Producătorii de soluții de securitate cibernetică se confruntă cu două provocări semnificative în peisajul amenințării complexe de astăzi. În primul rând, numărul și varietatea tipurilor și familiilor de malware sunt în creștere – atât de mult încât automatizarea eforturilor de detectare și de răspuns este acum o necesitate. În al doilea rând, volumul traficului web criptat – atât legitim, cât și malware – se extinde exponențial.
Criptarea are rolul de a spori securitatea. Cu toate acestea, așa cum s-a explicat în Raportul Anual de Securitate Cibernetică al celor de la Cisco în 2018, această oferă și adversarilor un instrument puternic pentru a ascunde activitatea lor de comandă și control (C2), oferindu-le mai mult timp pentru a funcționa și a provoca daune.
Luați în considerare aceste constatări, prezentate în noul raport Cisco: În decursul unei perioade de 12 luni începând din noiembrie 2016, cercetătorii de la Cisco au observat o creștere de peste trei ori a comunicării criptate de rețeaua utilizată pentru inspectarea probelor malware.
Capacitățile avansate ajută la nivelarea terenului de joc cu adversarii
Pe măsură ce aceștia își extind adaptarea la TLS, Tor și alte protocoale criptate, vedem încă o tendință mai pozitivă: Întreprinderile care se întorc la capabilități cum ar fi învățarea mașinilor și inteligența artificială pentru a-și îmbunătăți securitatea în rețea. De fapt, concluziile studiului Benchmark of Capabilities of Security 2018, care figurează în ultimul raport Cisco privind securitatea informatică, arată că 34% dintre producătorii de soluții de securitate cibernetică se bazează pe învățarea mașinilor și 32% se bazează pe inteligența artificială.
La Cisco, utilizarea tehnologiilor de învățare a mașinilor și a tehnologiei inteligenței artificiale este văzută ca o modalitate de a echilibra terenul de joc cu adversarii care au avansează de ani de zile și devin din ce în ce mai adepți în crearea confuziei.
Soluțiile de învățare a mașinilor și de inteligență artificială pot, în timp, „să învețe” cum să detecteze automat modele neobișnuite în traficul de rețea care ar putea indica o activitate rău intenționată. Ele ajută producătorii de soluții de securitate cibernetică să îmbunătățească prevenirea și detectarea amenințărilor, permițându-le acestora să:
– descopere corelațiile pe care echipele de securitate umană nu le pot vedea sau interpreta pe cont propriu
– reducă complexitatea analizei de date
– reducă timpul pentru descoperirea și remedierea amenințărilor
– adune dovezi contextuale pentru a explică de ce activitatea poate fi rău intenționată
Unul dintre cele mai valoroase aspecte ale procesului de învățare a mașinilor, în special în monitorizarea traficului web criptat și al altor rețele, este capacitatea acestuia de a detecta variațiile amenințărilor cunoscute, subfamiliile malware sau noile amenințări conexe, precum și malware-ul net-new.
Acest lucru este esențial în peisajul amenințărilor de astăzi, unde adversarii evoluează în mod constant malware-ul și îl duc la noi niveluri de sofisticare și impact. După cum se explică în Raportul Anual de Securitate Cibernetică al celor de la Cisco din 2018, un motiv pentru care apărătorii încearcă să înțeleagă ce se întâmplă în peisajul amenințării este volumul mare al traficului potențial dăunător cu care se confruntă. Cercetătorii Cisco arată că produsele de securitate Cisco au înregistrat o creștere de 11 ori a volumului total de malware doar în perioada ianuarie 2016 – octombrie 2017.
Folosirea tehnologiilor avansate, cum ar fi învățarea mașinilor și inteligența artificială, poate, de asemenea, ajută echipele de securitate să depășească abilitățile și lipsurile de resurse – o problemă comună pentru organizațiile din întreaga lume, datorită diferenței actuale de talent în domeniul cybersecurity. Prin automatizare, producătorii de soluții de securitate cibernetică pot, de asemenea, gestiona mai bine amploarea amenințărilor, pe măsură ce perimetrul de securitate continuă să se dizolve din cauza cloud-ului și a internetului extins al lucrurilor (IoT). Raportul Anual de Securitate Cibernetică al celor de la Cisco 2018 constată că multe echipe de securitate se străduiesc deja să apere atât mediul IoT, cât și mediul cloud, însă multe organizații nu cunosc numărul de IP-uri atribuite dispozitivelor IoT conectate la rețea.
Este o artă și o știință să se înțeleagă ce activitate este „normală” într-un anumit mediu de rețea și să ofere un răspuns adecvat la amenințările cunoscute și potențiale. În ultimă instanță, o arhitectură eficientă de învățare a mașinilor ar trebui să aibă echilibrul corect între metodele de învățare „supravegheate” și „nesupravegheate” pentru a detecta noi amenințări în canalele de comunicații criptate, păstrând în același timp un nivel ridicat de precizie și prezentând constatările prioritizate pentru răspunsul rapid al incidentului. În scenarii mai simple, răspunsul poate fi complet automatizat. În situații mai complexe, răspunsul poate implica escaladarea și corelarea ulterioară.
Pentru a înțelege mai bine valoarea capacităților de învățare a mașinilor și a inteligenței artificiale în domeniul securității rețelei și a tehnicilor de detectare a amenințărilor care se potrivesc cel mai bine anumitor tipuri de amenințări, consultați taxonomia detaliată prezentată în Raportul Anual de Securitate Cibernetică 2018 al celor de la Cisco.
Comentarii