قد يكون جهاز الكمبيوتر الجديد الخاص بك جهازًا تعليميًا يحب القطط

أمن تكنولوجيا المعلومات هو جحيم خطير ومكلفة. يتم إنفاق مبالغ كبيرة من المال لحماية بيانات الشركة وشبكاتها. تحفز جحافل الأشرار على الاختراق ، وتكون عواقب الفشل أكثر إيلامًا من تكلفة الحماية.

والأسوأ من ذلك ، أن الطرق الحالية التي يتعامل بها كبار ضباط الأمن (CSO) مع الأمن هي تدخلية. على الرغم من أن أدوات الأمان الأساسية مثل حماية نقطة النهاية المدارة ستكون ضرورية دائمًا ، فقد أبدى كل واحد منا صعوبة في إدارة كلمات المرور ، وتحدث عن حقوق الوصول إلى البرنامج الذي نحتاجه ، واشتكى من العوائق بيننا والعمل الذي يتعين علينا القيام به. إذا نجحت الإجراءات الأمنية بنسبة 100 في المائة من الوقت ، فربما نكون على ما يرام مع ذلك - لكن مهلا ، هل لاحظت عدد الانتهاكات التي لا تزال يتم الإبلاغ عنها؟ أنا أيضا. ألقِ نظرة على كيفية انفجار عدد خروقات البيانات سنويًا في هذا الرسم أدناه (بواسطة تحليلات البيانات وتصور مدونة Sparkling Data). يعرض الرسم خروقات البيانات منذ عام 2009 ، موزعة حسب نوع الصناعة وعدد الملايين من السجلات التي تم اختراقها:

المصدر: 24 يوليو 2016 ؛ تحليل البيانات خرق HIPAA . البيانات البراقة

ولكن هناك أخبار جيدة كذلك. نفس تقنيات التعلم الآلي (ML) والخوارزميات التحليلية التنبؤية التي تمنحك توصيات كتاب مفيدة وتعزز ذكائك التجاري الأكثر تقدمًا في مجال الخدمة الذاتية (BI) وتصور البيانات يتم دمج الأدوات في أدوات أمان تكنولوجيا المعلومات. يفيد الخبراء أنك لن تنفق أموالًا أقل على أمان تكنولوجيا المعلومات لشركتك بسبب ذلك ، ولكن على الأقل سيعمل موظفوك بكفاءة أكبر ولديهم فرصة أفضل للعثور على المتسللين والبرامج الضارة قبل حدوث الضرر.

من المؤكد أنه يمكن تصنيف مزيج ML وأمن تقنية المعلومات على أنهما "تقنية ناشئة" ، لكن ما يجعله رائعًا هو أننا لا نتحدث عن تقنية واحدة فقط. يتكون ML من عدة أنواع من التكنولوجيا ، يتم تطبيق كل منها بطرق مختلفة. ونظرًا لأن العديد من البائعين يعملون في هذا المجال ، يمكننا مشاهدة فئة تكنولوجيا جديدة كاملة تتنافس وتتطور ونأمل أن نوفر فائدة لنا جميعًا.

ما هو تعلم الآلة؟

يسمح ML للكمبيوتر بتعليم نفسه شيئًا دون الحاجة إلى برمجته بشكل صريح. وهي تفعل ذلك عن طريق الوصول إلى مجموعات البيانات الكبيرة - في الغالب مجموعات ضخمة.

"من خلال التعلم الآلي ، يمكننا إعطاء جهاز كمبيوتر 10000 صورة من القطط وإخبارها ،" هذا ما يشبه القط. " يوضح آدم بورتر برايس ، أحد كبار الباحثين في بوز ألين ، "يمكنك بعد ذلك إعطاء جهاز كمبيوتر عشرة آلاف صورة غير مسماة واطلب منه معرفة ما هي القطط". يتحسن النموذج عند تقديم ملاحظات النظام ، سواء كان تخمينه صحيحًا أم غير صحيح. بمرور الوقت ، يصبح النظام أكثر دقة في تحديد ما إذا كانت الصورة تتضمن قطة (كما ينبغي ، بالطبع ، كل الصور).

