เทคนิคการเรียนรู้ของเครื่องจักรที่นำมาใช้กับการรักษาความปลอดภัยทางไซเบอร์ของคอมพิวเตอร์

มีการพูดถึงปัญญาประดิษฐ์มากมาย โดยเฉพาะสาขาที่โดดเด่นที่สุดอย่างหนึ่ง เช่น “การเรียนรู้ของเครื่อง” อย่างไรก็ตาม ปัญญาประดิษฐ์ไม่ใช่เรื่องใหม่ มันอยู่กับเราตั้งแต่ปลายยุค 50 เมื่อเหล่านักวิทยาศาสตร์มาพบกันที่ดาร์ทเมาท์และบัญญัติศัพท์นี้ขึ้นในปี 1956 ปัจจุบัน อิทธิพลของมันได้เข้าถึงหลายภาคส่วนและพื้นที่ต่างๆ เช่น ภาคยานยนต์ พลังงาน อุตสาหกรรม ภาคการธนาคาร สุขภาพ การป้องกันทางไซเบอร์ และความปลอดภัยทางไซเบอร์.

การเรียนรู้ของเครื่องประกอบด้วยการสร้างโมเดลหรืออัลกอริทึมเพื่อวิเคราะห์ข้อมูล เรียนรู้จากมัน และทำนายพฤติกรรมที่เป็นไปได้ในเวลา หรือสถานการณ์ที่คาดการณ์ไว้ ด้วยเหตุผลเหล่านี้ อุตสาหกรรมความปลอดภัยทางไซเบอร์ไม่ได้รับการยกเว้นจากการเติบโต การเผยแพร่ และการติดตั้งเทคนิคเพื่อปรับปรุงความปลอดภัยของคอมพิวเตอร์ โดยใช้โมเดลและเทคนิคการเรียนรู้ของเครื่อง ซึ่งช่วยให้มีการตอบสนองที่เหมาะสมยิ่งขึ้นตามข้อกำหนดในปัจจุบัน แนวทางปฏิบัติเหล่านี้ช่วยปรับปรุงและทำให้สามารถวิเคราะห์ภัยคุกคามได้ดีขึ้น และสัญญาว่าจะมีประสิทธิภาพมากขึ้นในการหยุดหรือป้องกันเหตุการณ์ด้านความปลอดภัย ปัจจุบัน เราพบการประยุกต์ใช้ปัญญาประดิษฐ์หลายอย่าง ผ่านการเรียนรู้ของเครื่อง ในความปลอดภัยทางไซเบอร์ของคอมพิวเตอร์ เช่น การตรวจจับการฉ้อโกงบัตรธนาคาร การตรวจจับการบุกรุก การจำแนกมัลแวร์ และการตรวจจับการโจมตีแบบปฏิเสธการให้บริการ เป็นต้น ลองระบุบางส่วนของพวกเขา.

เป็นที่ปฏิเสธไม่ได้ว่าการปรากฏตัวของอินเทอร์เน็ตได้สร้างข้อได้เปรียบและการปรับปรุงในสภาพความเป็นอยู่ของผู้คนจำนวนมาก ตัวอย่างเช่น การทำงานทางไกลและการศึกษาเสมือนเป็นสองพื้นที่หรือภาคส่วนที่ได้รับประโยชน์จากเครื่องมือและแพลตฟอร์มในการทำงานที่บ้านหรือศึกษาโดยไม่ต้องจมอยู่ในปัญหาการขนส่งและความไม่ปลอดภัยที่วุ่นวายและต่อเนื่อง ของเมืองใหญ่ของเรา.

