Vídeo: Como apresentar um CACHORRO e um GATO - 5 etapas de ADAPTAÇÃO (Outubro 2024)
A segurança de TI é um buraco perigoso e caro. Vastas quantias de dinheiro são gastas protegendo dados e redes da empresa. Hordas de bandidos são motivados a invadir, e as consequências do fracasso são mais dolorosas do que o custo da proteção.
Pior, as formas atuais pelas quais os Diretores de Segurança (OSC) lidam com segurança são intrusivas. Embora as principais ferramentas de segurança, como a proteção gerenciada de terminais, sempre sejam necessárias, todos nós lamentamos a dificuldade de gerenciar senhas, discutimos sobre os direitos de acesso ao software de que precisamos e reclamamos das barreiras entre nós e o trabalho que precisamos fazer.. Se os procedimentos de segurança funcionassem 100% do tempo, talvez estivéssemos bem com isso - mas ei, você já reparou quantas violações ainda são relatadas? Eu também. Veja como o número de violações de dados por ano explodiu neste gráfico abaixo (pelo blog de análise e visualização de dados Sparkling Data). O gráfico mostra violações de dados desde 2009, divididas por tipo de setor e quantos milhões de registros foram comprometidos:
Fonte: 24 de julho de 2016 ; Análise de dados de violação HIPAA ; Dados Espumantes
Mas há boas notícias também. As mesmas tecnologias de aprendizado de máquina (ML) e algoritmos analíticos preditivos que oferecem recomendações úteis de livros e capacitam sua mais avançada inteligência de negócios de autoatendimento (BI) e visualização de dados ferramentas estão sendo incorporadas às ferramentas de segurança de TI. Especialistas relatam que você provavelmente não gastará menos dinheiro com a segurança de TI da sua empresa por causa disso, mas pelo menos sua equipe trabalhará com mais eficiência e terá mais chances de encontrar hackers e malware antes que os danos sejam causados.
A combinação de segurança de ML e TI certamente pode ser rotulada como "tecnologia emergente", mas o que o torna legal é que não estamos falando de apenas uma tecnologia. O ML é composto por vários tipos de tecnologia, cada um aplicado de várias maneiras. E, como muitos fornecedores estão trabalhando nessa área, podemos assistir a uma nova categoria de tecnologia competir, evoluir e, esperamos, proporcionar benefícios a todos nós.
Então, o que é aprendizado de máquina?
O ML permite que um computador ensine a si mesmo algo sem ter que ser explicitamente programado. Isso é feito acessando grandes conjuntos de dados - geralmente grandes.
"Com o aprendizado de máquina, podemos dar a um computador 10.000 fotos de gatos e dizer: 'É assim que um gato se parece.' E então você pode dar ao computador 10.000 fotos não identificadas e pedir para descobrir quais são os gatos ", explica Adam Porter-Price, associado sênior da Booz Allen. O modelo é aprimorado à medida que você fornece feedback ao sistema, se sua suposição está correta ou incorreta. Com o tempo, o sistema fica mais preciso ao determinar se a foto inclui um gato (como, é claro, todas as fotos devem).
Esta não é uma tecnologia totalmente nova, embora os recentes avanços em computadores mais rápidos, melhores algoritmos e ferramentas de Big Data certamente tenham melhorado as coisas. "O aprendizado de máquina (especialmente aplicado à modelagem de comportamentos humanos) existe há muito tempo", disse Idan Tendler, CEO da Fortscale. "É um componente central dos aspectos quantitativos de muitas disciplinas, variando de preços de passagens aéreas a pesquisas políticas e marketing de fast food já nos anos 1960".
Os usos modernos mais evidentes e reconhecíveis estão nos esforços de marketing. Quando você compra um livro na Amazon, por exemplo, seus mecanismos de recomendação exploram as vendas anteriores e sugerem livros adicionais que você provavelmente apreciará (por exemplo, pessoas que gostaram do Yendi de Steven Brust também podem gostar dos romances de Jim Butcher), o que se traduz em mais vendas de livros. Isso é aplicado ML ali mesmo. Outro exemplo pode ser uma empresa que usa seus dados de gerenciamento de relacionamento com clientes (CRM) para analisar a rotatividade de clientes, ou uma companhia aérea que usa ML para analisar quantos pontos de recompensa incentivam os passageiros frequentes a aceitar uma oferta específica.
