie od tego, czy dane zagrożenie posiada swoją sygnaturę.
2. Przewidywanie potencjalnych incydentów
Jako technologia z dziedziny AI, dzięki analizie danych system oparty na ML potrafi wykrywać zależności między poszczególnymi zdarzeniami. Przykładowo, jeśli dana organizacja często staje się celem phishingu, algorytm ML może przewidzieć kolejną falę ataków na podstawie charakterystyki wcześniejszych prób.
3. Automatyzacja reakcji na incydenty
W połączeniu z systemami SOAR uczenie maszynowe może wykrywać zagrożenia oraz sugerować (albo nawet wykonywać) konkretne działania – np. blokować podejrzane adresu IP lub izolować zagrożone urządzenia w sieci.
ML w akcji – przykłady:
1. Analiza ruchu sieciowego nie tylko na podstawie sygnatur
ML może identyfikować anomalie ruchu sieciowego, jeśli np. serwer, który zawsze wysyłał dane do wewnętrznych zasobów firmy, nagle zaczyna komunikować się z podejrzanym adresem IP w całkowicie innym kraju, to system może to wykryć i podjąć odpowiednie kroki.
2. Szczegółowa detekcja phishingu
ML może analizować treść wiadomości e-mail, strukturę domeny, a nawet i styl językowy w celu identyfikacji próby phishingu. Co ważne – modele te stale potrafią dostosowywać się do nowych metod stosowanych przez atakujących, co daję przewagę nad klasycznym antyspamem.
Jak wygląda proces „uczenia” ML w systemie cyberbezpieczeństwa?
Przedstawia się on następująco:
1. Zbieranie danych
System ML potrzebuje ogromnych ilości danych – w szczególności logów, wzorców zachowań użytkowników albo próbek malware. Bez tego model nie ma swoich materiałów dydaktycznych.
2. Klasyfikacja
Surowe dane nie są zbytnio dla niego użyteczne, dopóki nie zostaną odpowiednio sklasyfikowane. Na tym etapie system uczy się rozróżniać, które zachowania są normalne, a które powinny wzbudzać w nim podejrzenia.
3. Trening modelu
To etap, w którym system ML zaczyna „rozumieć” dane. System wykorzystuje różne techniki, aby zaczynać wykrywać wzorce.
4. Optymalizacja
System musi być regularnie testowany i aktualizowany, gdyż cyberzagrożenia stale zmieniają swoje wzorce, dlatego systemy oparte na ML muszą stale się do nich adaptować.
Jak ML zmienia rolę admina w cyberbezpieczeństwie?
Systemy korzystające z algorytmów uczenia maszynowego bardzo wspomagają pracę administratorów, dawno temu admin musiał ręcznie przeglądać logi i analizować ruch sieciowy, żeby znaleźć coś podejrzanego. Dzisiaj systemy typu SIEM, SOAR, XDR czy NDR, które wspomagane są przez technologie uczenia maszynowego robią to automatycznie, pozwalając ludziom skupić się na innych zadaniach.
Co zyskuje admin dzięki ML?
Oczywistym jest jednak, że żadne systemy nie zastąpią ekspertów od cyberbezpieczeństwa – są one tylko kolejnym narzędziem w arsenale, które może uczynić ich pracę bardziej efektywną.
Doświadczenie Grupy E
Specjaliści, którzy nadzorują cyberbezpieczeństwo naszych klientów w ramach świadczenia usługi Security Operations Center (SOC), spotykają się na co dzień z systemami, które wykorzystują tego typu mechanizmy, świetnie radząc sobie z zapobieganiem.
Jesteśmy w stanie zabezpieczyć Państwa firmę, optymalizując koszty, działania procesów biznesowych oraz minimalizując ryzyko wystąpienia incydentu.
Umów się z nami na bezpłatną konsultację!
Wróć