Machine Learning-teknikker anvendt på computer-cybersikkerhed

Man hører meget om kunstig intelligens, især en af dens mest fremtrædende grene, såsom "Machine Learning". Kunstig intelligens er dog ikke ny; den har været med os siden slutningen af 50'erne, hvor forskere mødtes i Darthmoud og opfandt begrebet i 1956. I dag har dens indflydelse nået flere sektorer og områder, blandt andet: bilindustrien, energi, industri, banksektoren, sundhed, cyberforsvar og cybersikkerhed.

Machine Learning består i at skabe modeller eller algoritmer til at analysere data, lære af dem og forudsige deres mulige adfærd i tid eller estimerede situationer. Af disse grunde har cybersikkerhedsindustrien ikke været immun over for vækst, udbredelse og installation af teknikker til at forbedre computersikkerheden ved hjælp af Machine Learning-modeller og -teknikker, som giver mulighed for et mere passende svar i overensstemmelse med de nuværende krav. Denne praksis forbedrer og muliggør en analyse af trusler og lover at være mere effektiv til at stoppe eller forebygge sikkerhedshændelser. I øjeblikket finder vi flere anvendelser af kunstig intelligens gennem Machine Learning inden for cybersikkerhed, f.eks. afsløring af svindel med bankkort, afsløring af indbrud, klassificering af malware og afsløring af denial of service-angreb. Nævn nogle af dem.

Det er ubestrideligt, at internettets fremkomst har medført mange fordele og forbedringer af levevilkårene for mange mennesker. For eksempel er telearbejde og virtuel uddannelse to områder eller sektorer, der har nydt godt af værktøjerne og platformene til at arbejde hjemme eller studere uden at være nedsænket i de kaotiske og konstante problemer med transport og usikkerhed. I vores storbyer.

Maskinlæring og e-handel

En anden sektor, der har nydt godt af udviklingen og udbredelsen af internettet, er uden tvivl den elektroniske handel. Virksomhederne har haft behov for at skabe nye medier og kommunikationsstrategier med deres kunder, som gør det muligt for dem at opnå den nødvendige salgsvolumen for at forbedre overskuddet; af den grund er e-handel et uvurderligt værktøj for virksomhedernes salgsafdeling. Men på den anden side, ligesom fordelene ved at bruge internettet er steget med flere værktøjer, platforme, konsultationssider, finans- og bankportaler osv., er det også sandt, at risiciene, truslerne og mulighederne er steget for indtrængen af skruppelløse og dårligt intentionelle mennesker.

Udvidelsen og den accelererede udvikling inden for kommunikation, massificeringen af mobile og intelligente enheder og fremskridtene inden for teknologier som Internet of Things (IoT) har øget deres betydning og kompleksitet; det er her, datavidenskaben står med en mulighed for at optimere kravanalysemekanismerne i computersystemer og generere en bedre mulighed mod de forskellige typer af sikkerhedsrisici, der findes i dag.

På den anden side bliver angreb og indtrængen i computersystemer, websteder og applikationer stadig hyppigere, hvilket gør det vigtigt at bruge autonome mekanismer til at forhindre skader eller tab af information. Sikkerheden for forretningsdata, personlige data og missionskritiske applikationer er aspekter, som organisationer for enhver pris skal undgå bliver kompromitteret. Det er her, den konstante udvikling og forbedring af maskinlæringsteknikker kommer ind i billedet, da de tager historiske eller aktuelle data i betragtning og har til hensigt at komme med forudsigelser eller fremskrivninger af et bestemt dataområde eller i bestemte tidsperioder for at kunne etablere ligheder i forhold til mønstre eller adfærdskarakteristika.

Det skal tages i betragtning, at et computersystem takket være maskinlæring kan finde mærkelig adfærd og unormale situationer i store mængder data, kendt som mønstre. Machine Learning opdager usædvanlige situationer, der ønsker at infiltrere et systemnetværk. Vi kan finde to mulige løsninger: Heuristisk IDS og regelbaseret IDS.

Heuristisk IDS

IDS er et indbrudsdetekteringssystem, der er ansvarligt for at overvåge et websites indgående og udgående trafik og registrere dets adfærd. Det giver mulighed for overvågning, der opdager mistænkelige aktiviteter og genererer advarsler, når de opdages. Baseret på disse advarsler kan en analytiker i sikkerhedsoperationscentret (SOC) eller en hændelsesbehandler undersøge problemet og træffe passende foranstaltninger for at rette op på truslen. IDS er designet til at blive implementeret i forskellige miljøer. Og ligesom mange andre cybersikkerhedsløsninger kan et IDS være hostbaseret eller netværksbaseret. Lad os nu lære lidt mere om de forskellige typer IDS.

Værtsbaseret IDS (HIDS): Et HIDS er implementeret på et bestemt endpoint, der er designet til at beskytte mod interne og eksterne trusler. Denne type IDS kan være i stand til at overvåge computerens indgående og udgående netværkstrafik, observere kørende processer og inspicere systemlogfiler. Et HIDS' synlighed er begrænset til værtscomputeren, hvilket mindsker konteksten for beslutningstagning. Alligevel har det dyb indsigt i værtscomputerens interne komponenter.

Netværksbaseret IDS (NIDS): En NIDS er designet til at overvåge et helt beskyttet netværk. Det har overblik over al trafik, der flyder gennem netværket, og træffer beslutninger baseret på pakkernes metadata og indhold. Dette bredere overblik giver større sammenhæng og mulighed for at opdage gennemgribende trusler. Men disse systemer mangler indsigt i de interne komponenter i de slutpunkter, de beskytter. Der anbefales en samlet trusselshåndteringsløsning, der integrerer teknologier i et enkelt system for at give mere omfattende sikkerhed. På grund af de forskellige niveauer af synlighed giver implementering af et isoleret HIDS eller NIDS ufuldstændig beskyttelse af en organisations trusselssystem.