Quanto mais dados um sistema de computador coleta e analisa, melhores são as informações (e a identificação com foto do gato). Além disso, com o advento do Big Data, os sistemas ML podem agrupar informações de várias fontes. Um varejista on-line pode olhar além de seus próprios conjuntos de dados para incluir a análise dos dados e informações do navegador da Web dos clientes dos sites parceiros, por exemplo.
O ML pega dados que os humanos entendem demais (como milhões de linhas de arquivos de log de rede ou um grande número de transações de comércio eletrônico) e os transforma em algo mais fácil de entender, disse Balázs Scheidler, CTO do fornecedor de ferramentas de segurança de TI Balabit.
"Os sistemas de aprendizado de máquina reconhecem padrões e destacam as anomolias, que ajudam os humanos a entender uma situação e, quando apropriado, tomar medidas", disse Scheidler. "E o aprendizado de máquina faz essa análise de maneira automatizada; você não pode aprender as mesmas coisas simplesmente observando apenas os logs de transações".
Onde o ML corrige as fraquezas da segurança
Felizmente, os mesmos princípios de ML que podem ajudá-lo a decidir sobre a compra de um novo livro podem tornar a rede da sua empresa mais segura. De fato, disse Tendler, da Fortscale, os fornecedores de TI estão um pouco atrasados para a festa da ML. Os departamentos de marketing puderam ver benefícios financeiros na adoção antecipada de ML, principalmente porque o custo de estar errado era mínimo. Recomendar o livro errado não derrubará a rede de ninguém. Os especialistas em segurança precisavam de mais certeza sobre a tecnologia e parece que finalmente a têm.
Francamente, está na hora. Porque as formas atuais de lidar com a segurança são invasivas e reativas. Pior: o grande volume de novas ferramentas de segurança e ferramentas de coleta de dados díspares resultou em muita entrada, mesmo para os observadores.
"A maioria das empresas é inundada com milhares de alertas por dia, em grande parte dominados por falsos positivos", disse David Thompson, diretor sênior de gerenciamento de produtos da empresa de segurança de TI LightCyber. "Mesmo que o alerta seja visto, provavelmente seria visto como um evento singular e não entendido como parte de um ataque maior e orquestrado".
Thompson cita um relatório do Gartner que afirma que a maioria dos atacantes passa despercebida por uma média de cinco meses . Esses falsos positivos também podem resultar em usuários irritados, apontou Ting-Fang Yen, um cientista da DataVisor, sempre que os funcionários são bloqueados ou sinalizados com erro, sem mencionar o tempo gasto pela equipe de TI para resolver os problemas.
Portanto, o primeiro passo na segurança de TI usando ML é analisar a atividade da rede. Os algoritmos avaliam os padrões de atividade, comparando-os com o comportamento passado, e determinam se a atividade atual representa uma ameaça. Para ajudar, fornecedores como o Core Security avaliam dados de rede, como o comportamento de pesquisa de DNS dos usuários e protocolos de comunicação nas solicitações
Algumas análises acontecem em tempo real e outras soluções de ML examinam os registros de transações e outros arquivos de log. Por exemplo, o produto da Fortscale identifica ameaças internas, incluindo ameaças que envolvem credenciais roubadas. "Nós nos concentramos em logs de acesso e autenticação, mas eles podem vir de praticamente qualquer lugar: Active Directory, Salesforce, Kerberos, seus próprios 'aplicativos de joias da coroa'" ", disse Tendler, da Fortscale. "Quanto mais variedade, melhor." Onde o ML faz uma diferença fundamental aqui é que ele pode transformar os humildes e frequentemente ignorados registros de limpeza de uma organização em fontes valiosas, altamente eficazes e baratas de inteligência de ameaças.
