Machine Learning-technieken toegepast op computer cyberbeveiliging

We horen veel over Kunstmatige Intelligentie, vooral over een van de meest prominente takken ervan, zoals "Machine Learning". Kunstmatige intelligentie is echter niet nieuw; het bestaat al sinds het einde van de jaren '50, toen wetenschappers elkaar ontmoetten in Darthmoud en de term in 1956 bedachten. Vandaag de dag heeft de invloed ervan meerdere sectoren en gebieden bereikt, waaronder: de automobielsector, energie, industrie, de banksector, gezondheid, cyberverdediging en cyberbeveiliging.

Machine Learning consists of creating models or algorithms to analyze data, learn from it, and predict its possible behavior in time or estimated situations. For these reasons, the cybersecurity industry has not been immune to the growth, dissemination, and installation of techniques to improve computer security, using Machine Learning models and techniques, which allow a more adequate response in line with current requirements. These practices improve and enable an analysis of threats and promise to be more effective in stopping or preventing security incidents. Currently, we find several applications of artificial intelligence, through Machine Learning, in computer cybersecurity, among them: the detection of bank card fraud, intrusion detection, malware classification, and detection of denial of service attacks, for example. List some of them.

Het valt niet te ontkennen dat de komst van het internet veel voordelen en verbeteringen in de levensomstandigheden van veel mensen heeft opgeleverd. Telewerken en virtueel onderwijs zijn bijvoorbeeld twee gebieden of sectoren die hebben geprofiteerd van de tools en platforms om thuis te werken of te studeren zonder ondergedompeld te worden in de chaotische en constante problemen van transport en onveiligheid. Van onze grote steden.

Machine Learning en e-commerce

Een andere sector die heeft geprofiteerd van de ontwikkeling en massificatie van het internet is ongetwijfeld de elektronische handel. Bedrijven zijn ondergedompeld in de noodzaak om nieuwe media en communicatiestrategieën met hun klanten te creëren, die hen in staat stellen om het noodzakelijke verkoopvolume te verkrijgen om de winst te verbeteren; om deze redenen is e-commerce een hulpmiddel van onschatbare waarde voor de verkoopafdeling van bedrijven. Maar, aan de andere kant, net zoals de voordelen van het gebruik van het internet zijn toegenomen in de vele tools, platformen, overlegsites, financiële en bankportalen, etc., is het ook waar dat de risico's, bedreigingen en mogelijkheden van inbraak door gewetenloze en kwaadwillende mensen zijn toegenomen.

De uitbreiding en versnelde ontwikkeling in communicatie, de massificatie van mobiele en intelligente apparaten en de vooruitgang in technologieën zoals het Internet of Things (IoT) hebben het belang en de complexiteit ervan vergroot; het is daar waar gegevenswetenschap staat met een optie om de mechanismen voor de analyse van vereisten in computersystemen te optimaliseren en een betere optie te genereren tegen de verschillende soorten beveiligingsrisico's die vandaag de dag bestaan.

Aan de andere kant blijven aanvallen en inbraken in computersystemen, websites en applicaties steeds vaker voorkomen, waardoor het essentieel is om autonome mechanismen te gebruiken om schade aan of verlies van informatie te voorkomen. De beveiliging van bedrijfsgegevens, persoonlijke gegevens en bedrijfskritische toepassingen zijn aspecten die organisaties koste wat het kost moeten vermijden dat ze in gevaar komen. Dit is waar de constante evolutie en verbetering in machine-learningtechnieken in beeld komen, omdat ze historische of actuele gegevens in overweging nemen, met de bedoeling om voorspellingen of projecties te maken van een bepaald bereik van gegevens, of in bepaalde tijdsperioden, om in staat te zijn overeenkomsten vast te stellen, in relatie tot patronen of gedragskenmerken.

Er moet rekening mee worden gehouden dat een computersysteem dankzij machine learning vreemd gedrag en afwijkende situaties kan vinden in grote hoeveelheden gegevens, die bekend staan als patronen. Machine Learning detecteert ongebruikelijke situaties die het netwerk van een systeem willen infiltreren. We kunnen twee mogelijke oplossingen vinden: Heuristische IDS en regelgebaseerde IDS.

