Video: 6 JUEGOS que mejoraron porque incluían GATOS (Noviembre 2024)
La seguridad de TI es un infierno peligroso y costoso. Se gastan grandes cantidades de dinero en proteger los datos y las redes de la empresa. Las hordas de tipos malos están motivadas para entrar, y las consecuencias del fracaso son más dolorosas que el costo de la protección.
Peor aún, las formas actuales en que los directores de seguridad (OSC) se ocupan de la seguridad son intrusivas. Si bien las herramientas de seguridad centrales, como la protección de punto final administrado, siempre serán necesarias, cada uno de nosotros se ha lamentado de la dificultad de administrar contraseñas, se ha quejado de los derechos de acceso al software que necesitamos y se ha quejado de las barreras entre nosotros y el trabajo que debemos hacer.. Si los procedimientos de seguridad funcionaran el 100 por ciento de las veces, tal vez estaríamos de acuerdo con eso, pero oye, ¿has notado cuántas infracciones aún se informan? Yo también. Solo eche un vistazo a cómo la cantidad de violaciones de datos por año ha explotado en este gráfico a continuación (por el blog de análisis y visualización de datos Sparkling Data). El gráfico muestra violaciones de datos desde 2009, desglosadas por tipo de industria y cuántos millones de registros se vieron comprometidos:
Fuente: 24 de julio de 2016 ; Análisis de datos de incumplimiento de HIPAA ; Datos brillantes
Pero también hay buenas noticias. Las mismas tecnologías de aprendizaje automático (ML) y algoritmos analíticos predictivos que le brindan recomendaciones útiles de libros y potencian su inteligencia empresarial (BI) más avanzada y la visualización de datos Se están incorporando herramientas en las herramientas de seguridad de TI. Los expertos informan que probablemente no gastará menos dinero en la seguridad de TI de su empresa debido a esto, pero al menos su personal trabajará de manera más eficiente y tendrá una mejor oportunidad de encontrar piratas informáticos y malware antes de que se produzcan daños.
La combinación de ML y seguridad de TI ciertamente puede etiquetarse como "tecnología emergente", pero lo que lo hace genial es que no estamos hablando de una sola tecnología. ML se compone de varios tipos de tecnología, cada una aplicada de varias maneras. Y, debido a que muchos proveedores están trabajando en esta área, podemos ver una categoría de tecnología completamente nueva competir, evolucionar y, con suerte, brindar beneficios a todos nosotros.
Entonces, ¿qué es el aprendizaje automático?
ML permite que una computadora se enseñe algo sin tener que ser programada explícitamente. Lo hace accediendo a grandes conjuntos de datos, a menudo enormes.
"Con el aprendizaje automático, podemos darle a una computadora 10.000 imágenes de gatos y decirle: 'Así es como se ve un gato'. Y luego puede darle a la computadora 10, 000 imágenes sin etiquetar y pedirle que descubra cuáles son los gatos ", explica Adam Porter-Price, asociado principal de Booz Allen. El modelo mejora a medida que le da retroalimentación al sistema, ya sea que su suposición sea correcta o incorrecta. Con el tiempo, el sistema se vuelve más preciso para determinar si la foto incluye un gato (como, por supuesto, todas las fotos deberían).
Esta no es una tecnología completamente nueva, aunque los recientes avances en computadoras más rápidas, mejores algoritmos y herramientas de Big Data ciertamente han mejorado las cosas. "El aprendizaje automático (especialmente aplicado al modelado de comportamientos humanos) ha existido durante mucho tiempo", dijo Idan Tendler, CEO de Fortscale. "Es un componente central de los aspectos cuantitativos de muchas disciplinas, que van desde el precio de los pasajes aéreos hasta las encuestas políticas y el marketing de comida rápida desde la década de 1960".
Los usos modernos más evidentes y reconocibles se encuentran en los esfuerzos de marketing. Cuando compra un libro en Amazon, por ejemplo, sus motores de recomendación explotan las ventas anteriores y sugieren libros adicionales que probablemente disfrutará (por ejemplo, a las personas que les gusta Yendi de Steven Brust también pueden gustarles las novelas de Jim Butcher), lo que se traduce en más ventas de libros. Eso es ML aplicado allí mismo. Otro ejemplo podría ser una empresa que utiliza sus datos de gestión de relaciones con los clientes (CRM) para analizar la pérdida de clientes, o una aerolínea que utiliza ML para analizar cuántos puntos de recompensa incentivan a los viajeros frecuentes a aceptar una oferta en particular.
Cuantos más datos recopile y analice un sistema informático, mejores serán sus conocimientos (y su identificación con foto de gato). Además, con la llegada de Big Data, los sistemas ML pueden agrupar información de múltiples fuentes. Un minorista en línea puede mirar más allá de sus propios conjuntos de datos para incluir el análisis de los datos del navegador web del cliente y la información de sus sitios asociados, por ejemplo.
ML toma datos que son demasiado para que los humanos comprendan (como millones de líneas de archivos de registro de red o una gran cantidad de transacciones de comercio electrónico) y los convierte en algo más fácil de entender, dijo Balázs Scheidler, CTO del proveedor de herramientas de seguridad de TI Balabit.
