Tehnici de învățare automată aplicate la securitatea cibernetică a calculatoarelor

Se aude mult despre inteligența artificială, în special despre una dintre cele mai proeminente ramuri ale acesteia, cum ar fi "Machine Learning". Cu toate acestea, inteligența artificială nu este nouă; ea a fost cu noi încă de la sfârșitul anilor '50, când oamenii de știință s-au întâlnit în Darthmoud și au inventat termenul în 1956. Astăzi, influența sa a atins multiple sectoare și domenii, printre altele: sectorul auto, energia, industria, sectorul bancar, sănătatea, apărarea cibernetică și securitatea cibernetică.

Machine Learning constă în crearea de modele sau algoritmi care să analizeze datele, să învețe din ele și să prezică posibilul lor comportament în timp sau în situații estimate. Din aceste motive, industria securității cibernetice nu a fost imună la creșterea, difuzarea și instalarea tehnicilor de îmbunătățire a securității informatice, utilizând modele și tehnici de învățare automată, care permit un răspuns mai adecvat în conformitate cu cerințele actuale. Aceste practici îmbunătățesc și permit o analiză a amenințărilor și promit să fie mai eficiente în stoparea sau prevenirea incidentelor de securitate. În prezent, găsim mai multe aplicații ale inteligenței artificiale, prin Machine Learning, în securitatea cibernetică informatică, printre care: detectarea fraudelor cu carduri bancare, detectarea intruziunilor, clasificarea programelor malware și detectarea atacurilor de tip denial of service, de exemplu. Enumerați câteva dintre ele.

Este incontestabil că apariția internetului a adus numeroase avantaje și îmbunătățiri ale condițiilor de viață pentru mulți oameni. De exemplu, munca la distanță și educația virtuală sunt două domenii sau sectoare care au beneficiat de instrumente și platforme pentru a lucra de acasă sau pentru a studia fără a fi cufundați în problemele haotice și constante ale transportului și ale insecurității. ale marilor noastre orașe.

Învățarea automată și comerțul electronic

Un alt sector care a beneficiat de dezvoltarea și masificarea internetului a fost, fără îndoială, comerțul electronic. Companiile au fost cufundate în necesitatea de a crea noi medii și strategii de comunicare cu clienții lor, care să le permită să obțină volumul de vânzări necesar pentru a îmbunătăți profiturile; Din motive de acest gen, comerțul electronic este un instrument neprețuit pentru departamentul de vânzări al companiilor. Dar, pe de altă parte, așa cum beneficiile și avantajele utilizării internetului au crescut în multiple instrumente, platforme, site-uri de consultare, portaluri financiare și bancare etc., la fel de adevărat este că au crescut și riscurile, amenințările și posibilitățile de intruziune, din partea unor persoane fără scrupule și rău intenționate.

Extinderea și dezvoltarea accelerată a comunicațiilor, masificarea dispozitivelor mobile și inteligente, precum și progresul în tehnologii precum internetul obiectelor (IoT) au sporit importanța și complexitatea acestora; știința datelor are aici opțiunea de a optimiza mecanismele de analiză a cerințelor în sistemele informatice și de a genera o opțiune mai bună împotriva diferitelor tipuri de riscuri de securitate care există în prezent.

Pe de altă parte, atacurile și intruziunile în sistemele informatice, site-urile web și aplicațiile continuă să crească în frecvență, ceea ce face esențială utilizarea mecanismelor autonome pentru a preveni deteriorarea sau pierderea de informații. Securitatea datelor de afaceri, a datelor personale și a aplicațiilor critice pentru misiune sunt aspecte pe care organizațiile trebuie să le evite cu orice preț care sunt compromise. Aici intervine evoluția și îmbunătățirea constantă a tehnicilor de învățare automată, deoarece acestea iau în considerare date istorice sau actuale, cu intenția de a face predicții sau proiecții ale unui anumit interval de date sau în anumite perioade de timp, pentru a putea stabili similitudini, în ceea ce privește modelele sau caracteristicile comportamentului.