การเรียนรู้ของเครื่องและอีคอมเมิร์ซ

อีกภาคส่วนหนึ่งที่ได้รับประโยชน์จากการพัฒนาและการแพร่หลายของอินเทอร์เน็ตอย่างไม่ต้องสงสัยคือการค้าอิเล็กทรอนิกส์ บริษัทต่างๆ ได้จมอยู่ในความจำเป็นในการสร้างสื่อและกลยุทธ์การสื่อสารใหม่ๆ กับลูกค้าของตน ซึ่งช่วยให้พวกเขาได้รับปริมาณการขายที่จำเป็นเพื่อปรับปรุงผลกำไร ด้วยเหตุผลเช่นนี้ อีคอมเมิร์ซจึงเป็นเครื่องมือที่ประเมินค่าไม่ได้สำหรับแผนกขายของบริษัท แต่ในทางกลับกัน เช่นเดียวกับที่ประโยชน์และข้อดีของการใช้อินเทอร์เน็ตได้เพิ่มขึ้นในเครื่องมือ แพลตฟอร์ม เว็บไซต์ให้คำปรึกษา พอร์ทัลการเงินและการธนาคาร ฯลฯ ก็เป็นความจริงเช่นกันว่าความเสี่ยง ภัยคุกคาม และความเป็นไปได้ในการบุกรุกได้เพิ่มขึ้น โดยผู้คนที่ไร้จรรยาบรรณและมีเจตนาร้าย.

การขยายตัวและการพัฒนาอย่างรวดเร็วในด้านการสื่อสาร การแพร่หลายของอุปกรณ์เคลื่อนที่และอุปกรณ์อัจฉริยะ และความก้าวหน้าในเทคโนโลยี เช่น อินเทอร์เน็ตของสรรพสิ่ง (IoT) ได้เพิ่มความสำคัญและความซับซ้อนของพวกเขา มันอยู่ที่นั่นที่วิทยาศาสตร์ข้อมูลยืนหยัดด้วยตัวเลือกในการเพิ่มประสิทธิภาพกลไกการวิเคราะห์ข้อกำหนดในระบบคอมพิวเตอร์และสร้างตัวเลือกที่ดีกว่าเพื่อต่อต้านความเสี่ยงด้านความปลอดภัยประเภทต่างๆ ที่มีอยู่ในปัจจุบัน.

ในทางกลับกัน การโจมตีและการบุกรุกระบบคอมพิวเตอร์ เว็บไซต์ และแอปพลิเคชันยังคงเพิ่มขึ้นบ่อยขึ้น ทำให้จำเป็นต้องใช้กลไกอัตโนมัติเพื่อป้องกันความเสียหายหรือการสูญหายของข้อมูล ความปลอดภัยของข้อมูลธุรกิจ ข้อมูลส่วนบุคคล และแอปพลิเคชันที่มีความสำคัญต่อภารกิจเป็นแง่มุมที่องค์กรต้องหลีกเลี่ยงไม่ให้ถูกบุกรุกในทุกกรณี นี่คือที่ที่การพัฒนาและการปรับปรุงอย่างต่อเนื่องในเทคนิคการเรียนรู้ของเครื่องเข้ามามีบทบาท เนื่องจากพวกเขาพิจารณาข้อมูลในอดีตหรือปัจจุบัน โดยมีจุดประสงค์เพื่อทำการคาดการณ์หรือการคาดคะเนของข้อมูลในช่วงหนึ่ง หรือในช่วงเวลาหนึ่ง เพื่อให้สามารถสร้างความคล้ายคลึงกันได้ เกี่ยวกับรูปแบบหรือคุณลักษณะของพฤติกรรม.

ต้องคำนึงว่าด้วยการเรียนรู้ของเครื่อง ระบบคอมพิวเตอร์สามารถระบุตำแหน่งพฤติกรรมแปลก ๆ และสถานการณ์ผิดปกติในข้อมูลจำนวนมากที่เรียกว่ารูปแบบ การเรียนรู้ของเครื่องตรวจจับสถานการณ์ที่ผิดปกติที่ต้องการแทรกซึมเข้าสู่เครือข่ายระบบ เราสามารถหาวิธีแก้ปัญหาที่เป็นไปได้สองวิธี: IDS แบบฮิวริสติกและ IDS ตามกฎ.

