Fortinet: Машинне навчання та штучний інтелект – основа майбутніх систем інтелектуального захисту
Fortinet: Машинне навчання та штучний інтелект — основа майбутніх систем інтелектуального захисту
Захист шляхом розміщення на мережевому периметрі пасивних пристроїв безпеки, які спрацьовують при виявленні загроз, тривалий час вважався найкращим рішенням для забезпечення безпеки корпоративної інфраструктури. Хоча ця технологія не стояла на місці і продовжувала вдосконалюватися, основний принцип залишався незмінним, і досі багато компаній обирають саме таку архітектуру.
Однак специфіка загроз сильно змінилася за минулі роки, вони стали значно витонченішими. В їхній основі з'явилися методи, націлені на відхід від виявлення. Загрози навчилися ховатися за легальним ПО, маскувати свої дані під законний трафік та навіть відключати мережеві засоби захисту.
Сьогодні щоб запобігти небезпеці, вчасно виявити її і правильно відреагувати, необхідно переходити на проактивні системи захисту. Вони здатні розпізнавати ознаки атаки, виявляти відхилення, що виникають у звичній роботі систем, виявляти загрози ще до того, як вони встигають завдати непоправної шкоди. Таку надійність і ефективність захисту можна отримати сьогодні тільки при використанні інтелектуальних методів захисту.
Якість інформації про зовнішні загрози залежить від якості джерела
Робота практично будь-якого пристрою захисту, що застосовується сьогодні, заснована на використання додаткових даних, одержуваних ззовні. Це можуть бути регулярні оновлення коду або набори нових сигнатур, нові алгоритми виявлення, додаткові відомості про нові загрози. За відсутності такого каналу цінність інструменту швидко втрачається завдяки активним діям шахраїв, які вдосконалюють і змінюють свою стратегію і тактику атаки. Для досягнення успіху в захисті від загроз сьогодні недостатньо лише високого рівня опрацювання пристрою захисту. Не менш важливе значення відіграють експертиза команди дослідників, які підтримують розробку вендора, і додаткова інформація, що надається ними, її повнота і точность.
Саме з цього краю найчастіше приходять сьогодні проблеми, які роблять роботу системи безпеки неефективною. Згідно звіту Cost of Data Breach Report за 2018 рік, підготовленого інститутом Ponemom, середній час виявлення проникнення загрози становить 266 днів від моменту порушення мережевого периметра, середній час виявлення підміни або крадіжки інформації - 197 днів, середня тривалість усунення порушення - ще 69 днів від моменту його виявлення. Затримка реакції у відповідь виходить занадто великою, і значна її частка пояснюється недостатньою експертизою у стосунку виниклих загроз.
Цінність експертизи залежить від різних факторів. Наприклад, від повноти інформації, зібраної вендором пристрою. Кількість встановлених датчиків, місця їх розміщення, характер інформації, що збирається — всі ці фактори критично важливі, щоб забезпечити якісний результат. Велике значення відіграє також кількість дослідників, залучених в аналіз зібраних даних або що беруть участь в аналізі проблеми, що виникла. При накопиченні великих обсягів інформації важливу роль відіграє використання штучних нейромереж, які допомагають прискорити виявлення загроз, що випали з-під уваги аналітиків, та їх оцінку.
У той час далекоглядні керівники розуміють, що для виявлення кримінальної активності не можна покладатися виключно на дані, що надаються вендорами використовуваних систем захисту. При внутрішніх розслідуваннях вони використовують також інформацію, отриману з інших джерел. Вони розуміють, що встановлена система захисту і зібрані її виробником дані мають одні й те ж обмеження, тому не можна обмежуватися лише одним рішенням.
Це ж розуміють і вендори, які не обмежують свою стратегію лише сьогоднішнім днем. Це — одна з причин, навіщо Fortinet увійшла до числа учасників альянсу Cyber Threat Alliance (CTA). Такий підхід гарантує її дослідникам доступ до різних джерел даних, допомагає підвищити точність спрацьовування. інтелектуального механізму виявлення загроз, що застосовується.
Але не слід обмежувати увагу лише збором необроблених даних. Слід також забезпечити зручність надання даних. Ідеальний варіант - коли дані можна легко інтегрувати в інструменти захисту. Але зазвичай потрібна певна попередня обробка, перш ніж з отриманими даними стає можливо працювати. Тому необхідно заздалегідь задуматися про підбір конвертора.
Збір та обробка даних для накопичення власної експертизи компаній для захисту від загроз
Компаніям не варто обмежуватися лише зовнішньою експертизою вендорів. Важливе значення має власний збір даних про загрози, їх зіставлення та аналіз. Головна труднощі на цьому шляху для компаній полягає в тому, що більшість використовувані засоби захисту працюють ізольовано. Вони вміють збирати великі обсяги даних у журналах, дають докладні звіти. Проте обмін цими даними з іншими інструментами захисту та порівняння зібраної інформації виявляється непростим.
