Gépi tanulási technikák alkalmazása a számítógépes kiberbiztonságban

Sokat hallani a mesterséges intelligenciáról, különösen annak egyik legkiemelkedőbb ágáról, mint például a “gépi tanulásról”. Azonban a mesterséges intelligencia nem új keletű; az 50-es évek végén van velünk, amikor a tudósok Darthmoudban találkoztak, és 1956-ban megalkották a kifejezést. Ma már hatása számos szektorra és területre kiterjedt, többek között: az autóiparra, az energiára, az iparra, a bankszektorra, az egészségügyre, a kiberbiztonságra és a kiberbiztonságra.

A gépi tanulás modellek vagy algoritmusok létrehozásából áll, amelyek elemzik az adatokat, tanulnak belőlük, és előrejelzik azok lehetséges viselkedését az időben vagy becsült helyzetekben. Emiatt a kiberbiztonsági ipar sem maradt mentes a technikák növekedésétől, terjesztésétől és telepítésétől a számítógépes biztonság javítása érdekében, gépi tanulási modellek és technikák alkalmazásával, amelyek lehetővé teszik a jelenlegi követelményeknek megfelelőbb választ. Ezek a gyakorlatok javítják és lehetővé teszik a fenyegetések elemzését, és ígéretesen hatékonyabbak a biztonsági incidensek megállításában vagy megelőzésében. Jelenleg számos alkalmazást találunk a mesterséges intelligencia terén, a gépi tanulás révén, a számítógépes kiberbiztonságban, többek között: a bankkártya-csalások észlelése, a behatolásérzékelés, a rosszindulatú programok osztályozása és a szolgáltatásmegtagadási támadások észlelése. Sorolj fel néhányat közülük.

Tagadhatatlan, hogy az internet megjelenése számos előnyt és javulást hozott sok ember életkörülményeiben. Például a távmunka és a virtuális oktatás két olyan terület vagy szektor, amely hasznot húzott az otthoni munkavégzéshez vagy tanuláshoz szükséges eszközökből és platformokból, anélkül, hogy elmerülnének a nagyvárosaink közlekedési és biztonsági problémáinak káoszában és állandóságában.

Gépi tanulás és e-kereskedelem

Egy másik szektor, amely kétségtelenül hasznot húzott az internet fejlődéséből és elterjedéséből, az elektronikus kereskedelem. A vállalatoknak szükségük van új média- és kommunikációs stratégiák kidolgozására ügyfeleikkel, amelyek lehetővé teszik számukra, hogy megszerezzék a szükséges értékesítési volument a nyereség javítása érdekében; Ilyen okok miatt az e-kereskedelem felbecsülhetetlen eszköz a vállalatok értékesítési osztálya számára. Másrészt, ahogy az internet használatának előnyei és előnyei növekedtek számos eszközben, platformon, konzultációs oldalon, pénzügyi és banki portálon stb., az is igaz, hogy a kockázatok, fenyegetések és lehetőségek is növekedtek a behatolásokra, gátlástalan és rosszindulatú emberek által.

A kommunikáció terjedése és gyors fejlődése, a mobil és intelligens eszközök elterjedése, valamint az olyan technológiák fejlődése, mint az Internet of Things (IoT), növelték jelentőségüket és összetettségüket; itt áll a helyzet, ahol az adattudomány lehetőséget kínál a számítógépes rendszerek követelmény-elemzési mechanizmusainak optimalizálására, és jobb lehetőséget generál a mai biztonsági kockázatok különböző típusai ellen.

Másrészt a számítógépes rendszerek, webhelyek és alkalmazások elleni támadások és behatolások egyre gyakrabban növekednek, ami szükségessé teszi az autonóm mechanizmusok alkalmazását a károk vagy az információvesztés megelőzése érdekében. Az üzleti adatok, személyes adatok és küldetéskritikus alkalmazások biztonsága olyan szempontok, amelyeket a szervezeteknek minden áron el kell kerülniük, hogy veszélybe kerüljenek. Itt jön képbe a gépi tanulási technikák folyamatos fejlődése és javítása, mivel figyelembe veszik a történelmi vagy aktuális adatokat, azzal a céllal, hogy előrejelzéseket vagy vetítéseket készítsenek egy bizonyos adatkörre, vagy bizonyos időszakokra, hogy hasonlóságokat állapíthassanak meg, a viselkedési minták vagy jellemzők tekintetében.

