Det talas mycket om artificiell intelligens, s\u00e4rskilt en av dess mest framtr\u00e4dande grenar, till exempel \"maskininl\u00e4rning\". Artificiell intelligens \u00e4r dock inte n\u00e5got nytt; det har funnits med oss sedan slutet av 50-talet d\u00e5 forskare tr\u00e4ffades i Darthmoud och myntade termen 1956. Idag har dess inflytande n\u00e5tt flera sektorer och omr\u00e5den, bland annat: fordonssektorn, energi, industri, banksektorn, h\u00e4lsa, cyberf\u00f6rsvar och cybers\u00e4kerhet.<\/p>\n\n\n\n
Maskininl\u00e4rning best\u00e5r av att skapa modeller eller algoritmer f\u00f6r att analysera data, l\u00e4ra av dem och f\u00f6ruts\u00e4ga deras m\u00f6jliga beteende i tid eller uppskattade situationer. Av dessa sk\u00e4l har cybers\u00e4kerhetsindustrin inte varit immun mot tillv\u00e4xt, spridning och installation av tekniker f\u00f6r att f\u00f6rb\u00e4ttra dators\u00e4kerheten med hj\u00e4lp av modeller och tekniker f\u00f6r maskininl\u00e4rning, vilket m\u00f6jligg\u00f6r en mer adekvat respons i linje med nuvarande krav. Dessa metoder f\u00f6rb\u00e4ttrar och m\u00f6jligg\u00f6r en analys av hot och lovar att vara mer effektiva n\u00e4r det g\u00e4ller att stoppa eller f\u00f6rebygga s\u00e4kerhetsincidenter. F\u00f6r n\u00e4rvarande finns det flera till\u00e4mpningar av artificiell intelligens, genom maskininl\u00e4rning, inom cybers\u00e4kerhet, bland annat f\u00f6r att uppt\u00e4cka bankkortsbedr\u00e4gerier, uppt\u00e4cka intr\u00e5ng, klassificera skadlig kod och uppt\u00e4cka \u00f6verbelastningsattacker. Lista n\u00e5gra av dem.<\/p>\n\n\n\n
Det g\u00e5r inte att f\u00f6rneka att Internet har inneburit m\u00e5nga f\u00f6rdelar och f\u00f6rb\u00e4ttrade levnadsvillkor f\u00f6r m\u00e5nga m\u00e4nniskor. Till exempel \u00e4r distansarbete och virtuell utbildning tv\u00e5 omr\u00e5den eller sektorer som har dragit nytta av verktygen och plattformarna f\u00f6r att arbeta hemma eller studera utan att vara neds\u00e4nkt i de kaotiska och st\u00e4ndiga problemen med transporter och os\u00e4kerhet. I v\u00e5ra storst\u00e4der.<\/p>\n\n\n
En annan sektor som har dragit nytta av utvecklingen och massifieringen av Internet \u00e4r utan tvekan den elektroniska handeln. F\u00f6retagen har varit neds\u00e4nkta i behovet av att skapa nya medier och kommunikationsstrategier med sina kunder, vilket g\u00f6r det m\u00f6jligt f\u00f6r dem att f\u00e5 den n\u00f6dv\u00e4ndiga f\u00f6rs\u00e4ljningsvolymen f\u00f6r att f\u00f6rb\u00e4ttra vinsten; Av sk\u00e4l som detta \u00e4r e-handel ett ov\u00e4rderligt verktyg f\u00f6r f\u00f6retagens f\u00f6rs\u00e4ljningsavdelning. Men \u00e5 andra sidan, precis som nyttan och f\u00f6rdelarna med att anv\u00e4nda Internet har \u00f6kat i form av flera verktyg, plattformar, konsultationswebbplatser, finans- och bankportaler etc., \u00e4r det ocks\u00e5 sant att riskerna, hoten och m\u00f6jligheterna har \u00f6kat f\u00f6r intr\u00e5ng av skrupelfria och illasinnade m\u00e4nniskor.<\/p>\n\n\n\n
