Man h\u00f8rer meget om kunstig intelligens, is\u00e6r en af dens mest fremtr\u00e6dende grene, s\u00e5som \"Machine Learning\". Kunstig intelligens er dog ikke ny; den har v\u00e6ret med os siden slutningen af 50'erne, hvor forskere m\u00f8dtes i Darthmoud og opfandt begrebet i 1956. I dag har dens indflydelse n\u00e5et flere sektorer og omr\u00e5der, blandt andet: bilindustrien, energi, industri, banksektoren, sundhed, cyberforsvar og cybersikkerhed.<\/p>\n\n\n\n
Machine Learning best\u00e5r i at skabe modeller eller algoritmer til at analysere data, l\u00e6re af dem og forudsige deres mulige adf\u00e6rd i tid eller estimerede situationer. Af disse grunde har cybersikkerhedsindustrien ikke v\u00e6ret immun over for v\u00e6kst, udbredelse og installation af teknikker til at forbedre computersikkerheden ved hj\u00e6lp af Machine Learning-modeller og -teknikker, som giver mulighed for et mere passende svar i overensstemmelse med de nuv\u00e6rende krav. Denne praksis forbedrer og muligg\u00f8r en analyse af trusler og lover at v\u00e6re mere effektiv til at stoppe eller forebygge sikkerhedsh\u00e6ndelser. I \u00f8jeblikket finder vi flere anvendelser af kunstig intelligens gennem Machine Learning inden for cybersikkerhed, f.eks. afsl\u00f8ring af svindel med bankkort, afsl\u00f8ring af indbrud, klassificering af malware og afsl\u00f8ring af denial of service-angreb. N\u00e6vn nogle af dem.<\/p>\n\n\n\n
Det er ubestrideligt, at internettets fremkomst har medf\u00f8rt mange fordele og forbedringer af levevilk\u00e5rene for mange mennesker. For eksempel er telearbejde og virtuel uddannelse to omr\u00e5der eller sektorer, der har nydt godt af v\u00e6rkt\u00f8jerne og platformene til at arbejde hjemme eller studere uden at v\u00e6re neds\u00e6nket i de kaotiske og konstante problemer med transport og usikkerhed. I vores storbyer.<\/p>\n\n\n
En anden sektor, der har nydt godt af udviklingen og udbredelsen af internettet, er uden tvivl den elektroniske handel. Virksomhederne har haft behov for at skabe nye medier og kommunikationsstrategier med deres kunder, som g\u00f8r det muligt for dem at opn\u00e5 den n\u00f8dvendige salgsvolumen for at forbedre overskuddet; af den grund er e-handel et uvurderligt v\u00e6rkt\u00f8j for virksomhedernes salgsafdeling. Men p\u00e5 den anden side, ligesom fordelene ved at bruge internettet er steget med flere v\u00e6rkt\u00f8jer, platforme, konsultationssider, finans- og bankportaler osv., er det ogs\u00e5 sandt, at risiciene, truslerne og mulighederne er steget for indtr\u00e6ngen af skruppell\u00f8se og d\u00e5rligt intentionelle mennesker.<\/p>\n\n\n\n
Udvidelsen og den accelererede udvikling inden for kommunikation, massificeringen af mobile og intelligente enheder og fremskridtene inden for teknologier som Internet of Things (IoT) har \u00f8get deres betydning og kompleksitet; det er her, datavidenskaben st\u00e5r med en mulighed for at optimere kravanalysemekanismerne i computersystemer og generere en bedre mulighed mod de forskellige typer af sikkerhedsrisici, der findes i dag.<\/p>\n\n\n\n
P\u00e5 den anden side bliver angreb og indtr\u00e6ngen i computersystemer, websteder og applikationer stadig hyppigere, hvilket g\u00f8r det vigtigt at bruge autonome mekanismer til at forhindre skader eller tab af information. Sikkerheden for forretningsdata, personlige data og missionskritiske applikationer er aspekter, som organisationer for enhver pris skal undg\u00e5 bliver kompromitteret. Det er her, den konstante udvikling og forbedring af maskinl\u00e6ringsteknikker kommer ind i billedet, da de tager historiske eller aktuelle data i betragtning og har til hensigt at komme med forudsigelser eller fremskrivninger af et bestemt dataomr\u00e5de eller i bestemte tidsperioder for at kunne etablere ligheder i forhold til m\u00f8nstre eller adf\u00e6rdskarakteristika. <\/p>\n\n\n\n