Heuristisch IDS

Het IDS is het inbraakdetectiesysteem dat verantwoordelijk is voor het monitoren van inkomend en uitgaand verkeer van een website en het vastleggen van het gedrag ervan. Het maakt toezicht mogelijk dat verdachte activiteiten detecteert en genereert waarschuwingen bij detectie. Op basis van deze waarschuwingen kan een SOC-analist (Security Operations Center) of incidentresponder het probleem onderzoeken en de juiste actie ondernemen om de bedreiging te corrigeren. IDS zijn ontworpen om in verschillende omgevingen te worden ingezet. En net als veel andere cyberbeveiligingsoplossingen kan een IDS gebaseerd zijn op een host of een netwerk. Laten we nu wat meer leren over de verschillende soorten IDS.

Hostgebaseerde IDS (HIDS): Een HIDS wordt ingezet op een bepaald eindpunt om bescherming te bieden tegen interne en externe bedreigingen. Dit type IDS kan in staat zijn om het inkomende en uitgaande netwerkverkeer van de computer te monitoren, draaiende processen te observeren en systeemlogs te inspecteren. Het zicht van een HIDS is beperkt tot de hostcomputer, wat de context voor het nemen van beslissingen verkleint. Toch heeft het diep inzicht in de interne componenten van de hostcomputer.

Netwerkgebaseerde IDS (NIDS): Een NIDS is ontworpen om een volledig beschermd netwerk te monitoren. Het heeft zicht op al het verkeer dat door het netwerk stroomt en maakt beslissingen op basis van de metadata en inhoud van de pakketten. Dit bredere overzicht biedt meer context en de mogelijkheid om alomtegenwoordige bedreigingen te detecteren. Deze systemen hebben echter geen zicht op de interne componenten van de endpoints die ze beschermen. Een geïntegreerde oplossing voor bedreigingsbeheer wordt aanbevolen, waarbij technologieën in één systeem worden geïntegreerd om een uitgebreidere beveiliging te bieden. Door de verschillende niveaus van zichtbaarheid biedt het implementeren van een geïsoleerde HIDS of NIDS een onvolledige bescherming van het bedreigingssysteem voor een organisatie.

IDS-detectiemethoden

IDS-oplossingen verschillen in de manier waarop ze potentiële inbraken identificeren:

Handtekeningdetectie - Oplossingen voor inbraakdetectiesystemen op basis van handtekeningen gebruiken vingerafdrukken van bekende cyberbedreigingen om ze te identificeren. Zodra malware of andere schadelijke inhoud is geïdentificeerd, wordt een handtekening gegenereerd en toegevoegd aan de lijst die door de IDS-oplossing wordt gebruikt om inkomende inhoud te scannen. Hierdoor kan een IDS een hoge detectiegraad van bedreigingen bereiken zonder valse meldingen, omdat alle waarschuwingen worden gegenereerd op basis van de detectie van bekende schadelijke inhoud. Een IDS op basis van handtekeningen is echter beperkt tot het detecteren van bekende cyberdreigingen en detecteert geen kwetsbaarheden.

Anomaliedetectie - Oplossingen voor inbraakdetectiesystemen op basis van anomalieën creëren een model van het "normale" gedrag van het beveiligde systeem. Al het toekomstige gedrag wordt gecontroleerd aan de hand van dit model en afwijkingen worden aangemerkt als potentiële cyberdreigingen en leiden tot waarschuwingen. Hoewel deze aanpak nieuwe cyberbedreigingen kan detecteren, betekent de moeilijkheid om een nauwkeurig model van "normaal" gedrag te maken dat deze systemen een evenwicht moeten vinden tussen valse positieven en valse negatieven.

Hybride detectie - Een hybride IDS gebruikt zowel detectie op basis van handtekeningen als detectie op basis van anomalieën. Hierdoor kan een groter aantal potentiële aanvallen worden gedetecteerd met een lagere foutmarge dan wanneer beide systemen afzonderlijk worden gebruikt.