IDS แบบฮิวริสติก

IDS คือระบบตรวจจับการบุกรุกที่รับผิดชอบในการตรวจสอบการเข้าชมที่เข้ามาและการเข้าชมที่โดดเด่นของเว็บไซต์และบันทึกพฤติกรรมของมัน ช่วยให้มีการกำกับดูแลที่ตรวจจับกิจกรรมที่น่าสงสัยและสร้างการแจ้งเตือนเมื่อมีการตรวจพบ จากการแจ้งเตือนเหล่านี้ นักวิเคราะห์ศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) หรือผู้ตอบสนองต่อเหตุการณ์สามารถตรวจสอบปัญหาและดำเนินการที่เหมาะสมเพื่อแก้ไขภัยคุกคาม IDS ได้รับการออกแบบให้ปรับใช้ในสภาพแวดล้อมที่แตกต่างกัน และเช่นเดียวกับโซลูชันความปลอดภัยทางไซเบอร์หลายๆ อย่าง IDS สามารถอิงตามโฮสต์หรืออิงตามเครือข่ายได้ ตอนนี้ มาทำความรู้จักกับ IDS ประเภทต่างๆ กันอีกสักหน่อย.

IDS ที่อิงตามโฮสต์ (HIDS): HIDS ถูกปรับใช้บนปลายทางเฉพาะที่ออกแบบมาเพื่อป้องกันภัยคุกคามภายในและภายนอก IDS ประเภทนี้อาจสามารถตรวจสอบการรับส่งข้อมูลเครือข่ายขาเข้าและขาออกของคอมพิวเตอร์ สังเกตกระบวนการที่กำลังทำงานอยู่ และตรวจสอบบันทึกของระบบ การมองเห็นของ HIDS ถูกจำกัดไว้ที่คอมพิวเตอร์โฮสต์ ซึ่งลดบริบทสำหรับการตัดสินใจ แต่ก็มีการมองเห็นเชิงลึกในส่วนประกอบภายในของคอมพิวเตอร์โฮสต์.

IDS ที่อิงตามเครือข่าย (NIDS): NIDS ได้รับการออกแบบมาเพื่อตรวจสอบเครือข่ายที่ได้รับการป้องกันทั้งหมด มีการมองเห็นการรับส่งข้อมูลทั้งหมดที่ไหลผ่านเครือข่ายและทำการตัดสินใจตามเมตาดาทาและเนื้อหาของแพ็กเก็ต มุมมองที่กว้างขึ้นนี้ให้บริบทที่มากขึ้นและความสามารถในการตรวจจับภัยคุกคามที่แพร่หลาย อย่างไรก็ตาม ระบบเหล่านี้ขาดการมองเห็นในส่วนประกอบภายในของปลายทางที่พวกเขาปกป้อง ขอแนะนำให้ใช้โซลูชันการจัดการภัยคุกคามแบบครบวงจร ซึ่งรวมเทคโนโลยีเข้ากับระบบเดียวเพื่อให้มีความปลอดภัยที่ครอบคลุมมากขึ้น เนื่องจากระดับการมองเห็นที่แตกต่างกัน การใช้ HIDS หรือ NIDS แบบแยกกันให้การป้องกันระบบภัยคุกคามที่ไม่สมบูรณ์สำหรับองค์กร.

วิธีการตรวจจับ IDS

โซลูชัน IDS แตกต่างกันในวิธีที่พวกเขาระบุการบุกรุกที่อาจเกิดขึ้น:

การตรวจจับลายเซ็น – โซลูชันระบบตรวจจับการบุกรุกตามลายเซ็นใช้ลายนิ้วมือของภัยคุกคามทางไซเบอร์ที่รู้จักเพื่อระบุ เมื่อมัลแวร์หรือเนื้อหาที่เป็นอันตรายอื่น ๆ ถูกระบุ ลายเซ็นจะถูกสร้างขึ้นและเพิ่มในรายการที่ใช้โดยโซลูชัน IDS เพื่อสแกนเนื้อหาที่เข้ามา สิ่งนี้ทำให้ IDS สามารถบรรลุอัตราการตรวจจับภัยคุกคามสูงโดยไม่มีผลบวกลวง เนื่องจากการแจ้งเตือนทั้งหมดถูกสร้างขึ้นจากการตรวจจับเนื้อหาที่เป็นอันตรายที่รู้จัก อย่างไรก็ตาม IDS ที่อิงตามลายเซ็นมีข้อจำกัดในการตรวจจับภัยคุกคามทางไซเบอร์ที่รู้จักเท่านั้นและไม่สามารถตรวจจับช่องโหว่ได้.