E essas estratégias estão fazendo a diferença. Um banco italiano com menos de 100.000 usuários sofreu uma ameaça interna envolvendo a exfiltração em larga escala de dados confidenciais para um grupo de computadores não identificados. Especificamente, credenciais de usuário legítimas foram usadas para enviar grandes volumes de dados para fora da organização via Facebook. O banco implantou o Darktrace Enterprise Immune System, desenvolvido por ML, que detectou um comportamento anômalo em três minutos quando um servidor da empresa se conectou ao Facebook - uma atividade incomum, disse Dave Palmer, diretor de tecnologia da Darktrace.
O sistema emitiu imediatamente um alerta de ameaça, que permitiu à equipe de segurança do banco responder. Eventualmente, uma investigação levou um administrador de sistemas que baixou inadvertidamente malware que prendeu o servidor do banco em uma botnet de mineração de bitcoin - um grupo de máquinas controladas por hackers. Em menos de três minutos, a empresa fez triagem, investigou em tempo real e iniciou sua resposta - sem perda de dados corporativos ou danos aos serviços operacionais dos clientes, disse Palmer.
Monitorando usuários, sem controle de acesso ou dispositivos
Mas os sistemas de computadores podem investigar qualquer tipo de pegada digital. E é aí que muita atenção dos fornecedores está se direcionando atualmente: para criar linhas de base do comportamento "conhecido" pelos usuários de uma organização chamado User Behavior Analytics (UBA). O controle de acesso e o monitoramento de dispositivos vão apenas até agora. É muito melhor, dizem vários especialistas e fornecedores, tornar os usuários o foco central da segurança, que é a essência do UBA.
"O UBA é uma maneira de observar o que as pessoas estão fazendo e perceber se estão fazendo algo fora do comum", disse Scheidler, da Balabit. O produto (neste caso, Blindspotter e Shell Control Box da Balabit) cria um banco de dados digital do comportamento típico de cada usuário, um processo que leva cerca de três meses. Posteriormente, o software reconhece anomalias a partir dessa linha de base. O sistema ML cria uma pontuação de como "off" uma conta de usuário está se comportando, juntamente com a criticidade do problema. Os alertas são gerados sempre que a pontuação excede um limite.
"O Analytics tenta decidir se você é você mesmo", disse Scheidler. Por exemplo, um analista de banco de dados usa regularmente certas ferramentas. Portanto, se ela fizer login de um local incomum em um momento incomum e acessar aplicativos incomuns para ela, o sistema concluirá que sua conta pode estar comprometida.
As características da UBA rastreadas pela Balabit incluem os hábitos históricos do usuário (hora de login, aplicativos e comandos usados com frequência), posses (resolução da tela, uso do trackpad, versão do sistema operacional), contexto (ISP, dados GPS, localização, contadores de tráfego de rede) e herança (algo que você é). Na última categoria, estão a análise de movimento do mouse e a dinâmica das teclas, por meio das quais o sistema mapeia com que força e rapidez os dedos de um usuário batem no teclado.
Embora fascinante em termos de nerd, Scheidler adverte que as medidas do mouse e do teclado ainda não são à prova de falhas. Por exemplo, ele disse, identificar as teclas digitadas por alguém é cerca de 90% confiável, de modo que as ferramentas da empresa não dependem muito de uma anomalia nessa área. Além disso, o comportamento do usuário é um pouco diferente o tempo todo; se você tem um dia estressante ou dor na mão, os movimentos do mouse são diferentes.
"Como trabalhamos com muitos aspectos do comportamento dos usuários e o valor agregado é o único a ser comparado ao perfil da linha de base, ele possui uma confiabilidade muito alta que converge para 100%", afirmou Scheidler.
A Balabit certamente não é o único fornecedor cujos produtos usam o UBA para identificar eventos de segurança. A ciber razão, por exemplo, usa uma metodologia semelhante para identificar comportamentos que fazem os humanos atentos dizerem: "Hum, isso é engraçado".
Explica o CTO da Cybereason, Yonatan Streim Amit: "Quando nossa plataforma vê uma anomalia - James trabalhando até tarde -, podemos correlacioná-la com outros comportamentos conhecidos e dados relevantes. Ele está usando os mesmos aplicativos e padrões de acesso? Ele está enviando dados para alguém que nunca comunica? com ou todas as comunicações estão indo para o gerente dele, que está respondendo de volta? " A Cybereason analisa a anomalia de James trabalhando anormalmente tarde com uma longa lista de outros dados observados para fornecer um contexto para determinar se um alerta é um falso positivo ou uma preocupação legítima.
