Se aude mult despre inteligen\u021ba artificial\u0103, \u00een special despre una dintre cele mai proeminente ramuri ale acesteia, cum ar fi \"Machine Learning\". Cu toate acestea, inteligen\u021ba artificial\u0103 nu este nou\u0103; ea a fost cu noi \u00eenc\u0103 de la sf\u00e2r\u0219itul anilor '50, c\u00e2nd oamenii de \u0219tiin\u021b\u0103 s-au \u00eent\u00e2lnit \u00een Darthmoud \u0219i au inventat termenul \u00een 1956. Ast\u0103zi, influen\u021ba sa a atins multiple sectoare \u0219i domenii, printre altele: sectorul auto, energia, industria, sectorul bancar, s\u0103n\u0103tatea, ap\u0103rarea cibernetic\u0103 \u0219i securitatea cibernetic\u0103.<\/p>\n\n\n\n
Machine Learning const\u0103 \u00een crearea de modele sau algoritmi care s\u0103 analizeze datele, s\u0103 \u00eenve\u021be din ele \u0219i s\u0103 prezic\u0103 posibilul lor comportament \u00een timp sau \u00een situa\u021bii estimate. Din aceste motive, industria securit\u0103\u021bii cibernetice nu a fost imun\u0103 la cre\u0219terea, difuzarea \u0219i instalarea tehnicilor de \u00eembun\u0103t\u0103\u021bire a securit\u0103\u021bii informatice, utiliz\u00e2nd modele \u0219i tehnici de \u00eenv\u0103\u021bare automat\u0103, care permit un r\u0103spuns mai adecvat \u00een conformitate cu cerin\u021bele actuale. Aceste practici \u00eembun\u0103t\u0103\u021besc \u0219i permit o analiz\u0103 a amenin\u021b\u0103rilor \u0219i promit s\u0103 fie mai eficiente \u00een stoparea sau prevenirea incidentelor de securitate. \u00cen prezent, g\u0103sim mai multe aplica\u021bii ale inteligen\u021bei artificiale, prin Machine Learning, \u00een securitatea cibernetic\u0103 informatic\u0103, printre care: detectarea fraudelor cu carduri bancare, detectarea intruziunilor, clasificarea programelor malware \u0219i detectarea atacurilor de tip denial of service, de exemplu. Enumera\u021bi c\u00e2teva dintre ele.<\/p>\n\n\n\n
Este incontestabil c\u0103 apari\u021bia internetului a adus numeroase avantaje \u0219i \u00eembun\u0103t\u0103\u021biri ale condi\u021biilor de via\u021b\u0103 pentru mul\u021bi oameni. De exemplu, munca la distan\u021b\u0103 \u0219i educa\u021bia virtual\u0103 sunt dou\u0103 domenii sau sectoare care au beneficiat de instrumente \u0219i platforme pentru a lucra de acas\u0103 sau pentru a studia f\u0103r\u0103 a fi cufunda\u021bi \u00een problemele haotice \u0219i constante ale transportului \u0219i ale insecurit\u0103\u021bii. ale marilor noastre ora\u0219e.<\/p>\n\n\n
Un alt sector care a beneficiat de dezvoltarea \u0219i masificarea internetului a fost, f\u0103r\u0103 \u00eendoial\u0103, comer\u021bul electronic. Companiile au fost cufundate \u00een necesitatea de a crea noi medii \u0219i strategii de comunicare cu clien\u021bii lor, care s\u0103 le permit\u0103 s\u0103 ob\u021bin\u0103 volumul de v\u00e2nz\u0103ri necesar pentru a \u00eembun\u0103t\u0103\u021bi profiturile; Din motive de acest gen, comer\u021bul electronic este un instrument nepre\u021buit pentru departamentul de v\u00e2nz\u0103ri al companiilor. Dar, pe de alt\u0103 parte, a\u0219a cum beneficiile \u0219i avantajele utiliz\u0103rii internetului au crescut \u00een multiple instrumente, platforme, site-uri de consultare, portaluri financiare \u0219i bancare etc., la fel de adev\u0103rat este c\u0103 au crescut \u0219i riscurile, amenin\u021b\u0103rile \u0219i posibilit\u0103\u021bile de intruziune, din partea unor persoane f\u0103r\u0103 scrupule \u0219i r\u0103u inten\u021bionate.<\/p>\n\n\n\n