การตรวจจับความผิดปกติ – โซลูชันระบบตรวจจับการบุกรุกตามความผิดปกติสร้างโมเดลของพฤติกรรม “ปกติ” ของระบบที่ได้รับการป้องกัน พฤติกรรมในอนาคตทั้งหมดจะถูกตรวจสอบกับโมเดลนี้ และความผิดปกติใด ๆ จะถูกแท็กว่าเป็นภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นและกระตุ้นการแจ้งเตือน แม้ว่าวิธีการนี้จะสามารถตรวจจับภัยคุกคามทางไซเบอร์ใหม่ ๆ ได้ แต่ความยากลำบากในการสร้างโมเดลพฤติกรรม “ปกติ” ที่ถูกต้องหมายความว่าระบบเหล่านี้ต้องสร้างสมดุลระหว่างผลบวกลวงกับผลลบลวง.

การตรวจจับแบบไฮบริด – IDS แบบไฮบริดใช้ทั้งการตรวจจับตามลายเซ็นและการตรวจจับตามความผิดปกติ สิ่งนี้ทำให้สามารถตรวจจับการโจมตีที่อาจเกิดขึ้นได้มากขึ้นด้วยอัตราความผิดพลาดที่ต่ำกว่าหากใช้ระบบใดระบบหนึ่งแยกกัน.

IDS และไฟร์วอลล์

ระบบ IDS และไฟร์วอลล์เป็นโซลูชันความปลอดภัยทางไซเบอร์ที่สามารถนำไปใช้เพื่อปกป้องปลายทางหรือเครือข่าย อย่างไรก็ตาม พวกเขาแตกต่างกันอย่างมากในวัตถุประสงค์ของพวกเขา IDS เป็นอุปกรณ์ตรวจสอบแบบพาสซีฟที่ตรวจจับภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นและสร้างการแจ้งเตือน ทำให้นักวิเคราะห์ใน SOC การตอบสนองต่อเหตุการณ์สามารถตรวจสอบและตอบสนองต่อเหตุการณ์ที่อาจเกิดขึ้นได้ อย่างไรก็ตาม มันไม่ได้ให้การป้องกันที่สมบูรณ์สำหรับปลายทางหรือเครือข่าย ในทางกลับกัน ไฟร์วอลล์ได้รับการออกแบบให้ทำหน้าที่เป็นระบบป้องกันที่วิเคราะห์เมตาดาทาของแพ็กเก็ตเครือข่ายและอนุญาตหรือบล็อกการรับส่งข้อมูลตามกฎที่กำหนดไว้ล่วงหน้า ซึ่งสร้างขีดจำกัดที่การรับส่งข้อมูลหรือโปรโตคอลบางประเภทไม่สามารถผ่านได้.

กล่าวอีกนัยหนึ่ง ไฟร์วอลล์เป็นอุปกรณ์ป้องกันแบบแอคทีฟ คล้ายกับระบบป้องกันการบุกรุก (IPS) IPS นั้นคล้ายกับ IDS ยกเว้นว่ามันบล็อกภัยคุกคามทางไซเบอร์ที่ระบุไว้อย่างจริงจังแทนที่จะเพียงแค่ยกระดับการแจ้งเตือน IDS ช่วยเสริมการทำงานของไฟร์วอลล์ และไฟร์วอลล์รุ่นถัดไป (NGFW) จำนวนมากมีความสามารถ IDS/IPS ในตัว ช่วยให้สามารถใช้กฎการกรองที่กำหนดไว้ล่วงหน้าและตรวจจับและตอบสนองต่อภัยคุกคามทางไซเบอร์ที่ซับซ้อนมากขึ้น (IDS/IPS).