Trebuie luat în considerare faptul că, datorită învățării automate, un sistem informatic poate localiza comportamente ciudate și situații anormale în cantități mari de date, cunoscute sub numele de modele. Machine Learning detectează situațiile neobișnuite care doresc să se infiltreze în rețeaua unui sistem. Putem găsi două soluții posibile: IDS euristic și IDS bazat pe reguli.

Heuristic IDS

IDS este sistemul de detectare a intruziunilor responsabil pentru monitorizarea traficului de intrare și de ieșire al unui site web și pentru înregistrarea comportamentului acestuia. Acesta permite supravegherea care detectează activitățile suspecte și generează alerte la detectare. Pe baza acestor alerte, un analist al centrului de operațiuni de securitate (SOC) sau un respondent la incidente poate investiga problema și lua măsurile adecvate pentru a corecta amenințarea. IDS sunt concepute pentru a fi implementate în medii diferite. Și, la fel ca multe alte soluții de securitate cibernetică, un IDS poate fi bazat pe gazdă sau pe rețea. Acum, să aflăm mai multe despre diferitele tipuri de IDS.

Host-Based IDS (HIDS): Un HIDS este implementat pe un anumit punct final conceput pentru a proteja împotriva amenințărilor interne și externe. Acest tip de IDS poate fi capabil să monitorizeze traficul de rețea de intrare și de ieșire al computerului, să observe procesele care rulează și să inspecteze jurnalele sistemului. Vizibilitatea unui HIDS este limitată la computerul gazdă, ceea ce reduce contextul pentru luarea deciziilor. Totuși, acesta are o vizibilitate profundă asupra componentelor interne ale computerului gazdă.

IDS bazat pe rețea (NIDS): Un NIDS este conceput pentru a monitoriza o întreagă rețea protejată. Acesta are vizibilitate asupra întregului trafic care circulă prin rețea și face determinări pe baza metadatelor și a conținutului pachetelor. Această viziune mai largă oferă un context mai larg și capacitatea de a detecta amenințările generalizate. Cu toate acestea, aceste sisteme nu au vizibilitate asupra componentelor interne ale punctelor finale pe care le protejează. Se recomandă o soluție unificată de gestionare a amenințărilor, care integrează tehnologiile într-un singur sistem pentru a oferi o securitate mai cuprinzătoare. Din cauza nivelurilor diferite de vizibilitate, implementarea unui HIDS sau NIDS izolat oferă o protecție incompletă a sistemului de amenințări pentru o organizație.

Metode de detectare IDS

Soluțiile IDS diferă în modul în care identifică potențialele intruziuni:

Detectarea semnăturii - Soluțiile sistemului de detectare a intruziunilor bazate pe semnături utilizează amprentele amenințărilor informatice cunoscute pentru a le identifica. Odată ce malware-ul sau alt conținut rău intenționat este identificat, se generează o semnătură care este adăugată la lista utilizată de soluția IDS pentru a analiza conținutul primit. Acest lucru permite unui IDS să atingă o rată ridicată de detectare a amenințărilor fără fals pozitive, deoarece toate alertele sunt generate pe baza detectării conținutului rău intenționat cunoscut. Cu toate acestea, un IDS bazat pe semnături este limitat la detectarea amenințărilor informatice cunoscute și nu detectează vulnerabilitățile.

Detectarea anomaliilor - Soluțiile sistemelor de detectare a intruziunilor bazate pe anomalii creează un model al comportamentului "normal" al sistemului protejat. Toate comportamentele viitoare sunt verificate în raport cu acest model, iar orice anomalie este etichetată ca amenințare cibernetică potențială și declanșează alerte. Deși această abordare poate detecta noi amenințări cibernetice, dificultatea de a crea un model precis al comportamentului "normal" înseamnă că aceste sisteme trebuie să echilibreze falsul pozitiv cu falsul negativ.

Detecție hibridă - Un IDS hibrid utilizează atât detectarea bazată pe semnături, cât și detectarea bazată pe anomalii. Acest lucru îi permite să detecteze un număr mai mare de atacuri potențiale cu o rată de eroare mai mică decât în cazul în care fiecare sistem ar fi utilizat în mod izolat.