O trabalho da TI é encontrar respostas, mas com certeza ajuda a ter um software que possa levantar as perguntas certas. Por exemplo, dois usuários em uma organização de saúde estavam acessando registros de pacientes falecidos. "Por que alguém estaria olhando pacientes que faleceram dois ou três anos atrás, a menos que você queira fazer algum tipo de identidade ou fraude médica?" pergunta Amit Kulkarni, CEO da Cognetyx. Ao identificar esse risco à segurança, o sistema Cognetyx identificou o acesso inadequado com base nas atividades normais desse departamento e comparou o comportamento dos dois usuários com o dos padrões de acesso dos colegas e com o próprio comportamento normal.
"Por definição, os sistemas de aprendizado de máquina são iterativos e automatizados", disse Tendler, da Fortscale. "Eles procuram 'combinar' novos dados com o que viram antes, mas não 'desqualificam' nada de imediato ou automaticamente 'jogam fora' resultados inesperados ou fora dos limites".
Portanto, os algoritmos da Fortscale procuram estruturas ocultas em um conjunto de dados, mesmo quando não sabem como é a estrutura. "Mesmo que encontremos o inesperado, ele fornece uma base para potencialmente construir um novo mapa de padrões. É isso que torna o aprendizado de máquina muito mais poderoso do que conjuntos de regras deterministas: os sistemas de aprendizado de máquina podem encontrar problemas de segurança nunca antes vistos".
O que acontece quando o sistema ML encontra uma anomalia? Geralmente, essas ferramentas transmitem alertas a um ser humano para fazer uma ligação final de alguma maneira, já que os efeitos colaterais de um falso positivo são prejudiciais à empresa e a seus clientes. "A solução de problemas e forense precisa de conhecimento humano", afirma Scheidler da Balabit. O ideal é que os alertas gerados sejam precisos e automatizados, e os painéis fornecem uma visão geral útil do status do sistema, com a capacidade de detalhar o comportamento "ei, isso é estranho".
Fonte: Balabit.com (Clique no gráfico acima para ver a vista completa.)
É apenas o começo
Não assuma que a segurança de ML e TI é uma combinação perfeita, como chocolate e manteiga de amendoim ou gatos e a Internet. Este é um trabalho em andamento, embora ganhe mais poder e utilidade, à medida que os produtos ganhem mais recursos, integração de aplicativos e melhorias tecnológicas.
No curto prazo, procure avanços na automação para que as equipes de segurança e operações possam obter novas informações de dados mais rapidamente e com menos intervenção humana. Nos próximos dois ou três anos, disse Mike Paquette, vice-presidente de produtos da Prelert, "esperamos que os avanços ocorram de duas formas: uma biblioteca expandida de casos de uso pré-configurados que identifiquem comportamentos de ataque e avanços na seleção e configuração automatizadas de recursos, reduzindo a necessidade de compromissos de consultoria ".
Os próximos passos são sistemas de autoaprendizagem que podem combater os ataques por conta própria, disse Palmer, da Darktrace. "Eles responderão a riscos emergentes de malware, hackers ou funcionários descontentes de uma maneira que entenda o contexto completo do comportamento normal de dispositivos individuais e os processos gerais de negócios, em vez de tomar decisões binárias individuais, como as defesas tradicionais. Isso será crucial. a responder a ataques mais rápidos, como ataques baseados em extorsão, que se transformarão em um ativo valioso (não apenas em sistemas de arquivos) e serão projetados para reagir mais rapidamente do que é possível pelos seres humanos ".
Esta é uma área emocionante, com muitas promessas. A combinação de ML e ferramentas de segurança avançadas não apenas fornece aos profissionais de TI novas ferramentas para serem usadas, mas, mais importante, fornece ferramentas que permitem que eles realizem seus trabalhos com mais precisão, mas ainda mais rápido do que nunca. Embora não seja uma bala de prata, é um avanço significativo em um cenário em que os bandidos têm todas as vantagens há muito tempo.