Extinderea \u0219i dezvoltarea accelerat\u0103 a comunica\u021biilor, masificarea dispozitivelor mobile \u0219i inteligente, precum \u0219i progresul \u00een tehnologii precum internetul obiectelor (IoT) au sporit importan\u021ba \u0219i complexitatea acestora; \u0219tiin\u021ba datelor are aici op\u021biunea de a optimiza mecanismele de analiz\u0103 a cerin\u021belor \u00een sistemele informatice \u0219i de a genera o op\u021biune mai bun\u0103 \u00eempotriva diferitelor tipuri de riscuri de securitate care exist\u0103 \u00een prezent.<\/p>\n\n\n\n
Pe de alt\u0103 parte, atacurile \u0219i intruziunile \u00een sistemele informatice, site-urile web \u0219i aplica\u021biile continu\u0103 s\u0103 creasc\u0103 \u00een frecven\u021b\u0103, ceea ce face esen\u021bial\u0103 utilizarea mecanismelor autonome pentru a preveni deteriorarea sau pierderea de informa\u021bii. Securitatea datelor de afaceri, a datelor personale \u0219i a aplica\u021biilor critice pentru misiune sunt aspecte pe care organiza\u021biile trebuie s\u0103 le evite cu orice pre\u021b care sunt compromise. Aici intervine evolu\u021bia \u0219i \u00eembun\u0103t\u0103\u021birea constant\u0103 a tehnicilor de \u00eenv\u0103\u021bare automat\u0103, deoarece acestea iau \u00een considerare date istorice sau actuale, cu inten\u021bia de a face predic\u021bii sau proiec\u021bii ale unui anumit interval de date sau \u00een anumite perioade de timp, pentru a putea stabili similitudini, \u00een ceea ce prive\u0219te modelele sau caracteristicile comportamentului. <\/p>\n\n\n\n
Trebuie luat \u00een considerare faptul c\u0103, datorit\u0103 \u00eenv\u0103\u021b\u0103rii automate, un sistem informatic poate localiza comportamente ciudate \u0219i situa\u021bii anormale \u00een cantit\u0103\u021bi mari de date, cunoscute sub numele de modele. Machine Learning detecteaz\u0103 situa\u021biile neobi\u0219nuite care doresc s\u0103 se infiltreze \u00een re\u021beaua unui sistem. Putem g\u0103si dou\u0103 solu\u021bii posibile: IDS euristic \u0219i IDS bazat pe reguli.<\/p>\n\n\n
IDS este sistemul de detectare a intruziunilor responsabil pentru monitorizarea traficului de intrare \u0219i de ie\u0219ire al unui site web \u0219i pentru \u00eenregistrarea comportamentului acestuia. Acesta permite supravegherea care detecteaz\u0103 activit\u0103\u021bile suspecte \u0219i genereaz\u0103 alerte la detectare. Pe baza acestor alerte, un analist al centrului de opera\u021biuni de securitate (SOC) sau un respondent la incidente poate investiga problema \u0219i lua m\u0103surile adecvate pentru a corecta amenin\u021barea. IDS sunt concepute pentru a fi implementate \u00een medii diferite. \u0218i, la fel ca multe alte solu\u021bii de securitate cibernetic\u0103, un IDS poate fi bazat pe gazd\u0103 sau pe re\u021bea. Acum, s\u0103 afl\u0103m mai multe despre diferitele tipuri de IDS.<\/p>\n\n\n\n