IDS en firewalls

IDS-systemen en Firewalls zijn cyberbeveiligingsoplossingen die kunnen worden geïmplementeerd om een Endpoint of een netwerk te beschermen. Ze verschillen echter aanzienlijk in hun doelen. Een IDS is een passief bewakingsapparaat dat potentiële cyberbedreigingen detecteert en waarschuwingen genereert, zodat analisten in een incident response SOC het potentiële incident kunnen onderzoeken en erop kunnen reageren. Het biedt echter geen absolute bescherming voor het eindpunt of het netwerk. Aan de andere kant is een firewall ontworpen om te fungeren als een beschermingssysteem dat de metadata van netwerkpakketten analyseert en verkeer toestaat of blokkeert op basis van vooraf gedefinieerde regels, waardoor een limiet wordt gecreëerd die bepaalde soorten verkeer of protocollen niet kunnen passeren.

Met andere woorden, een firewall is een actief beschermingsapparaat, meer zoals een intrusion prevention system (IPS). Een IPS lijkt op een IDS, maar blokkeert actief geïdentificeerde cyberbedreigingen in plaats van alleen maar te waarschuwen. IDS vult de functionaliteit van een firewall aan, en veel next-generation firewalls (NGFW's) hebben IDS/IPS-mogelijkheden ingebouwd, waarmee vooraf gedefinieerde filterregels kunnen worden toegepast en waarmee meer geavanceerde cyberbedreigingen kunnen worden gedetecteerd en hierop kan worden gereageerd (IDS/IPS).

Regelgebaseerde IDS

Het is de oplossing die uitgaat van een match met patronen zodat het systeem in staat is deze automatisch te detecteren en een waarschuwing te lanceren. Enkele voorbeelden zijn Snort, Suricata, Ossec, Samhain, Bro of Kismet. Al deze systemen zijn gebaseerd op regels die vooraf geconfigureerd moeten worden om automatisch en zonder toezicht te werken. Het is ook belangrijk om te onthouden dat ze zo effectief zijn als hun databases met bekende bedreigingen worden bijgewerkt.

Hoe kies je een IDS-oplossing?

Een IDS-systeem is een onderdeel dat aanwezig moet zijn in de cyberbeveiligingsimplementatie van elke organisatie. Een eenvoudige firewall vormt de basis voor netwerkbeveiliging, maar veel geavanceerde cyberbedreigingen kunnen onopgemerkt blijven. Een IDS voegt een extra verdedigingslinie toe, waardoor het voor een cyberaanvaller moeilijk wordt om ongemerkt toegang te krijgen tot het netwerk van een organisatie.

Bij het kiezen van een IDS is het belangrijk om rekening te houden met het inzetscenario. In sommige gevallen kan een inbraakdetectiesysteem de beste optie zijn, terwijl in andere gevallen de ingebouwde bescherming van een IPS een betere optie is. Een NGFW met geïntegreerde IDS/IPS-functies biedt een geïntegreerde oplossing en vereenvoudigt de detectie van cyberbedreigingen en het beveiligingsbeheer.

Conclusie

Cyberaanvallen stoppen niet en bedrijven moeten verschillende beveiligingsmaatregelen implementeren om de integriteit en beschikbaarheid van informatie en het correct functioneren van het hele systeem te garanderen. Onder de beveiligingsmaatregelen die kunnen worden genomen, vinden we het inbraakdetectiesysteem. Onder de beveiligingstools die een bedrijf gebruikt, vinden we vaak gemengde systemen die een IDS combineren met een firewall.

Hoewel beide systemen het netwerk en de apparaten bewaken en analyseren op afwijkende cyberbedreigingen, is het belangrijkste verschil tussen een IDS en een IPS dat de laatste aanvallen kan blokkeren omdat het een preventieve en proactieve rol heeft.

De firewall blokkeert al het verkeer en filtert alleen dat verkeer of die gegevenspakketten die in de configuratie zijn toegestaan. Een IDS doet het tegenovergestelde; het laat al het verkeer door en scant het op kwaadaardige gegevens of activiteiten. Daarom moeten het IDS en de firewall samenwerken, waarbij de tweede het toegestane verkeer filtert en de eerste het analyseert op bedreigingen of afwijkingen.