Expansionen och den accelererande utvecklingen inom kommunikation, massifieringen av mobila och intelligenta enheter och utvecklingen av teknik som Internet of Things (IoT) har \u00f6kat deras betydelse och komplexitet; det \u00e4r d\u00e4r datavetenskapen st\u00e5r med en m\u00f6jlighet att optimera mekanismerna f\u00f6r kravanalys i datorsystem och skapa ett b\u00e4ttre alternativ mot de olika typer av s\u00e4kerhetsrisker som finns idag.<\/p>\n\n\n\n
\u00c5 andra sidan forts\u00e4tter attacker och intr\u00e5ng i datorsystem, webbplatser och applikationer att \u00f6ka i frekvens, vilket g\u00f6r det viktigt att anv\u00e4nda autonoma mekanismer f\u00f6r att f\u00f6rhindra skador eller f\u00f6rlust av information. S\u00e4kerheten f\u00f6r aff\u00e4rsdata, personuppgifter och uppdragskritiska applikationer \u00e4r aspekter som organisationer till varje pris m\u00e5ste undvika att \u00e4ventyras. Det \u00e4r h\u00e4r den st\u00e4ndiga utvecklingen och f\u00f6rb\u00e4ttringen av maskininl\u00e4rningstekniker kommer in i bilden eftersom de tar h\u00e4nsyn till historiska eller aktuella data och avser att g\u00f6ra f\u00f6ruts\u00e4gelser eller prognoser f\u00f6r ett visst dataomr\u00e5de eller under vissa tidsperioder f\u00f6r att kunna fastst\u00e4lla likheter i f\u00f6rh\u00e5llande till m\u00f6nster eller egenskaper hos beteenden. <\/p>\n\n\n\n
Man m\u00e5ste ta h\u00e4nsyn till att ett datorsystem tack vare maskininl\u00e4rning kan hitta konstiga beteenden och avvikande situationer i stora m\u00e4ngder data, s\u00e5 kallade m\u00f6nster. Maskininl\u00e4rning uppt\u00e4cker ovanliga situationer som vill infiltrera ett systemn\u00e4tverk. Vi kan hitta tv\u00e5 m\u00f6jliga l\u00f6sningar: Heuristisk IDS och regelbaserad IDS.<\/p>\n\n\n
IDS \u00e4r ett intr\u00e5ngsdetekteringssystem som ansvarar f\u00f6r att \u00f6vervaka en webbplats inkommande och utvalda trafik och registrera dess beteende. Det till\u00e5ter \u00f6vervakning som uppt\u00e4cker misst\u00e4nkta aktiviteter och genererar varningar vid uppt\u00e4ckt. Baserat p\u00e5 dessa varningar kan en analytiker p\u00e5 ett s\u00e4kerhetsoperationscenter (SOC) eller en incidenthanterare unders\u00f6ka problemet och vidta l\u00e4mpliga \u00e5tg\u00e4rder f\u00f6r att korrigera hotet. IDS \u00e4r utformade f\u00f6r att anv\u00e4ndas i olika milj\u00f6er. Och precis som m\u00e5nga andra cybers\u00e4kerhetsl\u00f6sningar kan en IDS vara v\u00e4rdbaserad eller n\u00e4tverksbaserad. L\u00e5t oss nu l\u00e4ra oss lite mer om de olika typerna av IDS.<\/p>\n\n\n\n