IDS bazat pe gazd\u0103 (HIDS):<\/strong> Un HIDS este implementat pe un anumit punct final conceput pentru a proteja \u00eempotriva amenin\u021b\u0103rilor interne \u0219i externe. Acest tip de IDS poate fi capabil s\u0103 monitorizeze traficul de re\u021bea de intrare \u0219i de ie\u0219ire al computerului, s\u0103 observe procesele care ruleaz\u0103 \u0219i s\u0103 inspecteze jurnalele sistemului. Vizibilitatea unui HIDS este limitat\u0103 la computerul gazd\u0103, ceea ce reduce contextul pentru luarea deciziilor. Totu\u0219i, acesta are o vizibilitate profund\u0103 asupra componentelor interne ale computerului gazd\u0103.<\/p>\n\n\n\n IDS bazat pe re\u021bea (NIDS):<\/strong> Un NIDS este conceput pentru a monitoriza o \u00eentreag\u0103 re\u021bea protejat\u0103. Acesta are vizibilitate asupra \u00eentregului trafic care circul\u0103 prin re\u021bea \u0219i face determin\u0103ri pe baza metadatelor \u0219i a con\u021binutului pachetelor. Aceast\u0103 viziune mai larg\u0103 ofer\u0103 un context mai larg \u0219i capacitatea de a detecta amenin\u021b\u0103rile generalizate. Cu toate acestea, aceste sisteme nu au vizibilitate asupra componentelor interne ale punctelor finale pe care le protejeaz\u0103. Se recomand\u0103 o solu\u021bie unificat\u0103 de gestionare a amenin\u021b\u0103rilor, care integreaz\u0103 tehnologiile \u00eentr-un singur sistem pentru a oferi o securitate mai cuprinz\u0103toare. Din cauza nivelurilor diferite de vizibilitate, implementarea unui HIDS sau NIDS izolat ofer\u0103 o protec\u021bie incomplet\u0103 a sistemului de amenin\u021b\u0103ri pentru o organiza\u021bie.<\/p>\n\n\n Solu\u021biile IDS difer\u0103 \u00een modul \u00een care identific\u0103 poten\u021bialele intruziuni:<\/p>\n\n\n\n Detectarea semn\u0103turii -<\/strong> Solu\u021biile sistemului de detectare a intruziunilor bazate pe semn\u0103turi utilizeaz\u0103 amprentele amenin\u021b\u0103rilor informatice cunoscute pentru a le identifica. Odat\u0103 ce malware-ul sau alt con\u021binut r\u0103u inten\u021bionat este identificat, se genereaz\u0103 o semn\u0103tur\u0103 care este ad\u0103ugat\u0103 la lista utilizat\u0103 de solu\u021bia IDS pentru a analiza con\u021binutul primit. Acest lucru permite unui IDS s\u0103 ating\u0103 o rat\u0103 ridicat\u0103 de detectare a amenin\u021b\u0103rilor f\u0103r\u0103 fals pozitive, deoarece toate alertele sunt generate pe baza detect\u0103rii con\u021binutului r\u0103u inten\u021bionat cunoscut. Cu toate acestea, un IDS bazat pe semn\u0103turi este limitat la detectarea amenin\u021b\u0103rilor informatice cunoscute \u0219i nu detecteaz\u0103 vulnerabilit\u0103\u021bile.<\/p>\n\n\n\n Detectarea anomaliilor -<\/strong> Solu\u021biile sistemelor de detectare a intruziunilor bazate pe anomalii creeaz\u0103 un model al comportamentului \"normal\" al sistemului protejat. Toate comportamentele viitoare sunt verificate \u00een raport cu acest model, iar orice anomalie este etichetat\u0103 ca amenin\u021bare cibernetic\u0103 poten\u021bial\u0103 \u0219i declan\u0219eaz\u0103 alerte. De\u0219i aceast\u0103 abordare poate detecta noi amenin\u021b\u0103ri cibernetice, dificultatea de a crea un model precis al comportamentului \"normal\" \u00eenseamn\u0103 c\u0103 aceste sisteme trebuie s\u0103 echilibreze falsul pozitiv cu falsul negativ.<\/p>\n\n\n\n Detec\u021bie hibrid\u0103 -<\/strong> Un IDS hibrid utilizeaz\u0103 at\u00e2t detectarea bazat\u0103 pe semn\u0103turi, c\u00e2t \u0219i detectarea bazat\u0103 pe anomalii. Acest lucru \u00eei permite s\u0103 detecteze un num\u0103r mai mare de atacuri poten\u021biale cu o rat\u0103 de eroare mai mic\u0103 dec\u00e2t \u00een cazul \u00een care fiecare sistem ar fi utilizat \u00een mod izolat.