Якщо міжмережевий екран нового покоління (Next-Generation Firewall, NGFW) не вміє «спілкуватися» з брандмауером для інтернет додатків (Web Application Firewall, WAF) або шлюзом безпеки електронної пошти (Secure Email Gateway), то з уваги дослідників може випасти важлива частина інформації, що стосується роботи цих інструментів. Тому дуже часто доводиться працювати вручну, звіряючи файли журналів та звіти, надані різними інструментами. У такій ситуації легко не помітити важливі деталі, які здатні виявити ризик, що виникає або порушення.
Як мінімум, необхідно домагатися того, щоб використовувані інструменти захисту могли збирати, обмінюватися між собою і зіставляти дані про загрози. Тоді стає можливим швидко виявляти проблеми, що виникають, і за допомогою тих інструментів координовано реагувати на інциденти. Повинна існувати також можливість обміну зібраною аналітикою та вихідними даними, щоб мати можливість зіставляти її з інформацією, отриманою від інших сегментів розподіленої мережі, включаючи підключення програмно-визначуваних магістральних мереж SD-WAN, периферійних мереж на мобільних та мобільних підприємствах SD- -пристроїв, а також сегментів мультихмарного середовища.
SIEM-інструменти можуть також відігравати важливу роль для збору та зіставлення інформації про загрози, одержуваної із найрізноманітніших джерел. Вони також можуть координувати дії для створення ефективної протидії. Зрештою, з усіх цих елементів може бути побудовано ефективне середовище NOC/SOC, яке дозволить детально зіставляти та аналізувати мережну активність для виявлення в ній небезпечних ознак.
Машинне навчання та ІІ — основи систем інтелектуального захисту
Поки що це лише початок. У системах захисту наступного покоління практично кожен елемент повинен мати певну експертизу захисту, вміти докладно аналізувати і зіставляти інформацію про загрози, отримані з інших джерел. Можливості сучасних систем досі обмежені. На них прийдуть системи машинного навчання, які одержуючи необхідні вихідні дані і проводячи по них навчання, зможуть виявляти ознаки загроз та надавати інструкції для протидії та захисту. Працюючи разом з ІІ, такі системи зможуть передбачати подальші дії зловмисників і заздалегідь автоматично позбавляти його можливості діяти. Крім цього, вони зможуть передбачати можливі погрози і вказувати місце, звідки може початися атака, дозволяючи ще до її запуску протидіяти.
Для появи таких систем необхідне виконання двох умов. По-перше, на рівні самих пристроїв захисту повинен не тільки здійснюватися збір та аналіз даних, а також існувати автономним механізмом для прийняття необхідних дій. Це дозволить своєчасно реагувати на виникаючі атаки. По-друге, зібрана інформація має бути доступною для центральної системи. Там здійснюватиметься додатковий аналіз даних для уточнення дій та їх посилення. Це також дозволить ефективно координувати попередження, що надходять, про загрози і вживати дії у масштаби всієї мережі.
Обмін даними дуже важливий
Зрештою, ми дійшли до найважливішого елемента створюваної системи захисту, значення якого важко переоцінити. Якщо ми дійсно хочемо йти на крок попереду кіберзлочинців, націлених на руйнування легітимних бізнес-систем, то потрібно організувати обмін інформацією, який поширюватиметься на всі існуючі рівні від окремих підприємств до багатовендорних альянсів, таких як Розвиваючи власну експертизу всередині компаній, її можна застосовувати не тільки для захисту корпоративної мережі, але також для забезпечення безпеки інших мереж, а також для розвитку експертизи ІІ та інших механізмів. Тому, як мінімум, компаніям слід розглянути для себе необхідність приєднання, наприклад, до одного з галузевих або регіональних об'єднань ISAC для обміну даними, а також в установці зворотного зв'язку з вендорами використовуваних систем захисту, допомагаючи їм удосконалювати свої технології.
На шляху до побудови мереж з проактивним захистом
У міру наростання цифрової трансформації змінюватиметься і бізнес, і мережі. Потрібно створення надійної проактивної системи інтелектуального захисту від загроз. Вона формуватиметься з різноманітних елементів і буде вбудована в архітектуру самої мережі. Завдяки такому підходу елементи мережної безпеки автоматично реконфігуруватимуться. і динамічно реагувати на миттєві зміни навіть у найскладніших, розподілених мережевих конфігураціях.
Підготовка до переходу на нове третє покоління систем мережевого захисту вже розпочалася. Сьогодні вона пов'язана з будівництвом глибоко ешелонованої платформи безпеки та інтеграцією її елементів. Вона працюватиме як єдиний, безшовний механізм і прийде на зміну системи захисту колишнього покоління, побудованої на базі окремих фізичних і віртуальних пристроїв.