Det skal tages i betragtning, at et computersystem takket v\u00e6re maskinl\u00e6ring kan finde m\u00e6rkelig adf\u00e6rd og unormale situationer i store m\u00e6ngder data, kendt som m\u00f8nstre. Machine Learning opdager us\u00e6dvanlige situationer, der \u00f8nsker at infiltrere et systemnetv\u00e6rk. Vi kan finde to mulige l\u00f8sninger: Heuristisk IDS og regelbaseret IDS.<\/p>\n\n\n
IDS er et indbrudsdetekteringssystem, der er ansvarligt for at overv\u00e5ge et websites indg\u00e5ende og udg\u00e5ende trafik og registrere dets adf\u00e6rd. Det giver mulighed for overv\u00e5gning, der opdager mist\u00e6nkelige aktiviteter og genererer advarsler, n\u00e5r de opdages. Baseret p\u00e5 disse advarsler kan en analytiker i sikkerhedsoperationscentret (SOC) eller en h\u00e6ndelsesbehandler unders\u00f8ge problemet og tr\u00e6ffe passende foranstaltninger for at rette op p\u00e5 truslen. IDS er designet til at blive implementeret i forskellige milj\u00f8er. Og ligesom mange andre cybersikkerhedsl\u00f8sninger kan et IDS v\u00e6re hostbaseret eller netv\u00e6rksbaseret. Lad os nu l\u00e6re lidt mere om de forskellige typer IDS.<\/p>\n\n\n\n
V\u00e6rtsbaseret IDS (HIDS):<\/strong> Et HIDS er implementeret p\u00e5 et bestemt endpoint, der er designet til at beskytte mod interne og eksterne trusler. Denne type IDS kan v\u00e6re i stand til at overv\u00e5ge computerens indg\u00e5ende og udg\u00e5ende netv\u00e6rkstrafik, observere k\u00f8rende processer og inspicere systemlogfiler. Et HIDS' synlighed er begr\u00e6nset til v\u00e6rtscomputeren, hvilket mindsker konteksten for beslutningstagning. Alligevel har det dyb indsigt i v\u00e6rtscomputerens interne komponenter.<\/p>\n\n\n\n Netv\u00e6rksbaseret IDS (NIDS):<\/strong> En NIDS er designet til at overv\u00e5ge et helt beskyttet netv\u00e6rk. Det har overblik over al trafik, der flyder gennem netv\u00e6rket, og tr\u00e6ffer beslutninger baseret p\u00e5 pakkernes metadata og indhold. Dette bredere overblik giver st\u00f8rre sammenh\u00e6ng og mulighed for at opdage gennemgribende trusler. Men disse systemer mangler indsigt i de interne komponenter i de slutpunkter, de beskytter. Der anbefales en samlet trusselsh\u00e5ndteringsl\u00f8sning, der integrerer teknologier i et enkelt system for at give mere omfattende sikkerhed. P\u00e5 grund af de forskellige niveauer af synlighed giver implementering af et isoleret HIDS eller NIDS ufuldst\u00e6ndig beskyttelse af en organisations trusselssystem.<\/p>\n\n\n IDS-l\u00f8sninger er forskellige i den m\u00e5de, de identificerer potentielle indtr\u00e6ngninger p\u00e5:<\/p>\n\n\n\n Registrering af signaturer -<\/strong> Signaturbaserede intrusion detection system-l\u00f8sninger bruger fingeraftryk fra kendte cybertrusler til at identificere dem. N\u00e5r malware eller andet ondsindet indhold er identificeret, genereres der en signatur, som f\u00f8jes til den liste, IDS-l\u00f8sningen bruger til at scanne indg\u00e5ende indhold. Dette g\u00f8r det muligt for et IDS at opn\u00e5 en h\u00f8j trusselsdetekteringsrate uden falske positiver, da alle alarmer genereres p\u00e5 baggrund af detektering af kendt ondsindet indhold. Men et signaturbaseret IDS er begr\u00e6nset til at opdage kendte cybertrusler og opdager ikke s\u00e5rbarheder.