هذه ليست تقنية جديدة تمامًا ، على الرغم من أن التطورات الحديثة في أجهزة الكمبيوتر الأسرع وخوارزميات أفضل وأدوات البيانات الكبيرة قد حسنت الأمور بالتأكيد. وقال Idan Tendler ، الرئيس التنفيذي لشركة Fortscale: "كان التعلم الآلي (خصوصًا كما هو مطبق في نمذجة السلوكيات البشرية) موجودًا لفترة طويلة". "إنه عنصر أساسي في الجوانب الكمية للعديد من التخصصات ، بدءًا من أسعار تذاكر الطيران إلى الاقتراع السياسي إلى تسويق الوجبات السريعة الذي يعود إلى ستينيات القرن الماضي".

الاستخدامات الحديثة الأكثر وضوحا والتعرف عليها هي في المساعي التسويقية. عندما تشتري كتابًا على Amazon ، على سبيل المثال ، تعمل التوصية على تحفيز المبيعات السابقة واقتراح الكتب الإضافية التي من المحتمل أن تستمتع بها (على سبيل المثال ، قد يعجب أيضًا الأشخاص الذين أحبوا Steven Brust's Yendi بروايات Jim Butcher) ، والتي تترجم إلى المزيد من مبيعات الكتب. وهذا ينطبق ML هناك. مثال آخر قد يكون العمل الذي يستخدم بيانات إدارة علاقات العملاء (CRM) لتحليل زبد العميل ، أو شركة طيران تستخدم ML لتحليل عدد نقاط المكافآت التي تحفز المسافرين الدائمين على قبول عرض معين.

لمزيد من البيانات التي يجمعها نظام الكمبيوتر ويحللها ، كانت رؤيته أفضل (وتعريف صورة القطط). بالإضافة إلى ذلك ، مع ظهور البيانات الكبيرة ، يمكن لأنظمة ML تجميع المعلومات من مصادر متعددة. يمكن لمتاجر التجزئة عبر الإنترنت أن تنظر إلى ما وراء مجموعات البيانات الخاصة بها لتشمل تحليلًا لبيانات متصفح الويب الخاص بالعميل والمعلومات من المواقع الشريكة له ، على سبيل المثال.

يقول Balázs Scheidler ، CTO ، بائع الأدوات الأمنية لتكنولوجيا المعلومات ، Balabit ، إن ML تأخذ البيانات التي لا يمكن للبشر فهمها (مثل ملايين سطور ملفات سجل الشبكة أو عدد كبير من معاملات التجارة الإلكترونية) وتحويلها إلى شيء أسهل للفهم..

وقال شيدلر: "إن أنظمة التعلم الآلي تتعرف على الأنماط وتسلط الضوء على الحالات الشاذة ، والتي تساعد البشر على فهم الموقف ، وعند الاقتضاء ، اتخاذ إجراءات بشأنه". "والتعلم الآلي يقوم بهذا التحليل بطريقة آلية ؛ لا يمكنك تعلم نفس الأشياء ببساطة من خلال النظر فقط في سجلات المعاملات."

حيث ML بقع الأمن نقاط الضعف

لحسن الحظ ، يمكن لمبادئ ML نفسها التي يمكن أن تساعدك في اتخاذ قرار بشأن شراء الكتب الجديدة أن تجعل شبكة شركتك أكثر أمانًا. في الواقع ، قال Fortscale's Tendler ، إن بائعي تكنولوجيا المعلومات متأخرين قليلاً عن حفلة ML. يمكن أن ترى إدارات التسويق فوائد مالية في اعتماد ML المبكر ، خاصة وأن تكلفة الخطأ كانت ضئيلة. التوصية بالكتاب الخطأ لن يهدئ شبكة أي شخص. احتاج المتخصصون في مجال الأمن إلى مزيد من اليقين بشأن التكنولوجيا ويبدو أنهم حصلوا عليها في النهاية.

بصراحة ، لقد حان الوقت. لأن الطرق الحالية للتعامل مع الأمن تدخلية وتفاعلية. الأسوأ من ذلك: لقد أدى الحجم الكبير لأدوات الأمان الجديدة وأدوات جمع البيانات المتباينة إلى إدخال الكثير من المعلومات حتى للمراقبين.

وقال ديفيد طومسون ، مدير أول لإدارة المنتجات بشركة LightCyber ​​لأمن تكنولوجيا المعلومات: "معظم الشركات تغمرها آلاف التنبيهات يوميًا ، وتهيمن عليها إيجابيات كاذبة إلى حد كبير". "حتى لو تم عرض حالة التأهب ، فمن المحتمل أن يُنظر إليها على أنها حدث فردي ولا يُفهم أنها جزء من هجوم أكبر منظم".