Figyelembe kell venni, hogy a gépi tanulásnak köszönhetően egy számítógépes rendszer képes furcsa viselkedéseket és rendellenes helyzeteket lokalizálni nagy mennyiségű adatban, amelyeket mintáknak neveznek. A gépi tanulás észleli azokat a szokatlan helyzeteket, amelyek be akarnak szivárogni egy rendszerhálózatba. Két lehetséges megoldást találhatunk: Heurisztikus IDS és szabályalapú IDS.

Heurisztikus IDS

Az IDS a behatolásérzékelő rendszer, amely felelős egy webhely bejövő és kiemelt forgalmának figyeléséért és viselkedésének rögzítéséért. Lehetővé teszi a felügyeletet, amely észleli a gyanús tevékenységeket, és riasztásokat generál az észleléskor. Ezek alapján a riasztások alapján egy biztonsági műveleti központ (SOC) elemzője vagy incidensreagálója kivizsgálhatja a problémát, és megteheti a megfelelő intézkedéseket a fenyegetés elhárítására. Az IDS-eket különböző környezetekben való telepítésre tervezték. És mint sok kiberbiztonsági megoldás, az IDS lehet gazdaalapú vagy hálózatalapú. Most ismerjük meg egy kicsit jobban az IDS különböző típusait.

Gazdaalapú IDS (HIDS): A HIDS egy adott végpontnál van telepítve, amelyet belső és külső fenyegetések elleni védelemre terveztek. Ez a fajta IDS képes lehet a számítógép bejövő és kimenő hálózati forgalmának figyelésére, a futó folyamatok megfigyelésére és a rendszer naplóinak ellenőrzésére. A HIDS láthatósága a gazdaszámítógépre korlátozódik, ami csökkenti a döntéshozatal kontextusát. Ennek ellenére mély betekintést nyújt a gazdaszámítógép belső összetevőibe.

Hálózatalapú IDS (NIDS): A NIDS-t egy teljes védett hálózat figyelésére tervezték. Láthatósággal rendelkezik a hálózaton áramló összes forgalomra, és a csomagok metaadatai és tartalma alapján hoz döntéseket. Ez a szélesebb körű nézet nagyobb kontextust biztosít, és lehetőséget ad az átható fenyegetések észlelésére. Ezek a rendszerek azonban nem látnak bele az általuk védett végpontok belső összetevőibe. Egy egységes fenyegetéskezelési megoldás ajánlott, amely integrálja a technológiákat egyetlen rendszerbe, hogy átfogóbb biztonságot nyújtson. A különböző szintű láthatóság miatt egy elkülönített HIDS vagy NIDS megvalósítása hiányos védelmet nyújt a szervezet fenyegetési rendszerének.

IDS észlelési módszerek

Az IDS megoldások különböznek abban, ahogyan azonosítják a potenciális behatolásokat:

Aláírás alapú észlelés – Az aláírás alapú behatolásérzékelő rendszer megoldások ismert kiberfenyegetések ujjlenyomatait használják azok azonosítására. Miután a rosszindulatú programokat vagy más rosszindulatú tartalmat azonosították, aláírást generálnak, és hozzáadják az IDS megoldás által a bejövő tartalom átvizsgálására használt listához. Ez lehetővé teszi az IDS számára, hogy magas fenyegetésészlelési arányt érjen el hamis pozitívok nélkül, mivel minden riasztás az ismert rosszindulatú tartalom észlelésén alapul. Az aláírás alapú IDS azonban csak az ismert kiberfenyegetések észlelésére korlátozódik, és nem képes észlelni a sebezhetőségeket.

Anomália alapú észlelés – Az anomália alapú behatolásérzékelő rendszer megoldások létrehoznak egy modellt a védett rendszer “normális” viselkedéséről. Minden jövőbeli viselkedést összehasonlítanak ezzel a modellel, és minden anomáliát potenciális kiberfenyegetésként címkéznek meg, és riasztásokat váltanak ki. Bár ez a megközelítés képes új kiberfenyegetések észlelésére, a “normális” viselkedés pontos modelljének létrehozásának nehézsége azt jelenti, hogy ezeknek a rendszereknek egyensúlyt kell találniuk a hamis pozitív és a hamis negatív eredmények között.

Hibrid észlelés – A hibrid IDS mind az aláírás alapú, mind az anomália alapú észlelést használja. Ez lehetővé teszi számára, hogy több potenciális támadást észleljen alacsonyabb hibaaránnyal, mintha bármelyik rendszert önállóan használnák.