<\/p>\n\n\n\n Registrering af uregelm\u00e6ssigheder -<\/strong> Anomalibaserede systeml\u00f8sninger til indbrudsdetektering skaber en model af det beskyttede systems \"normale\" adf\u00e6rd. Al fremtidig adf\u00e6rd kontrolleres i forhold til denne model, og eventuelle afvigelser markeres som potentielle cybertrusler og udl\u00f8ser alarmer. Selvom denne tilgang kan opdage nye cybertrusler, betyder vanskeligheden ved at skabe en n\u00f8jagtig model af \"normal\" adf\u00e6rd, at disse systemer skal afbalancere falske positiver med falske negativer.<\/p>\n\n\n\n Hybrid detektering -.<\/strong> Et hybrid IDS bruger b\u00e5de signaturbaseret detektion og anomalibaseret detektion. Det g\u00f8r det muligt at opdage et st\u00f8rre antal potentielle angreb med en lavere fejlprocent, end hvis begge systemer blev brugt hver for sig.<\/p>\n\n\n IDS-systemer og firewalls er cybersikkerhedsl\u00f8sninger, der kan implementeres for at beskytte et endpoint eller et netv\u00e6rk. Men der er stor forskel p\u00e5 deres form\u00e5l. Et IDS er en passiv overv\u00e5gningsenhed, der registrerer potentielle cybertrusler og genererer advarsler, s\u00e5 analytikere i en incident response SOC kan unders\u00f8ge og reagere p\u00e5 den potentielle h\u00e6ndelse. Det giver dog ikke absolut beskyttelse af slutpunktet eller netv\u00e6rket. P\u00e5 den anden side er en firewall designet til at fungere som et beskyttelsessystem, der analyserer netv\u00e6rkspakkernes metadata og tillader eller blokerer trafik baseret p\u00e5 foruddefinerede regler, hvilket skaber en gr\u00e6nse for, at visse typer trafik eller protokoller ikke kan passere.<\/p>\n\n\n\n Med andre ord er en firewall en aktiv beskyttelsesenhed, mere som et system til forebyggelse af indtr\u00e6ngen (IPS). Et IPS er som et IDS, bortset fra at det aktivt blokerer identificerede cybertrusler i stedet for blot at udsende en advarsel. IDS supplerer funktionaliteten i en firewall, og mange Next-Generation Firewalls (NGFWs) har indbyggede IDS\/IPS-funktioner, som g\u00f8r det muligt at anvende foruddefinerede filtreringsregler og opdage og reagere p\u00e5 mere sofistikerede cybertrusler (IDS\/IPS).<\/p>\n\n\n Det er den l\u00f8sning, der tager udgangspunkt i et match med m\u00f8nstre, s\u00e5 systemet er i stand til at opdage dem automatisk og udsende en advarsel. Nogle eksempler er Snort, Suricata, Ossec, Samhain, Bro eller Kismet. Alle disse systemer er baseret p\u00e5 regler, som skal forudkonfigureres til at fungere automatisk og uden overv\u00e5gning. Det er ogs\u00e5 vigtigt at huske, at de vil v\u00e6re lige s\u00e5 effektive, som deres databaser over kendte trusler er opdateret.<\/p>\n\n\n Et IDS-system er en komponent, der skal v\u00e6re til stede i enhver organisations cybersikkerhedsimplementering. En simpel firewall udg\u00f8r grundlaget for netv\u00e6rkssikkerhed, men mange avancerede cybertrusler kan g\u00e5 ubem\u00e6rket hen. Et IDS tilf\u00f8jer en ekstra linje af cyberforsvar, som g\u00f8r det vanskeligt for en cyberangriber at f\u00e5 adgang til en organisations netv\u00e6rk uden at blive opdaget.<\/p>\n\n\n\n N\u00e5r man v\u00e6lger et IDS, er det vigtigt at overveje implementeringsscenariet. I nogle tilf\u00e6lde kan et intrusion detection system v\u00e6re den bedste l\u00f8sning til opgaven, mens den indbyggede beskyttelse i en IPS kan v\u00e6re en bedre l\u00f8sning i andre tilf\u00e6lde. En NGFW med integrerede IDS\/IPS-funktioner giver en integreret l\u00f8sning og forenkler registrering af cybertrusler og sikkerhedsstyring.<\/p>\n\n\n\nIDS-detekteringsmetoder<\/strong><\/h2>\n\n\n
IDS og firewalls<\/strong><\/h2>\n\n\n
Regelbaseret IDS<\/strong><\/h2>\n\n\n
Hvordan v\u00e6lger man en IDS-l\u00f8sning?<\/strong><\/h2>\n\n\n