يستشهد تومبسون بتقرير غارتنر يقول إن معظم المهاجمين لا يتم اكتشافهم لمدة خمسة أشهر في المتوسط. وأشار Ting-Fang Yen ، عالم الأبحاث في DataVisor ، إلى أن هذه الإيجابيات الخاطئة قد تؤدي أيضًا إلى المستخدمين الغاضبين ، كلما تم حظر الموظفين أو الإبلاغ عنهم عن طريق الخطأ ، ناهيك عن الوقت الذي يقضيه فريق تقنية المعلومات في حل المشكلات.

لذلك أول تحليل لأمن تكنولوجيا المعلومات باستخدام ML هو تحليل نشاط الشبكة. تقوم الخوارزميات بتقييم أنماط النشاط ، ومقارنتها بالسلوك السابق ، وتحدد ما إذا كان النشاط الحالي يمثل تهديدًا أم لا. للمساعدة ، يقوم بائعون مثل Core Security بتقييم بيانات الشبكة مثل سلوك المستخدمين في مجال البحث وبروتوكولات الاتصال ضمن طلبات

يحدث بعض التحليل في الوقت الحقيقي ، وتفحص حلول ML الأخرى سجلات المعاملات وملفات السجل الأخرى. على سبيل المثال ، يكتشف منتج Fortscale تهديدات من الداخل ، بما في ذلك التهديدات التي تنطوي على أوراق اعتماد مسروقة. "نركز على سجلات الوصول والتوثيق ، ولكن يمكن أن تأتي السجلات من أي مكان تقريبًا: Active Directory ، و Salesforce ، و Kerberos ، و" تطبيقات الجوهرة التاجية "الخاصة بك ،" قال Fortcale's Tendler. "لمزيد من التنوع على نحو أفضل." حيث يُحدث ML فرقًا رئيسيًا هنا ، فهو أنه يمكن أن يحول سجلات التدبير المنزلي المتواضعة والتي يتم تجاهلها في كثير من الأحيان إلى مصادر استخبارات تهديدات قيمة وفعالة للغاية ورخيصة.

وهذه الاستراتيجيات تحدث فرقا. تعرض أحد البنوك الإيطالية التي يقل عدد مستخدميها عن 100000 لتهديد داخلي يتضمن تهريبًا واسعًا للبيانات الحساسة لمجموعة من أجهزة الكمبيوتر المجهولة الهوية. على وجه التحديد ، تم استخدام بيانات اعتماد المستخدم الشرعي لإرسال كميات كبيرة من البيانات خارج المؤسسة عبر Facebook. قال ديف بالمر ، مدير التكنولوجيا في Darktrace ، إن البنك قام بنشر نظام Darktrace Enterprise Immune System الذي يعمل بنظام ML ، والذي اكتشف السلوك الشاذ في غضون ثلاث دقائق عندما يتصل خادم شركة بفيسبوك - وهو نشاط غير معهود.

أصدر النظام على الفور تنبيهًا بالتهديد ، مما مكن فريق الأمن في البنك من الاستجابة. في النهاية ، أدى التحقيق إلى قيام مسؤول أنظمة بتنزيل برامج ضارة دون قصد محاصرة خادم البنك في شبكة روبوت لتعدين البيتكوين - وهي مجموعة من الأجهزة التي يسيطر عليها المتسللون. في أقل من ثلاث دقائق ، قامت الشركة بالتدريج والتحقيق في الوقت الفعلي ، وبدأت في الاستجابة - دون فقد بيانات الشركة أو تلف خدمات العملاء التشغيلية ، وفقًا لما قاله بالمر.

مراقبة المستخدمين ، وليس التحكم في الوصول أو الأجهزة

لكن أنظمة الكمبيوتر يمكنها التحقيق في أي نوع من البصمة الرقمية. وهنا يكمن اهتمام البائع كثيرًا هذه الأيام: نحو إنشاء أسس للسلوك "المعروف جيدًا" من قِبل مستخدمي المؤسسة الذين يطلق عليهم تحليل سلوك المستخدم (UBA). التحكم في الوصول ومراقبة الجهاز تذهب فقط حتى الآن. يقول العديد من الخبراء والبائعين إنه من الأفضل بكثير جعل المستخدمين محوراً مركزياً للأمن ، وهو ما تدور حوله UBA.