IDS és tűzfalak

Az IDS rendszerek és a tűzfalak kiberbiztonsági megoldások, amelyeket egy végpont vagy hálózat védelmére lehet bevezetni. Azonban jelentősen különböznek céljaikban. Az IDS egy passzív megfigyelő eszköz, amely észleli a potenciális kiberfenyegetéseket, és riasztásokat generál, lehetővé téve az incidensreagáló SOC elemzőinek, hogy kivizsgálják és reagáljanak a potenciális incidensre. Azonban nem nyújt abszolút védelmet a végpont vagy a hálózat számára. Másrészt a tűzfalat úgy tervezték, hogy védelmi rendszerként működjön, amely elemzi a hálózati csomagok metaadatait, és előre meghatározott szabályok alapján engedélyezi vagy blokkolja a forgalmat, ami korlátot hoz létre, amelyet bizonyos típusú forgalom vagy protokollok nem léphetnek át.

Más szavakkal, a tűzfal egy aktív védelmi eszköz, inkább egy behatolásmegelőző rendszerhez (IPS) hasonlít. Az IPS olyan, mint egy IDS, kivéve, hogy aktívan blokkolja az azonosított kiberfenyegetéseket, ahelyett, hogy egyszerűen riasztást adna. Az IDS kiegészíti a tűzfal funkcionalitását, és sok következő generációs tűzfal (NGFW) beépített IDS/IPS képességekkel rendelkezik, lehetővé téve az előre meghatározott szűrési szabályok alkalmazását, valamint a kifinomultabb kiberfenyegetések észlelését és kezelését (IDS/IPS).

Szabályalapú IDS

Ez a megoldás a mintákkal való egyezésből indul ki, hogy a rendszer képes legyen automatikusan észlelni azokat, és figyelmeztetést indítson. Néhány példa: Snort, Suricata, Ossec, Samhain, Bro vagy Kismet. Mindezek a rendszerek szabályokon alapulnak, amelyeket előre kell konfigurálni ahhoz, hogy automatikusan és felügyelet nélkül működjenek. Fontos megjegyezni azt is, hogy annyira hatékonyak lesznek, amennyire az ismert fenyegetésekről szóló adatbázisaik frissítettek.

Hogyan válasszunk IDS megoldást?

Az IDS rendszer olyan komponens, amelynek jelen kell lennie bármely szervezet kiberbiztonsági megvalósításában. Egy egyszerű tűzfal biztosítja a hálózati biztonság alapját, de sok fejlett kiberfenyegetés észrevétlen maradhat. Az IDS egy további kiberbiztonsági vonalat ad, megnehezítve a kiber támadók számára, hogy észrevétlenül hozzáférjenek a szervezet hálózatához.

Az IDS kiválasztásakor fontos figyelembe venni a telepítési forgatókönyvet. Bizonyos esetekben egy behatolásérzékelő rendszer lehet a legjobb megoldás a feladatra, míg más esetekben az IPS beépített védelme lehet a jobb megoldás. Egy NGFW integrált IDS/IPS funkciókkal integrált megoldást nyújt, és egyszerűsíti a kiberfenyegetések észlelését és a biztonság kezelését.

Conclusion

A kibertámadások nem szűnnek meg, és a vállalatoknak különböző biztonsági intézkedéseket kell bevezetniük az információk integritásának és elérhetőségének, valamint az egész rendszer megfelelő működésének biztosítása érdekében. Az elfogadható biztonsági intézkedések között szerepel a behatolásérzékelő rendszer. Sokszor a vállalat által használt biztonsági eszközök között találunk vegyes rendszereket, amelyek egy IDS-t kombinálnak egy tűzfallal.

Bár mindkét rendszer figyeli és elemzi a hálózatot és az eszközöket az anomális kiberfenyegetések szempontjából, az IDS és az IPS közötti fő különbség az, hogy az utóbbi képes blokkolni a támadásokat, mivel megelőző és proaktív szerepet tölt be.

Ami a tűzfalat illeti, az blokkolja az összes forgalmat, csak azt a forgalmat vagy adatcsomagokat szűri, amelyeket a konfigurációjában engedélyeztek. Az IDS ezzel ellentétesen működik; minden forgalmat átenged, és átvizsgálja azt rosszindulatú adatok vagy tevékenységek után kutatva. Ezért az IDS-nek és a tűzfalnak együtt kell működnie, a másodiknak szűrnie kell az engedélyezett forgalmat, az elsőnek pedig elemeznie kell a fenyegetések vagy anomáliák szempontjából.