V\u00e4rdbaserad IDS (HIDS):<\/strong> En HIDS installeras p\u00e5 en viss slutpunkt och \u00e4r utformad f\u00f6r att skydda mot interna och externa hot. Den h\u00e4r typen av IDS kan \u00f6vervaka datorns inkommande och utg\u00e5ende n\u00e4tverkstrafik, observera processer som k\u00f6rs och inspektera systemloggar. Synligheten f\u00f6r en HIDS \u00e4r begr\u00e4nsad till v\u00e4rddatorn, vilket minskar kontexten f\u00f6r beslutsfattande. Den har dock djup insyn i v\u00e4rddatorns interna komponenter.<\/p>\n\n\n\n N\u00e4tverksbaserat IDS (NIDS):<\/strong> En NIDS \u00e4r utformad f\u00f6r att \u00f6vervaka ett helt skyddat n\u00e4tverk. Den har insyn i all trafik som fl\u00f6dar genom n\u00e4tverket och g\u00f6r bed\u00f6mningar baserat p\u00e5 paketens metadata och inneh\u00e5ll. Denna bredare vy ger ett st\u00f6rre sammanhang och m\u00f6jlighet att uppt\u00e4cka genomgripande hot. Dessa system saknar dock insyn i de interna komponenterna i de endpoints som de skyddar. En l\u00f6sning f\u00f6r enhetlig hothantering rekommenderas, d\u00e4r teknik integreras i ett enda system f\u00f6r att ge mer helt\u00e4ckande s\u00e4kerhet. P\u00e5 grund av de olika niv\u00e5erna av insyn ger implementering av ett isolerat HIDS eller NIDS ett ofullst\u00e4ndigt skydd av hotsystemet f\u00f6r en organisation.<\/p>\n\n\n IDS-l\u00f6sningar skiljer sig \u00e5t n\u00e4r det g\u00e4ller hur de identifierar potentiella intr\u00e5ng:<\/p>\n\n\n\n Detektering av signaturer -<\/strong> Signaturbaserade l\u00f6sningar f\u00f6r intr\u00e5ngsdetektering anv\u00e4nder fingeravtryck fr\u00e5n k\u00e4nda cyberhot f\u00f6r att identifiera dem. N\u00e4r skadlig kod eller annat skadligt inneh\u00e5ll har identifierats genereras en signatur som l\u00e4ggs till i den lista som IDS-l\u00f6sningen anv\u00e4nder f\u00f6r att skanna inkommande inneh\u00e5ll. P\u00e5 s\u00e5 s\u00e4tt kan en IDS uppn\u00e5 en h\u00f6g detekteringsgrad av hot utan falska positiva resultat, eftersom alla varningar genereras baserat p\u00e5 att k\u00e4nt skadligt inneh\u00e5ll uppt\u00e4cks. Ett signaturbaserat IDS \u00e4r dock begr\u00e4nsat till att uppt\u00e4cka k\u00e4nda cyberhot och uppt\u00e4cker inte s\u00e5rbarheter.<\/p>\n\n\n\n Uppt\u00e4ckt av avvikelser -<\/strong> Anomalibaserade systeml\u00f6sningar f\u00f6r intr\u00e5ngsdetektering skapar en modell av det \"normala\" beteendet hos det skyddade systemet. Allt framtida beteende kontrolleras mot denna modell och eventuella avvikelser markeras som potentiella cyberhot och utl\u00f6ser varningar. \u00c4ven om detta tillv\u00e4gag\u00e5ngss\u00e4tt kan uppt\u00e4cka nya cyberhot inneb\u00e4r sv\u00e5righeten att skapa en korrekt modell av \"normalt\" beteende att dessa system m\u00e5ste balansera falska positiva och falska negativa resultat.<\/p>\n\n\n\n Hybriddetektering<\/strong> Ett hybrid-IDS anv\u00e4nder b\u00e5de signaturbaserad detektering och anomalibaserad detektering. Detta g\u00f6r att den kan uppt\u00e4cka ett st\u00f6rre antal potentiella attacker med en l\u00e4gre felfrekvens \u00e4n om n\u00e5got av systemen anv\u00e4nds isolerat.