وقال شايدلر من بالابيت "UBA هي وسيلة لمراقبة ما يفعله الناس ولاحظوا ما إذا كانوا يفعلون شيئًا غير طبيعي". يقوم المنتج (في هذه الحالة ، Blabspotter Blabspotter و Shell Control Box) ببناء قاعدة بيانات رقمية للسلوك المعتاد لكل مستخدم ، وهي عملية تستغرق حوالي ثلاثة أشهر. بعد ذلك ، يتعرف البرنامج على الحالات الشاذة من ذلك الأساس. يخلق نظام ML درجة "تصرف" حساب المستخدم ، إلى جانب مدى خطورة المشكلة. يتم إنشاء التنبيهات كلما تجاوزت النتيجة الحد الأدنى.

وقال شيدلر "تحاول Analytics أن تقرر ما إذا كنت أنت". على سبيل المثال ، يستخدم محلل قاعدة البيانات بانتظام أدوات معينة. لذلك ، إذا سجلت الدخول من موقع غير معتاد في وقت غير معتاد ووصلت إلى تطبيقات غير عادية ، فإن النظام يخلص إلى أن حسابها قد يتعرض للاختراق.

تشمل خصائص UBA التي تتبعها Balabit العادات التاريخية للمستخدم (وقت تسجيل الدخول ، والتطبيقات والأوامر الشائعة الاستخدام) ، والممتلكات (دقة الشاشة ، واستخدام لوحة التتبع ، وإصدار نظام التشغيل) ، والسياق (مزود خدمة الإنترنت ، بيانات GPS ، الموقع ، عدادات مرور الشبكة) و الوراثة (شيء أنت). في الفئة الأخيرة ، يتم تحليل حركة الماوس وديناميكيات ضغط المفاتيح ، حيث يقوم النظام بتحديد مدى صعوبة وسرعة أصابع المستخدم في ضرب لوحة المفاتيح.

بينما رائعة من حيث المهوس ، يحذر شيدلر من أن قياسات الماوس ولوحة المفاتيح ليست مضمونة بعد. على سبيل المثال ، قال إن تحديد ضغطات المفاتيح لدى شخص ما يعتمد عليه حوالي 90 بالمائة ، وبالتالي فإن أدوات الشركة لا تعتمد بشكل كبير على حدوث خلل في هذا المجال. الى جانب ذلك ، سلوك المستخدم مختلف قليلا في كل وقت. إذا كان لديك يوم مرهق أو ألم في يدك ، فإن حركات الماوس مختلفة.

وقال شايدلر "نظرًا لأننا نعمل مع العديد من جوانب سلوك المستخدمين والقيمة الإجمالية هي تلك التي يمكن مقارنتها بملف التعريف الأساسي ، فهي تتمتع بموثوقية عالية جدًا تتقارب إلى 100 بالمائة".

بالتأكيد Balabit ليس هو المورد الوحيد الذي يستخدم منتجات UBA لتحديد أحداث الأمان. على سبيل المثال ، يستخدم Cybereason منهجية مشابهة لتحديد السلوك الذي يجعل البشر يقظين يقولون ، "حسنًا ، هذا مضحك".

يشرح CTO Yonatan Streim Amit من Cybereason: "عندما ترى منصتنا شذوذًا - يعمل جيمس متأخراً - يمكننا ربطه بالسلوكيات المعروفة الأخرى والبيانات ذات الصلة. هل يستخدم نفس التطبيقات وأنماط الوصول؟ هل يقوم بإرسال البيانات إلى شخص لا يتواصل معه مطلقًا؟ مع أو هل جميع الاتصالات تذهب إلى مديره ، الذي يرد؟ " يحلل Cybereason شذوذ James الذي يعمل متأخرا بشكل غير طبيعي مع قائمة طويلة من البيانات الأخرى المرصودة لتوفير سياق لتحديد ما إذا كان التنبيه هو اهتمام إيجابي خاطئ أو مشروع.

إن مهمة البحث عن إجابات هي مهمة ولكنها تساعد بالتأكيد على امتلاك برنامج يمكنه طرح الأسئلة الصحيحة. على سبيل المثال ، كان اثنان من المستخدمين في مؤسسة الرعاية الصحية الوصول إلى سجلات المرضى المتوفين. "لماذا ينظر شخص ما إلى المرضى الذين توفوا قبل عامين أو ثلاثة أعوام ، إلا إذا كنت تريد القيام ببعض الهوية أو الاحتيال الطبي؟" يسأل اميت كولكارني ، الرئيس التنفيذي لشركة Cognetyx. عند تحديد هذا الخطر الأمني ​​، حدد نظام Cognetyx الوصول غير المناسب استنادًا إلى الأنشطة العادية لتلك الإدارة ، وقارن سلوك المستخدمين بسلوك أنماط وصول أقرانهم وسلوكهم العادي.

