La tua prossima guardia di sicurezza digitale dovrebbe essere più simile a RoboCop

Questo primer tecnico scritto dal fornitore è stato modificato da Network World per eliminare la promozione del prodotto, ma i lettori dovrebbero notare che probabilmente favorirà l'approccio del mittente.

Gli umani sono chiaramente incapaci di monitorare e identificare ogni minaccia sulle reti vaste e complesse di oggi utilizzando gli strumenti di sicurezza tradizionali. Dobbiamo migliorare le capacità umane aumentandole con l'intelligenza artificiale. Mescolare uomo e macchina - in qualche modo, simile a quello che OmniCorp ha fatto con RoboCop - può accrescere la nostra capacità di identificare e bloccare una minaccia prima che sia troppo tardi.

Gli strumenti "stupidi" su cui le organizzazioni fanno affidamento oggi sono semplicemente inefficaci. Ci sono due cose coerenti, ma ancora sorprendenti, che rendono questa inettitudine abbastanza evidente. La prima è la quantità di tempo che gli hacker hanno libero regno all'interno di un sistema prima di essere rilevati: otto mesi a Premera e P.F. Chang's, sei mesi a Nieman Marcus, cinque mesi a Home Depot, e l'elenco continua.

La seconda sorpresa è la risposta. Di solito tutti guardano indietro, cercando di capire come sono entrati gli attori esterni. Trovare la proverbiale perdita e collegarla è ovviamente importante, ma questo approccio tratta solo un sintomo invece di curare la malattia.

La malattia, in questo caso, è la crescente fazione di hacker che stanno diventando così bravi in ​​quello che fanno da poter infiltrarsi in una rete e vagare liberamente, accedendo a più file e dati di cui persino la maggior parte dei dipendenti interni ha accesso. Se a Premera, Sony, Target e altri sono occorsi mesi per rilevare questi cattivi attori nelle loro reti e iniziare a correggere i buchi che li hanno fatti entrare, come possono essere sicuri che un altro gruppo non abbia trovato un altro buco? Come fanno a sapere che altri gruppi non stanno rubando dati in questo momento? Oggi non possono saperlo con certezza.

La risposta tipica

Fino a poco tempo fa, le aziende avevano davvero una sola opzione in risposta alle crescenti minacce, una risposta che la maggior parte delle organizzazioni impiega ancora. Rafforzano i sistemi, attivano il firewall e le regole e le soglie IDS / IPS e mettono in atto proxy Web e criteri VPN più rigorosi. Ma facendo questo, affogano i loro team di risposta agli incidenti in allerta.

Il rafforzamento delle politiche e l'aggiunta al numero di scenari che solleveranno una bandiera rossa rendono il lavoro più difficile per i team di sicurezza che sono già tesi. Ciò provoca migliaia di falsi positivi ogni giorno, rendendo fisicamente impossibile investigare tutti. Come hanno dimostrato i recenti attacchi di alto profilo, il diluvio di allarmi sta aiutando le attività dannose a scivolare attraverso le fessure perché, anche quando viene "catturato", non viene fatto nulla al riguardo.

Inoltre, limitare le regole e le procedure di sicurezza fa perdere tempo a tutti. In base alla progettazione, politiche più restrittive limiteranno l'accesso ai dati e, in molti casi, tali dati sono ciò di cui i dipendenti hanno bisogno per svolgere bene il proprio lavoro. Dipendenti e dipartimenti inizieranno a chiedere gli strumenti e le informazioni di cui hanno bisogno, perdendo tempo prezioso per loro e per i team IT / di sicurezza che devono controllare ogni richiesta.

Mettere RoboCop sul case

L'intelligenza artificiale può essere utilizzata per sorvegliare reti enormi e contribuire a colmare le lacune in cui le risorse e le capacità disponibili dell'intelligenza umana sono chiaramente insufficienti. È un po 'come lasciare che RoboCop controlli la strada, ma in questo caso l'armamento principale sono gli algoritmi statistici. Più specificamente, le statistiche possono essere utilizzate per identificare attività anomale e potenzialmente dannose quando si verificano.

Secondo Dave Shackleford, analista del SANS Institute e autore del suo Analytics and Intelligence Survey del 2014, "una delle maggiori sfide che le organizzazioni di sicurezza devono affrontare è la mancanza di visibilità su ciò che sta accadendo nell'ambiente". L'indagine di 350 professionisti IT ha chiesto perché hanno difficoltà a identificare le minacce e una risposta fondamentale è stata la loro incapacità di comprendere e basare il "comportamento normale". È qualcosa che gli umani non possono fare in ambienti complessi, e poiché non siamo in grado di distinguere il comportamento normale, non possiamo vedere comportamenti anomali.