IDS și firewall-uri

Sistemele IDS și Firewall-urile sunt soluții de securitate cibernetică care pot fi implementate pentru a proteja un Endpoint sau o rețea. Cu toate acestea, ele diferă semnificativ în ceea ce privește scopurile lor. Un IDS este un dispozitiv de monitorizare pasivă care detectează potențiale amenințări cibernetice și generează alerte, permițând analiștilor dintr-un SOC de răspuns la incidente să investigheze și să răspundă la potențialul incident. Cu toate acestea, nu oferă protecție absolută pentru punctul terminal sau rețea. Pe de altă parte, un Firewall este conceput pentru a acționa ca un sistem de protecție care analizează metadatele pachetelor de rețea și permite sau blochează traficul pe baza unor reguli predefinite, ceea ce creează o limită pe care anumite tipuri de trafic sau protocoale nu o pot trece.

Cu alte cuvinte, un firewall este un dispozitiv de protecție activă, mai mult ca un sistem de prevenire a intruziunilor (IPS). Un IPS este ca un IDS, cu excepția faptului că blochează în mod activ amenințările cibernetice identificate, în loc să alerteze pur și simplu. IDS completează funcționalitatea unui firewall, iar multe firewall-uri de ultimă generație (NGFW) au încorporate capabilități IDS/IPS, permițând aplicarea unor reguli de filtrare predefinite și detectând și răspunzând la amenințări cibernetice mai sofisticate (IDS/IPS).

IDS bazat pe reguli

Este soluția care pornește de la o potrivire cu modele, astfel încât sistemul este capabil să le detecteze automat și să lanseze un avertisment. Câteva exemple sunt Snort, Suricata, Ossec, Samhain, Bro sau Kismet. Toate aceste sisteme se bazează pe reguli care trebuie pre-configurate pentru a funcționa automat și fără supraveghere. De asemenea, este important să rețineți că acestea vor fi la fel de eficiente pe măsură ce bazele lor de date privind amenințările cunoscute sunt actualizate.

Cum să alegeți o soluție IDS?

Un sistem IDS este o componentă care trebuie să fie prezentă în implementarea securității cibernetice a oricărei organizații. Un simplu firewall oferă baza pentru securitatea rețelei, dar multe amenințări cibernetice avansate pot trece neobservate. Un IDS adaugă o linie suplimentară de apărare cibernetică, făcând dificilă pentru un atacator cibernetic accesul nedetectat la rețeaua unei organizații.

Atunci când alegeți un IDS, este important să luați în considerare scenariul de implementare. În unele cazuri, un sistem de detectare a intruziunilor poate fi cea mai bună opțiune, în timp ce în altele, protecția integrată a unui IPS poate fi o opțiune mai bună. Un NGFW cu funcționalități IDS/IPS integrate oferă o soluție integrată și simplifică detectarea amenințărilor informatice și gestionarea securității.

În concluzie

Atacurile cibernetice nu încetează să apară, iar companiile trebuie să pună în aplicare diferite măsuri de securitate pentru a garanta integritatea și disponibilitatea informațiilor și funcționarea corectă a întregului sistem. Printre aceste măsuri de securitate care pot fi adoptate se numără sistemul de detectare a intruziunilor. De multe ori, printre instrumentele de securitate pe care le utilizează o companie, găsim sisteme mixte care combină un IDS cu un Firewall.

Deși ambele sisteme monitorizează și analizează rețeaua și dispozitivele pentru a detecta amenințări cibernetice anormale, principala diferență dintre un IDS și un IPS este că acesta din urmă poate bloca atacurile, având un rol preventiv și proactiv.

În ceea ce privește firewall-ul, acesta blochează tot traficul, filtrând numai traficul sau pachetele de date permise în configurația sa. Un IDS face opusul; el lasă să treacă tot traficul, scanându-l pentru a detecta date sau activități rău intenționate. Prin urmare, IDS și firewall-ul trebuie să funcționeze împreună, al doilea filtrând traficul permis, iar primul analizându-l pentru a detecta amenințări sau anomalii.