<\/p>\n\n\n IDS-system och brandv\u00e4ggar \u00e4r cybers\u00e4kerhetsl\u00f6sningar som kan implementeras f\u00f6r att skydda en endpoint eller ett n\u00e4tverk. De skiljer sig dock avsev\u00e4rt \u00e5t n\u00e4r det g\u00e4ller deras syften. En IDS \u00e4r en passiv \u00f6vervakningsenhet som uppt\u00e4cker potentiella cyberhot och genererar varningar, vilket g\u00f6r det m\u00f6jligt f\u00f6r analytiker i en incidenthanteringsorganisation att unders\u00f6ka och reagera p\u00e5 den potentiella incidenten. Det ger dock inget absolut skydd f\u00f6r slutpunkten eller n\u00e4tverket. \u00c5 andra sidan \u00e4r en brandv\u00e4gg utformad f\u00f6r att fungera som ett skyddssystem som analyserar metadata f\u00f6r n\u00e4tverkspaket och till\u00e5ter eller blockerar trafik baserat p\u00e5 f\u00f6rdefinierade regler, vilket skapar en gr\u00e4ns som vissa typer av trafik eller protokoll inte kan passera.<\/p>\n\n\n\n Med andra ord \u00e4r en brandv\u00e4gg en aktiv skyddsenhet, mer lik ett intr\u00e5ngsskyddssystem (IPS). Ett IPS \u00e4r som ett IDS, f\u00f6rutom att det aktivt blockerar identifierade cyberhot ist\u00e4llet f\u00f6r att bara sl\u00e5 larm. IDS kompletterar funktionaliteten hos en brandv\u00e4gg och m\u00e5nga Next-Generation Firewalls (NGFWs) har inbyggda IDS\/IPS-funktioner som g\u00f6r det m\u00f6jligt att till\u00e4mpa f\u00f6rdefinierade filtreringsregler samt uppt\u00e4cka och reagera p\u00e5 mer sofistikerade cyberhot (IDS\/IPS).<\/p>\n\n\n Det \u00e4r en l\u00f6sning som utg\u00e5r fr\u00e5n en matchning med m\u00f6nster s\u00e5 att systemet kan uppt\u00e4cka dem automatiskt och skicka ut en varning. N\u00e5gra exempel \u00e4r Snort, Suricata, Ossec, Samhain, Bro eller Kismet. Alla dessa system bygger p\u00e5 regler som m\u00e5ste f\u00f6rkonfigureras f\u00f6r att fungera automatiskt och utan \u00f6vervakning. Det \u00e4r ocks\u00e5 viktigt att komma ih\u00e5g att de \u00e4r lika effektiva som deras databaser \u00f6ver k\u00e4nda hot uppdateras.<\/p>\n\n\n Ett IDS-system \u00e4r en komponent som m\u00e5ste finnas med i alla organisationers implementering av cybers\u00e4kerhet. En enkel brandv\u00e4gg utg\u00f6r grunden f\u00f6r n\u00e4tverkss\u00e4kerheten, men m\u00e5nga avancerade cyberhot kan g\u00e5 obem\u00e4rkta f\u00f6rbi. En IDS l\u00e4gger till ytterligare en linje av cyberf\u00f6rsvar, vilket g\u00f6r det sv\u00e5rt f\u00f6r en cyberangripare att f\u00e5 tillg\u00e5ng till en organisations n\u00e4tverk utan att uppt\u00e4ckas.<\/p>\n\n\n\n N\u00e4r du v\u00e4ljer ett IDS \u00e4r det viktigt att ta h\u00e4nsyn till drifts\u00e4ttningsscenariot. I vissa fall kan ett intr\u00e5ngsdetekteringssystem vara det b\u00e4sta alternativet f\u00f6r uppgiften, medan det inbyggda skyddet i ett IPS kan vara ett b\u00e4ttre alternativ i andra fall. En NGFW med integrerade IDS\/IPS-funktioner ger en integrerad l\u00f6sning och f\u00f6renklar uppt\u00e4ckt av cyberhot och s\u00e4kerhetshantering.<\/p>\n\n\n\nIDS-detekteringsmetoder<\/strong><\/h2>\n\n\n
IDS och brandv\u00e4ggar<\/strong><\/h2>\n\n\n
Regelbaserad IDS<\/strong><\/h2>\n\n\n
Hur v\u00e4ljer man en IDS-l\u00f6sning?<\/strong><\/h2>\n\n\n