IDS-detekteringsmetoder

IDS-løsninger er forskellige i den måde, de identificerer potentielle indtrængninger på:

Registrering af signaturer - Signaturbaserede intrusion detection system-løsninger bruger fingeraftryk fra kendte cybertrusler til at identificere dem. Når malware eller andet ondsindet indhold er identificeret, genereres der en signatur, som føjes til den liste, IDS-løsningen bruger til at scanne indgående indhold. Dette gør det muligt for et IDS at opnå en høj trusselsdetekteringsrate uden falske positiver, da alle alarmer genereres på baggrund af detektering af kendt ondsindet indhold. Men et signaturbaseret IDS er begrænset til at opdage kendte cybertrusler og opdager ikke sårbarheder.

Registrering af uregelmæssigheder - Anomalibaserede systemløsninger til indbrudsdetektering skaber en model af det beskyttede systems "normale" adfærd. Al fremtidig adfærd kontrolleres i forhold til denne model, og eventuelle afvigelser markeres som potentielle cybertrusler og udløser alarmer. Selvom denne tilgang kan opdage nye cybertrusler, betyder vanskeligheden ved at skabe en nøjagtig model af "normal" adfærd, at disse systemer skal afbalancere falske positiver med falske negativer.

Hybrid detektering -. Et hybrid IDS bruger både signaturbaseret detektion og anomalibaseret detektion. Det gør det muligt at opdage et større antal potentielle angreb med en lavere fejlprocent, end hvis begge systemer blev brugt hver for sig.

IDS og firewalls

IDS-systemer og firewalls er cybersikkerhedsløsninger, der kan implementeres for at beskytte et endpoint eller et netværk. Men der er stor forskel på deres formål. Et IDS er en passiv overvågningsenhed, der registrerer potentielle cybertrusler og genererer advarsler, så analytikere i en incident response SOC kan undersøge og reagere på den potentielle hændelse. Det giver dog ikke absolut beskyttelse af slutpunktet eller netværket. På den anden side er en firewall designet til at fungere som et beskyttelsessystem, der analyserer netværkspakkernes metadata og tillader eller blokerer trafik baseret på foruddefinerede regler, hvilket skaber en grænse for, at visse typer trafik eller protokoller ikke kan passere.

Med andre ord er en firewall en aktiv beskyttelsesenhed, mere som et system til forebyggelse af indtrængen (IPS). Et IPS er som et IDS, bortset fra at det aktivt blokerer identificerede cybertrusler i stedet for blot at udsende en advarsel. IDS supplerer funktionaliteten i en firewall, og mange Next-Generation Firewalls (NGFWs) har indbyggede IDS/IPS-funktioner, som gør det muligt at anvende foruddefinerede filtreringsregler og opdage og reagere på mere sofistikerede cybertrusler (IDS/IPS).

Regelbaseret IDS

Det er den løsning, der tager udgangspunkt i et match med mønstre, så systemet er i stand til at opdage dem automatisk og udsende en advarsel. Nogle eksempler er Snort, Suricata, Ossec, Samhain, Bro eller Kismet. Alle disse systemer er baseret på regler, som skal forudkonfigureres til at fungere automatisk og uden overvågning. Det er også vigtigt at huske, at de vil være lige så effektive, som deres databaser over kendte trusler er opdateret.

Hvordan vælger man en IDS-løsning?

Et IDS-system er en komponent, der skal være til stede i enhver organisations cybersikkerhedsimplementering. En simpel firewall udgør grundlaget for netværkssikkerhed, men mange avancerede cybertrusler kan gå ubemærket hen. Et IDS tilføjer en ekstra linje af cyberforsvar, som gør det vanskeligt for en cyberangriber at få adgang til en organisations netværk uden at blive opdaget.

Når man vælger et IDS, er det vigtigt at overveje implementeringsscenariet. I nogle tilfælde kan et intrusion detection system være den bedste løsning til opgaven, mens den indbyggede beskyttelse i en IPS kan være en bedre løsning i andre tilfælde. En NGFW med integrerede IDS/IPS-funktioner giver en integreret løsning og forenkler registrering af cybertrusler og sikkerhedsstyring.

Som konklusion

Cyberangreb holder ikke op med at ske, og virksomheder skal implementere forskellige sikkerhedsforanstaltninger for at garantere informationens integritet og tilgængelighed og for at sikre, at hele systemet fungerer korrekt. Blandt de sikkerhedsforanstaltninger, der kan tages i brug, har vi systemet til detektering af indtrængen. Blandt de sikkerhedsværktøjer, en virksomhed bruger, finder vi ofte blandede systemer, der kombinerer et IDS med en firewall.

Begge systemer overvåger og analyserer netværket og enhederne for unormale cybertrusler, men den største forskel mellem en IDS og en IPS er, at sidstnævnte kan blokere angreb, da den har en forebyggende og proaktiv rolle.

Firewallen blokerer al trafik og filtrerer kun den trafik eller de datapakker, der er tilladt i dens konfiguration. Et IDS gør det modsatte; det lader al trafik passere og scanner den for ondsindede data eller aktiviteter. Derfor skal IDS'et og firewallen arbejde sammen, hvor den anden filtrerer tilladt trafik, og den første analyserer den for trusler eller uregelmæssigheder.