Niemal codziennie słyszymy o najnowszych osiągnięciach w dziedzinie sztucznej inteligencji i uczenia maszynowego. Aplikacje, urządzenia i oprogramowanie wykorzystujące takie rozwiązania otaczają nas wszędzie – prawdopodobnie każdy z nas korzysta z co najmniej 2-3 takich narzędzi. Wystarczy, że wspomnimy o filtrach antyspamowych, wyszukiwarkach internetowych, systemach rekomendujących produkty w sklepach online lub opcji rozpoznawania uśmiechu w aparatach fotograficznych.

Ze względu na rewolucję związaną z Internetem rzeczy (IoT), najróżniejsze inteligentne urządzenia próbują „opanować” nasz dom, np. inteligentne termostaty, wagi, oświetlenie itp. Jednak znacznie częściej czytamy o tym, jakim są one zagrożeniem dla ogólnego bezpieczeństwa, niż w jaki sposób przyczyniają się do jego poprawy. Konsumenci zachowują się podobnie, jak duże przedsiębiorstwa: obawiają się wdrożyć zautomatyzowane rozwiązania bezpieczeństwa. Dlaczego tak się dzieje?

Większość przedsiębiorstw woli zatrudnić większą liczbę specjalistów bezpieczeństwa IT zamiast zoptymalizować wdrożone już rozwiązania. Jednak w obliczu szybko rosnącej liczby alertów ta strategia równie szybko okazuje się niewystarczająca. Na szczęście, istnieje kilka obszarów w dziedzinie bezpieczeństwa IT, gdzie automatyzacja może skutecznie pomóc – jest to:

  • klasyfikacja i priorytetyzacja alarmów
  • identyfikacja fałszywie pozytywnych alarmów
  • zbieranie kontekstowych informacji o zdarzeniach
  • wstępne badanie i zmniejszenie czasu potrzebnego na diagnozę sytuacji

Idealnym do tego rozwiązaniem są narzędzia analizujące zachowania użytkownika (User Behaviour Analytics – tzw. UBA), które gromadzą dane z różnych źródeł – w tym z rejestrów zdarzeń z systemu operacyjnego, aplikacji, usług w chmurze, ścieżek audytu itp. Następnie budują profil poszczególnych użytkowników, który określa ich tradycyjne zachowania, a potem za pomocą różnych algorytmów uczenia maszynowego wychwytują odstępstwa od reguły. Działania te skutecznie ułatwiają pracę specjalistów bezpieczeństwa IT. Ale to, co najważniejsze dzieje się dopiero później. Na przykład, najnowsze rozwiązania technologiczne wykorzystywane w narzędziach do analizy zachowania użytkowników, po wykryciu niepokojącej aktywności, mogą wykonywać następujące czynności:

  • Wysyłać powiadomienia e-mail do zespołu bezpieczeństwa
  • Wysyłać powiadomienia e-mail do podejrzanego użytkownika z prośbą o potwierdzenie danej aktywności
  • Wymusić ponowne uwierzytelnianie użytkownika
  • Wymusić kontrolę z zachowaniem zasady „dwóch par oczu”
  • Rozpocząć rejestrowanie aktywności użytkownika
  • Wyłączyć konto użytkownika
  • Zablokować połączenie użytkownika z siecią

Trzeba zaznaczyć, że zautomatyzowane działania mogą znacznie skrócić czas, jakim atakujący dysponuje zanim my podejmiemy jakiekolwiek środki zapobiegawcze. W większości scenariuszy atak poprzedza etap przygotowawczy. Wykrycie tych „pierwszych kroków” oraz szybka reakcja są kluczem do powstrzymania jakichkolwiek dalszych działań, które mogłyby mieć większy wpływ na działanie organizacji. Monitorowanie za pomocą ręcznych narzędzi może okazać się zbyt powolne, aby zapobiec poważnym konsekwencjom, jakie wiążą się z cyberatakiem.

Osoby zarządzające bezpieczeństwem IT w firmach mają do dyspozycji wiele narzędzi, aby ułatwić pracę swoich analityków. Chociaż rozwiązania wykorzystujące uczenie maszynowe są w stanie z dużym prawdopodobieństwem wyodrębnić z zebranych danych wzorce i tendencje, ale nigdy nie zrobią tego Ze stuprocentową pewnością. Dlatego analitycy bezpieczeństwa nadal są niezbędni – ludzka inteligencja jest niezastąpiona w ocenie podejrzanych zdarzeń, użytkowników i incydentów. Automatyczne narzędzia nie potrafią w pełni zastąpić wiedzy i doświadczenia człowieka.

Ludzie mogą być bardziej skuteczni w tych działaniach, o ile nie są „zalewani” falą fałszywie dodatnich alarmów i innych często powtarzających się zadań o niskim priorytecie. Podobnie jak w przypadku nowych rozwiązań służących do ochrony domu, a bazujących na koncepcji Internetu rzeczy, takie jak inteligentne kamery, które wysyłają alert do smartfona użytkownika, gdy drzwi jego domu zostaną otwarte, narzędzia do analizy zachowań użytkowników zapewnią pożądany spokój poprzez wyodrębnianie z wszystkich alertów najbardziej podejrzanych działań i wysyłanie powiadomienia tylko wtedy, gdy będzie to naprawdę potrzebne.

Daniel Bago, Product Marketing Manager Blindspotter

Balabit