PR články

Efektivní zabezpečení: Strojové učení, automatizace i role expertů

Reklama 22. září 2017
Co je mechanismus z Antikythéry
Čím dnes tráví čas bezpečnostní odborníci? Kromě řešení samotných incidentů na základě svých zkušeností přizpůsobují software konkrétní situaci.

Společnost McAfee ve své nové studii podrobně analyzuje metody týmů, které potírají kybernetickou kriminalitu. Dokument „Disrupting the Disruptors, Art or Science?“ ukazuje, jaké bezpečnostní technologie dnes představují základ úspěchu.

SIEM a sandboxy nestačí

Prakticky povinně a plošně jsou dnes používána řešení SIEM (zpráva bezpečnostních informací a událostí), analýza koncových bodů a sandboxy (spouštění potenciálně rizikových kódů v oddělených virtuálních prostředích). Úspěšná bezpečnostní centra (security operations center, SOC) ve firmách i u poskytovatelů služeb ve stále větší míře nasazují rovněž metody pro analýzu chování uživatelů (user behavior analytics, UBA). Dalším významným trendem je automatizace a s tím související propojení lidských bezpečnostních týmů a metod umělé inteligence/strojového učení. Efektivně fungující bezpečnostní týmy navíc využívají investic do přístupu ke speciálním, obvykle placeným zdrojům informací (např. informace o lokálních hrozbách).

Studie společnosti McAfee zdůrazňuje, že role lidského faktoru v zajištění bezpečnosti nijak neustupuje do pozadí. Zkušení specialisté dokáží určit příčinu útoku s mnohem větší úspěšností ve srovnání s nováčky, kteří praktické zkušenosti v oboru teprve nabírají (poměr zjištěný v rámci studie až 90 % ku 20 %). Zkušení experti zaměření na vyhledávání hrozeb mohou nicméně pracovat efektivně pouze v kombinaci s dalšími technikami, kombinujícími znalosti a procesy, které lze automatizovat.

Rychlost, přesnost, přizpůsobení

V současné době jsou podniky nuceny dodržovat celou řadu regulačních/legislativních požadavků. V oblasti kybernetické kriminality to znamená nejen samotnou detekci ohrožení, ale následně i podrobné šetření celého incidentu. Vzhledem k rychlosti podnikání se zde současně vyžaduje přesnost i rychlost. Studie McAfee ukazuje, že pokročilé bezpečnostní týmy dokáží vyšetření incidentu dokončit už do 24 hodin po detekci ohrožení (37 %) nebo alespoň do týdne (71 %). Podpůrná pokročilá bezpečností řešení se na této rychlosti podílejí mj. tím, že dokáží optimalizovat workflow informací a navíc sbírat více informací než konkurenční systémy. Pokročilá bezpečností řešení rovněž umožňují rozsáhlé přizpůsobení (customizaci). Úspěšné bezpečností týmy a zkušení experti se poznají mj. i tak, že věnují hodně času právě přizpůsobování a ladění nástrojů. To pak současně umožňuje vyšší automatizaci při reakci na útok a tím i zrychlení procesu.

Lovec hrozeb by tak dnes měl být současně expertem na volbu bezpečnostního řešení a měl by i dokázat rozhodnout, jaké technologie je třeba koupit/nasadit (a vedení firmy by s ním příslušná rozhodnutí mělo rozhodně konzultovat). Tito experti dále vyvíjí nebo dokonce přímo vytváří bezpečnostní nástroje, neustále své zkušenosti převádějí do automatizované podoby ve formě skriptů a nově nastavovaných pravidel. K tomu je současně nutné, aby nové útoky a hrozby stále zkoumali manuálně, a to i zpětně – pokud samotná reakce systému proběhla automaticky.

Řešení McAfee

Společnost McAfee podporuje automatizaci v podobě strojového učení v rámci svého nového řešení McAfee Advanced Threat Defense. Tyto technologie byly již dříve využívány rovněž v rámci řešení McAfee Endpoint Security/Real Protect a McAfee Global Threat Intelligence (GTI). Nově oznámená verze ATD 4.0 pak přímo podporuje i hluboké učení. Vylepšena je zde především analýza příloh e-mailů, kdy na úrovni bezpečnostní brány dochází pomocí komponenty ATD Email Connector k analýze ještě před vstupem souboru do vlastní sítě. Vylepšený sandbox a strojové učení zvyšují účinnost i v odhalování malwaru, který se snaží skrývat nebo se dosud plně neprojevuje. Tato analýza současně umožňuje aktualizovat i další informace o hrozbách a reputace (souborů, domén…), které jsou pak dostupné v rámci ochrany celé sítě.

Aleš Pikora, ředitel divize DataGuard

PCS, spol. s r.o.

Další článek: Co je mechanismus z Antikythéry

Témata článku: