2020.04.21. 10:03
Külső és belső támadás? Bízza a robotra!
A cégeknek nagy mennyiségű kiberfenyegetéssel kell szembenézniük, és ebben szerencsére egyre nagyobb segítséget nyújtanak az olyan modern technológiák, mint például a gépi tanulás.
Forrás: Shutterstock
Nem mindegy azonban, milyen megoldás segít a védekezésben. A Micro Focus szakértői szerint
a felügyelet nélküli gépi tanulás nyújtja az igazán hatékony támogatást
a különféle váratlan, példa nélkül álló támadásokkal szemben, különös tekintettel a belsős károkozókra.
A vállalatokat számos támadás érheti a kibertérben, külső és belső rosszakarók oldaláról egyaránt. A támadók dolgát megkönnyíti, hogy egyszerre rengeteg folyamat zajlik a vállalatok informatikai rendszerében, és
a járvány következtében megváltozott körülmények miatt minden eddiginél több teendő és munkafolyamat került át online felületekre.
A sok esemény között pedig könnyen elsikkadhatnak a rosszindulatú aktivitások: miután már megtörtént a baj, csak akkor tűnik fel, hogy egy, a felmondási idejét töltő rendszergazda törölte a céges adatbázist, esetleg kiberbűnözők egy illegálisan megszerzett, kiemelt jogosultság birtokában ellopták a vállalat szellemi tulajdonát képező, értékes dokumentumokat.
Lehetetlen tehát folyamatosan szemmel tartani az infrastruktúrában zajló tevékenységeket. Szerencsére egyre több gyártó kínál különféle megoldást erre a problémára. Ezekkel az eszközökkel viszont hasonló a helyzet, mint az események tömkelegével: nem tudjuk, melyikre érdemes fókuszálni, vagyis melyik az igazán fontos. A Micro Focus szakértői szerint a felügyelet nélküli gépi tanulást alkalmazó technológiák kínálják az igazán hasznos segítséget.
Önállóan is ász
A gépi tanulásnak két fő típusa van, és mindkettőt használják a kibervédelemben különféle célokra. A felügyelt gépi tanulás (supervised machine learning) esetében a rendszert előzetesen betáplált példák segítik a hasonlóságok felismerésében. Ha adott mintákon keresztül megismertetik vele, hogyan működnek a rosszindulatú szoftverek, a felügyelt gépi tanulási rendszer a későbbiekben képes azonosítani az ilyen jellegű tevékenységeket a rendelkezésére bocsátott adatok között.
A felügyelet nélküli gépi tanulás (unsupervised machine learning) ugyanakkor ilyen előzetesen betáplált adatok nélkül is képes a mintafelismerésre. Magától fel tudja ugyanis térképezni az összefüggéseket, és megtanulja elkülöníteni a mindennapinak mondható tevékenységeket a rendellenesektől.
Az előbbi módszer rendkívül hatékony a már jól ismert fenyegetések, például malware-ek észlelésében. Az utóbbi pedig azért hasznos, mert nem lehet minden támadási lehetőséget előre leírni és betáplálni. A felügyelet nélküli gépi tanulást használó rendszer azonban képes olyan módszereket is azonosítani, amelyek még nem szerepelnek mintaként az adatbázisában. A biztonsági szakemberek jól hasznosíthatják ezeket a technológiákat a korábban észrevétlen és feltáratlan problémák felderítésére, különös tekintettel azokra a gyanús tevékenységekre, amelyek a belső fenyegetésekre utalnak.
A szálkát is észreveszi
A felügyelet nélküli gépi tanulást alkalmazó megoldás – amely például a Micro Focus portfóliójában is elérhető – felméri, milyen tevékenységek számítanak megszokottnak. Majd a körülményeket elemezve hívja fel az informatikai szakemberek figyelmét azokra az eseményekre, amelyek gyanúra adnak okot, és amelyek elsikkadnának a rengeteg különféle aktivitás között. Ilyen lehet például az, ha egy alkalmazott elkezd késő éjjel dolgozni, pedig korábban csak reggel 9 és délután 5 előtt ült a gép előtt. Szintén
furcsa lehet, ha valaki hirtelen 500 megabájtnyi céges fájt csatol egy e-mailhez,
vagy a vállalat stratégiai dokumentumait, esetleg a szervezet által fejlesztett programok forráskódját böngészi.
Ezek mind olyan tevékenységek, amelyek elvesznének a rengeteg információ között, ám a felügyelet nélküli gépi tanulásnak köszönhetően úgy kerülnek napvilágra, hogy még időben megakadályozhatók a károk, és mégsem terhelik túl az informatikai részleget fals pozitív találatokkal.
Jó példa erre az a tipikus eset, amelyet az Interset gépi tanulást alkalmazó eszköze derített fel. A megoldás azóta már a Micro Focus saját portfóliójában érhető el, kiegészítve az ArcSight biztonsági információ- és eseménykezelő rendszer képességeit.
Egy nagy technológiai gyártótól érzékeny adatokat szivárogtattak ki, amit nem jelzett a biztonsági szoftverük. Ezért felügyelet nélküli gépi tanulási módszert alkalmaztak. Összesen 30 napnyi naplóadatot elemeztettek, így rövid idő alatt sikerült beazonosítani két mérnököt a húszezer fős állományból, akik forráskódot loptak a cégtől. A történet azonban nem ért itt véget, ugyanis a megoldás további tizenegy alkalmazottról rántotta le a leplet, akik titokban szintén adatokat tulajdonítottak el a cégtől. Közülük hárman Észak-Amerikában, nyolcan Kínában tevékenykedtek.
Borítóképünk illusztráció
Járvány
- Magyarországon is azonosították a koronavírus új variánsát
- Megszűnik a heti adatszolgáltatás
- 6 millió 422 ezer a beoltottak száma, 42 az új fertőzötteké
- 6 millió 422 ezer a beoltott, 47 az új fertőzött és elhunyt 2 beteg
- 6 millió 422 ezer a beoltott, 92 az új fertőzött és elhunyt öt beteg