Invece di fare affidamento sul fatto che gli umani guardino i grafici su monitor a grande schermo, o le regole e le soglie definite dall'uomo per alzare le bandiere, le macchine possono imparare come si presenta il normale comportamento, adattarsi in tempo reale e diventare più intelligenti mentre elaborano più informazioni. Inoltre, le macchine possiedono la velocità richiesta per elaborare l'enorme quantità di informazioni create dalle reti e possono farlo in tempo quasi reale. Alcune reti elaborano terabyte di dati ogni secondo, mentre gli umani, d'altra parte, non possono elaborare più di 60 bit al secondo.

Mettendo da parte la necessità di velocità e capacità, un problema più ampio con il modo tradizionale di monitorare i problemi di sicurezza è che le regole sono stupide. Non è nemmeno solo il nome, sono letteralmente stupidi. Gli esseri umani stabiliscono regole che indicano alla macchina come agire e cosa fare: la velocità e la capacità di elaborazione sono irrilevanti. Sebbene i sistemi di monitoraggio basati su regole possano essere molto complessi, sono comunque basati su una formula di base "se questo, allora fallo". Consentire alle macchine di pensare da sole e di fornire dati e informazioni migliori agli umani che si affidano a loro è ciò che migliorerà davvero la sicurezza.

È quasi assurdo non avere un livello di sicurezza che pensi da solo. Immagina nel mondo fisico se qualcuno attraversasse il confine ogni giorno con una carriola piena di sporcizia e gli agenti doganali, essendo diligenti nel loro lavoro e seguendo le regole, setacciano quella sporcizia giorno dopo giorno, senza mai trovare quello che pensavano di essere cercando. Anche se quella stessa persona attraversa ripetutamente il confine con una carriola piena di terra, nessuno pensa mai di guardare la carriola. Se lo avessero fatto, avrebbero rapidamente imparato che stava rubando le carriole per tutto il tempo!

Solo perché nessuno ha detto agli agenti doganali di cercare carriole rubate non va bene, ma come si dice, il senno di poi è 20/20. Nel mondo digitale, non dobbiamo più fare affidamento sul senno di poi, soprattutto ora che abbiamo il potere di far funzionare l'intelligenza delle macchine e riconoscere le anomalie che potrebbero verificarsi proprio sotto il nostro naso. Affinché la sicurezza informatica sia efficace oggi, necessita almeno di un livello base di intelligenza. Le macchine che apprendono da sole e rilevano attività anomale possono trovare il "ladro di carriole" che potrebbe lentamente sifonare i dati, anche se non sai esattamente che lo stai cercando.

Il rilevamento delle anomalie è tra le prime categorie tecnologiche in cui l'apprendimento automatico viene utilizzato per migliorare la sicurezza della rete e delle applicazioni. È una forma di analisi avanzata della sicurezza, che è un termine usato abbastanza frequentemente. Tuttavia, ci sono alcuni requisiti che questo tipo di tecnologia deve soddisfare per essere veramente considerato "avanzato". Deve essere facilmente implementato per funzionare in modo continuo, contro una vasta gamma di tipi e fonti di dati e su enormi scale di dati per produrre intuizioni ad alta fedeltà in modo da non aggiungere ulteriore allerta alla cecità già affrontata dai team di sicurezza.

I principali analisti concordano sul fatto che l'apprendimento automatico sarà presto un "bisogno di avere" per proteggere una rete. In un rapporto di Gartner del novembre 2014, intitolato "Aggiungi nuove metriche delle prestazioni per gestire i sistemi abilitati all'apprendimento automatico", l'analista Will Cappelli afferma direttamente, "la funzionalità di apprendimento automatico, nei prossimi cinque anni, diventerà gradualmente pervasiva e, nel processo , modificare fondamentalmente le prestazioni del sistema e le caratteristiche di costo. "

Mentre l'apprendimento automatico non è certamente un proiettile d'argento che risolverà tutte le sfide di sicurezza, non c'è dubbio che fornirà informazioni migliori per aiutare le persone a prendere decisioni migliori. Smettiamo di chiedere alle persone di fare l'impossibile e lascia che l'intelligenza artificiale intervenga per aiutare a portare a termine il lavoro.

Prelert fornisce Advanced Analytics per il rilevamento delle attività delle minacce. Prelert aiuta le organizzazioni a rilevare, indagare e rispondere rapidamente alle attività di minaccia post-violazione con il rilevamento automatico delle anomalie di apprendimento automatico.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.