Külső és belső támadások? Bízzon mindent a robotra!
2020. április 16.
A cégeknek nagy mennyiségű kiberfenyegetéssel kell szembenézniük, és ebben szerencsére egyre nagyobb segítséget nyújtanak az olyan modern technológiák, mint például a gépi tanulás. Nem mindegy azonban, milyen megoldás segít a védekezésben. A Micro Focus szakértői szerint a felügyelet nélküli gépi tanulás nyújtja az igazán hatékony támogatást a különféle váratlan, példa nélkül álló támadásokkal szemben, különös tekintettel a belsős károkozókra.
A vállalatokat számos támadás érheti a kibertérben, külső és belső rosszakarók oldaláról egyaránt. A támadók dolgát megkönnyíti, hogy egyszerre rengeteg folyamat zajlik a vállalatok informatikai rendszerében, és a járvány következtében megváltozott körülmények miatt minden eddiginél több teendő és munkafolyamat került át online felületekre. A sok esemény között pedig könnyen elsikkadhatnak a rosszindulatú aktivitások: miután már megtörtént a baj, csak akkor tűnik fel, hogy egy, a felmondási idejét töltő rendszergazda törölte a céges adatbázist, esetleg kiberbűnözők egy illegálisan megszerzett, kiemelt jogosultság birtokában ellopták a vállalat szellemi tulajdonát képező, értékes dokumentumokat.
Lehetetlen tehát folyamatosan szemmel tartani az infrastruktúrában zajló tevékenységeket. Szerencsére egyre több gyártó kínál különféle megoldást erre a problémára. Ezekkel az eszközökkel viszont hasonló a helyzet, mint az események tömkelegével: nem tudjuk, melyikre érdemes fókuszálni, vagyis melyik az igazán fontos. A Micro Focus szakértői szerint a felügyelet nélküli gépi tanulást alkalmazó technológiák kínálják az igazán hasznos segítséget.
Önállóan is ász
A gépi tanulásnak két fő típusa van, és mindkettőt használják a kibervédelemben különféle célokra. A felügyelt gépi tanulás (supervised machine learning) esetében a rendszert előzetesen betáplált példák segítik a hasonlóságok felismerésében. Ha adott mintákon keresztül megismertetik vele, hogyan működnek a rosszindulatú szoftverek, a felügyelt gépi tanulási rendszer a későbbiekben képes azonosítani az ilyen jellegű tevékenységeket a rendelkezésére bocsátott adatok között.
A felügyelet nélküli gépi tanulás (unsupervised machine learning) ugyanakkor ilyen előzetesen betáplált adatok nélkül is képes a mintafelismerésre. Magától fel tudja ugyanis térképezni az összefüggéseket, és megtanulja elkülöníteni a mindennapinak mondható tevékenységeket a rendellenesektől.
Az előbbi módszer rendkívül hatékony a már jól ismert fenyegetések, például malware-ek észlelésében. Az utóbbi pedig azért hasznos, mert nem lehet minden támadási lehetőséget előre leírni és betáplálni. A felügyelet nélküli gépi tanulást használó rendszer azonban képes olyan módszereket is azonosítani, amelyek még nem szerepelnek mintaként az adatbázisában. A biztonsági szakemberek jól hasznosíthatják ezeket a technológiákat a korábban észrevétlen és feltáratlan problémák felderítésére, különös tekintettel azokra a gyanús tevékenységekre, amelyek a belső fenyegetésekre utalnak.
A szálkát is észreveszi
A felügyelet nélküli gépi tanulást alkalmazó megoldás – amely például a Micro Focus portfóliójában is elérhető – felméri, milyen tevékenységek számítanak megszokottnak. Majd a körülményeket elemezve hívja fel az informatikai szakemberek figyelmét azokra az eseményekre, amelyek gyanúra adnak okot, és amelyek elsikkadnának a rengeteg különféle aktivitás között. Ilyen lehet például az, ha egy alkalmazott elkezd késő éjjel dolgozni, pedig korábban csak reggel 9 és délután 5 előtt ült a gép előtt. Szintén furcsa lehet, ha valaki hirtelen 500 megabájtnyi céges fájt csatol egy e-mailhez, vagy a vállalat stratégiai dokumentumait, esetleg a szervezet által fejlesztett programok forráskódját böngészi.
Ezek mind olyan tevékenységek, amelyek elvesznének a rengeteg információ között, ám a felügyelet nélküli gépi tanulásnak köszönhetően úgy kerülnek napvilágra, hogy még időben megakadályozhatók a károk, és mégsem terhelik túl az informatikai részleget fals pozitív találatokkal.
Jó példa erre az a tipikus eset, amelyet az Interset gépi tanulást alkalmazó eszköze derített fel. A megoldás azóta már a Micro Focus saját portfóliójában érhető el, kiegészítve az ArcSight biztonsági információ- és eseménykezelő rendszer képességeit. Egy nagy technológiai gyártótól érzékeny adatokat szivárogtattak ki, amit nem jelzett a biztonsági szoftverük. Ezért felügyelet nélküli gépi tanulási módszert alkalmaztak. Összesen 30 napnyi naplóadatot elemeztettek, így rövid idő alatt sikerült beazonosítani két mérnököt a húszezer fős állományból, akik forráskódot loptak a cégtől. A történet azonban nem ért itt véget, ugyanis a megoldás további 11 alkalmazottról rántotta le a leplet, akik titokban szintén adatokat tulajdonítottak el a cégtől. Közülük hárman Észak-Amerikában, nyolcan Kínában tevékenykedtek.
Kapcsolódó cikkek
- Mi fán terem a DevSecOps, avagy fejlesztés és üzemeltetés biztonsági extrával
- Az ESET meghosszabbítja ingyenes akcióját
- 667%-kal nőtt a koronavírushoz kapcsolódó támadások száma
- A kiberbűnözők is kihasználják a koronavírust
- Bátrak vagy tudatlanok vagyunk az online adatbiztonság terén?
- Koronavírusos átverést azonosított az ESET
- Átfogó mentőexpedíció az adatok védelméért
- A koronavírus okozta félelmet használják ki a digitális bűnözők
- Így tudjuk egyszerre védeni és használni a legféltettebb adatokat
- Újabb csalás utazik egy hazai szolgáltató ügyfeleinek adataira