IDS ตามกฎ

เป็นโซลูชันที่เริ่มต้นจากการจับคู่กับรูปแบบเพื่อให้ระบบสามารถตรวจจับได้โดยอัตโนมัติและเปิดตัวการเตือน ตัวอย่างบางส่วนได้แก่ Snort, Suricata, Ossec, Samhain, Bro หรือ Kismet ระบบเหล่านี้ทั้งหมดอิงตามกฎที่ต้องกำหนดค่าไว้ล่วงหน้าเพื่อให้ทำงานโดยอัตโนมัติและไม่มีการดูแล นอกจากนี้ยังเป็นสิ่งสำคัญที่จะต้องจำไว้ว่าพวกเขาจะมีประสิทธิภาพเท่ากับฐานข้อมูลของพวกเขาเกี่ยวกับภัยคุกคามที่รู้จักที่ได้รับการอัปเดต.

วิธีเลือกโซลูชัน IDS?

ระบบ IDS เป็นส่วนประกอบที่ต้องมีอยู่ในการดำเนินการด้านความปลอดภัยทางไซเบอร์ขององค์กรใด ๆ ไฟร์วอลล์ธรรมดาให้รากฐานสำหรับความปลอดภัยของเครือข่าย แต่ภัยคุกคามทางไซเบอร์ขั้นสูงจำนวนมากสามารถผ่านไปโดยไม่สังเกตเห็น IDS เพิ่มแนวป้องกันทางไซเบอร์เพิ่มเติม ทำให้ผู้โจมตีทางไซเบอร์เข้าถึงเครือข่ายขององค์กรได้ยากขึ้นโดยไม่ถูกตรวจพบ.

เมื่อเลือก IDS สิ่งสำคัญคือต้องพิจารณาสถานการณ์การปรับใช้ ในบางกรณี ระบบตรวจจับการบุกรุกอาจเป็นตัวเลือกที่ดีที่สุดสำหรับงาน ในขณะที่ในกรณีอื่น ๆ การป้องกันในตัวของ IPS อาจเป็นตัวเลือกที่ดีกว่า NGFW ที่มีฟังก์ชันการทำงานของ IDS/IPS ในตัวให้โซลูชันแบบบูรณาการและทำให้การตรวจจับภัยคุกคามทางไซเบอร์และการจัดการความปลอดภัยง่ายขึ้น.

บทสรุป

การโจมตีทางไซเบอร์ไม่หยุดเกิดขึ้น และบริษัทต่างๆ ต้องใช้มาตรการรักษาความปลอดภัยที่แตกต่างกันเพื่อรับประกันความสมบูรณ์และความพร้อมใช้งานของข้อมูลและการทำงานที่ถูกต้องของระบบทั้งหมด เรามีระบบตรวจจับการบุกรุกในบรรดามาตรการรักษาความปลอดภัยที่สามารถนำมาใช้ได้ หลายครั้งในบรรดาเครื่องมือรักษาความปลอดภัยที่บริษัทใช้ เราพบระบบผสมที่รวม IDS เข้ากับไฟร์วอลล์.

ในขณะที่ทั้งสองระบบตรวจสอบและวิเคราะห์เครือข่ายและอุปกรณ์เพื่อหาภัยคุกคามทางไซเบอร์ที่ผิดปกติ ความแตกต่างหลักระหว่าง IDS และ IPS คือระบบหลังสามารถบล็อกการโจมตีได้เนื่องจากมีบทบาทในการป้องกันและเชิงรุก.

เกี่ยวกับไฟร์วอลล์ มันบล็อกการรับส่งข้อมูลทั้งหมด โดยกรองเฉพาะการรับส่งข้อมูลหรือแพ็กเก็ตข้อมูลที่อนุญาตในการกำหนดค่าของมัน IDS ทำตรงกันข้าม มันปล่อยให้การรับส่งข้อมูลทั้งหมดผ่านไป โดยสแกนหาข้อมูลหรือกิจกรรมที่เป็นอันตราย ดังนั้น IDS และไฟร์วอลล์ต้องทำงานร่วมกัน โดยตัวที่สองกรองการรับส่งข้อมูลที่อนุญาตและตัวแรกวิเคราะห์หาภัยคุกคามหรือความผิดปกติ.