وقال تندلر من فورتسكالي: "بحكم التعريف ، فإن أنظمة التعلم الآلي متكررة وآلية". "إنهم يتطلعون إلى" مطابقة "البيانات الجديدة مع ما رأوه من قبل ، لكنهم لن" يستبعدوا "أي شيء خارج نطاق السيطرة أو يلقون" النتائج "غير المتوقعة أو خارج الحدود تلقائيًا".

لذلك تبحث خوارزميات Fortscale عن بنى مخفية في مجموعة بيانات ، حتى عندما لا يعرفون شكل الهيكل. "حتى لو وجدنا ما هو غير متوقع ، فهو يوفر علفًا يمكن بناء عليه خريطة نمط جديدة. وهذا ما يجعل التعلم الآلي أكثر قوة من مجموعات القواعد الحتمية: يمكن لأنظمة التعلم الآلي أن تجد مشاكل أمنية لم يسبق لها مثيل من قبل."

ماذا يحدث عندما يجد نظام ML حالة شاذة؟ بشكل عام ، تقوم هذه الأدوات بتسليم التنبيهات إلى إنسان لإجراء مكالمة نهائية بطريقة أو بأخرى لأن الآثار الجانبية للإيجابية الكاذبة تلحق الضرر بالشركة وللعملاء. "استكشاف الأخطاء وإصلاحها والطب الشرعي يحتاج إلى خبرة بشرية" ، يؤكد Balabit's Scheidler. المثل الأعلى هو أن التنبيهات التي تم إنشاؤها دقيقة وآلية ، وأن لوحات المعلومات تقدم نظرة عامة مفيدة عن حالة النظام مع القدرة على الانتقال إلى سلوك "مهلا ، هذا غريب".

المصدر: Balabit.com (انقر على الرسم أعلاه لرؤية الصورة كاملة.)

انها البداية فقط

لا تفترض أن أمان ML و IT هو تطابق تام مثل الشوكولاته وزبدة الفول السوداني أو القطط والإنترنت. هذا عمل مستمر ، على الرغم من أنه سيكتسب مزيدًا من القوة والفائدة نظرًا لأن المنتجات تكتسب المزيد من الميزات وتكامل التطبيقات وتحسينات التقنية.

في المدى القصير ، ابحث عن تطورات الأتمتة بحيث تتمكن فرق الأمن والعمليات من الحصول على رؤى جديدة للبيانات بشكل أسرع وبدون تدخل بشري أقل. وقال مايك باكيت ، نائب رئيس المنتجات في Prelert ، خلال العامين أو الثلاثة أعوام المقبلة ، "نتوقع أن تأتي التطورات في شكلين: مكتبة موسعة لحالات الاستخدام المُحددة مسبقًا والتي تحدد سلوكيات الهجوم ، والتقدم في اختيار الميزات تلقائيًا وتكوينها ، مما يقلل من الحاجة للتشاور التعاقدات."

وقال بالمر من Darktrace ، إن الخطوات التالية هي أنظمة التعلم الذاتي التي يمكن أن تقاوم الهجمات من تلقاء نفسها. "سوف يستجيبون للمخاطر الناشئة من البرامج الضارة أو المتسللين أو الموظفين الساخطين بطريقة تتفهم السياق الكامل للسلوك الطبيعي للأجهزة الفردية والعمليات التجارية الشاملة ، بدلاً من اتخاذ قرارات ثنائية فردية مثل الدفاعات التقليدية. سيكون هذا أمرًا بالغ الأهمية للرد على الهجمات الأسرع سرعة ، مثل الهجمات القائمة على الابتزاز ، والتي ستتحول إلى مهاجمة أي أصول ثمينة (وليس فقط أنظمة الملفات) وسيتم تصميمها لتتفاعل بشكل أسرع من البشر."

هذه منطقة مثيرة مع الكثير من الوعد. إن الجمع بين ML وأدوات الأمان المتقدمة لا يوفر للمتخصصين في تكنولوجيا المعلومات أدوات جديدة لاستخدامها ، ولكن الأهم من ذلك أنها توفر لهم الأدوات التي تتيح لهم القيام بمهامهم بشكل أكثر دقة ، لكنها لا تزال أسرع من أي وقت مضى. رغم أنها ليست رصاصة فضية ، فهي خطوة مهمة للأمام في سيناريو يتمتع فيه الأشرار بجميع المزايا لفترة طويلة جدًا.