<\/p>\n\n\n Sistemele IDS \u0219i Firewall-urile sunt solu\u021bii de securitate cibernetic\u0103 care pot fi implementate pentru a proteja un Endpoint sau o re\u021bea. Cu toate acestea, ele difer\u0103 semnificativ \u00een ceea ce prive\u0219te scopurile lor. Un IDS este un dispozitiv de monitorizare pasiv\u0103 care detecteaz\u0103 poten\u021biale amenin\u021b\u0103ri cibernetice \u0219i genereaz\u0103 alerte, permi\u021b\u00e2nd anali\u0219tilor dintr-un SOC de r\u0103spuns la incidente s\u0103 investigheze \u0219i s\u0103 r\u0103spund\u0103 la poten\u021bialul incident. Cu toate acestea, nu ofer\u0103 protec\u021bie absolut\u0103 pentru punctul terminal sau re\u021bea. Pe de alt\u0103 parte, un Firewall este conceput pentru a ac\u021biona ca un sistem de protec\u021bie care analizeaz\u0103 metadatele pachetelor de re\u021bea \u0219i permite sau blocheaz\u0103 traficul pe baza unor reguli predefinite, ceea ce creeaz\u0103 o limit\u0103 pe care anumite tipuri de trafic sau protocoale nu o pot trece.<\/p>\n\n\n\n Cu alte cuvinte, un firewall este un dispozitiv de protec\u021bie activ\u0103, mai mult ca un sistem de prevenire a intruziunilor (IPS). Un IPS este ca un IDS, cu excep\u021bia faptului c\u0103 blocheaz\u0103 \u00een mod activ amenin\u021b\u0103rile cibernetice identificate, \u00een loc s\u0103 alerteze pur \u0219i simplu. IDS completeaz\u0103 func\u021bionalitatea unui firewall, iar multe firewall-uri de ultim\u0103 genera\u021bie (NGFW) au \u00eencorporate capabilit\u0103\u021bi IDS\/IPS, permi\u021b\u00e2nd aplicarea unor reguli de filtrare predefinite \u0219i detect\u00e2nd \u0219i r\u0103spunz\u00e2nd la amenin\u021b\u0103ri cibernetice mai sofisticate (IDS\/IPS).<\/p>\n\n\n Este solu\u021bia care porne\u0219te de la o potrivire cu modele, astfel \u00eenc\u00e2t sistemul este capabil s\u0103 le detecteze automat \u0219i s\u0103 lanseze un avertisment. C\u00e2teva exemple sunt Snort, Suricata, Ossec, Samhain, Bro sau Kismet. Toate aceste sisteme se bazeaz\u0103 pe reguli care trebuie pre-configurate pentru a func\u021biona automat \u0219i f\u0103r\u0103 supraveghere. De asemenea, este important s\u0103 re\u021bine\u021bi c\u0103 acestea vor fi la fel de eficiente pe m\u0103sur\u0103 ce bazele lor de date privind amenin\u021b\u0103rile cunoscute sunt actualizate.<\/p>\n\n\n Un sistem IDS este o component\u0103 care trebuie s\u0103 fie prezent\u0103 \u00een implementarea securit\u0103\u021bii cibernetice a oric\u0103rei organiza\u021bii. Un simplu firewall ofer\u0103 baza pentru securitatea re\u021belei, dar multe amenin\u021b\u0103ri cibernetice avansate pot trece neobservate. Un IDS adaug\u0103 o linie suplimentar\u0103 de ap\u0103rare cibernetic\u0103, f\u0103c\u00e2nd dificil\u0103 pentru un atacator cibernetic accesul nedetectat la re\u021beaua unei organiza\u021bii.<\/p>\n\n\n\n Atunci c\u00e2nd alege\u021bi un IDS, este important s\u0103 lua\u021bi \u00een considerare scenariul de implementare. \u00cen unele cazuri, un sistem de detectare a intruziunilor poate fi cea mai bun\u0103 op\u021biune, \u00een timp ce \u00een altele, protec\u021bia integrat\u0103 a unui IPS poate fi o op\u021biune mai bun\u0103. Un NGFW cu func\u021bionalit\u0103\u021bi IDS\/IPS integrate ofer\u0103 o solu\u021bie integrat\u0103 \u0219i simplific\u0103 detectarea amenin\u021b\u0103rilor informatice \u0219i gestionarea securit\u0103\u021bii.<\/p>\n\n\n\nMetode de detectare IDS<\/strong><\/h2>\n\n\n
IDS \u0219i firewall-uri<\/strong><\/h2>\n\n\n
IDS bazat pe reguli<\/strong><\/h2>\n\n\n
Cum s\u0103 alege\u021bi o solu\u021bie IDS?<\/strong><\/h2>\n\n\n