"Los sistemas de aprendizaje automático reconocen patrones y resaltan las anomolias, que ayudan a los humanos a comprender una situación y, cuando sea apropiado, tomar medidas al respecto", dijo Scheidler. "Y el aprendizaje automático realiza este análisis de forma automatizada; no se pueden aprender las mismas cosas simplemente mirando los registros de transacciones".
Donde ML parche las debilidades de seguridad
Afortunadamente, los mismos principios de ML que pueden ayudarlo a decidir sobre la compra de un nuevo libro pueden hacer que la red de su empresa sea más segura. De hecho, dijo Fortscale's Tendler, los proveedores de TI han llegado un poco tarde a la fiesta de ML. Los departamentos de marketing pudieron ver beneficios financieros en la adopción temprana de LD, particularmente porque el costo de equivocarse era mínimo. Recomendar el libro equivocado no eliminará la red de nadie. Los especialistas en seguridad necesitaban más certeza sobre la tecnología y parece que finalmente la tienen.
Francamente, ya es hora. Porque las formas actuales de lidiar con la seguridad son intrusivas y reactivas. Peor aún: el gran volumen de nuevas herramientas de seguridad y herramientas de recopilación de datos dispares ha dado como resultado demasiados aportes incluso para los observadores.
"La mayoría de las empresas se inundan con miles de alertas por día, en gran parte dominadas por falsos positivos", dijo David Thompson, director sénior de gestión de productos de la empresa de seguridad de TI LightCyber. "Incluso si se ve la alerta, es probable que se vea como un evento singular y no se entienda como parte de un ataque más grande y orquestado".
Thompson cita un informe de Gartner que dice que la mayoría de los atacantes pasan desapercibidos durante un promedio de cinco meses . Esos falsos positivos también pueden generar usuarios enojados, señaló Ting-Fang Yen, científico investigador de DataVisor, cada vez que los empleados son bloqueados o marcados por error, sin mencionar el tiempo que el equipo de TI dedica a resolver los problemas.
Entonces, la primera táctica en seguridad de TI usando ML es analizar la actividad de la red. Los algoritmos evalúan los patrones de actividad, comparándolos con el comportamiento pasado, y determinan si la actividad actual representa una amenaza. Para ayudar, los proveedores como Core Security evalúan datos de red como el comportamiento de búsqueda DNS de los usuarios y los protocolos de comunicación dentro de las solicitudes
Algunos análisis ocurren en tiempo real, y otras soluciones de ML examinan los registros de transacciones y otros archivos de registro. Por ejemplo, el producto de Fortscale detecta amenazas internas, incluidas amenazas que implican credenciales robadas. "Nos centramos en los registros de acceso y autenticación, pero los registros pueden provenir de casi cualquier lugar: Active Directory, Salesforce, Kerberos, sus propias 'aplicaciones de joyas de la corona'", dijo Tendler de Fortscale. "Cuanta más variedad, mejor". Donde ML hace una diferencia clave aquí es que puede convertir los registros de limpieza humildes y a menudo ignorados de una organización en fuentes de inteligencia de amenazas valiosas, altamente efectivas y baratas.
Y estas estrategias están haciendo la diferencia. Un banco italiano con menos de 100, 000 usuarios experimentó una amenaza interna que implica la filtración a gran escala de datos confidenciales a un grupo de computadoras no identificadas. Específicamente, se usaron credenciales de usuario legítimas para enviar grandes volúmenes de datos fuera de la organización a través de Facebook. El banco implementó el sistema inmunitario Darktrace Enterprise con tecnología ML, que detectó un comportamiento anómalo en tres minutos cuando un servidor de la empresa se conectó a Facebook, una actividad inusual, dijo Dave Palmer, director de tecnología de Darktrace.
El sistema emitió de inmediato una alerta de amenaza, que permitió que el equipo de seguridad del banco respondiera. Finalmente, una investigación condujo a un administrador de sistemas que había descargado inadvertidamente malware que atrapaba al servidor del banco en una botnet de minería de bitcoins, un grupo de máquinas controladas por piratas informáticos. En menos de tres minutos, la compañía hizo una evaluación, investigó en tiempo real y comenzó su respuesta, sin pérdida de datos corporativos o daño a los servicios operativos del cliente, dijo Palmer.
Monitoreo de usuarios, no de control de acceso o dispositivos
Pero los sistemas informáticos pueden investigar cualquier tipo de huella digital. Y ahí es donde va mucha atención del proveedor en estos días: hacia la creación de líneas de base de comportamiento "conocido bueno" por parte de los usuarios de una organización llamado User Behavior Analytics (UBA). El control de acceso y la monitorización del dispositivo van solo hasta cierto punto. Es mucho mejor, dicen varios expertos y proveedores, hacer de los usuarios el foco central de la seguridad, que es de lo que se trata UBA.
"La UBA es una forma de ver lo que hace la gente y darse cuenta de si está haciendo algo fuera de lo común", dijo Scheidler de Balabit. El producto (en este caso, Balabit's Blindspotter y Shell Control Box) crea una base de datos digital del comportamiento típico de cada usuario, un proceso que demora aproximadamente tres meses. A partir de entonces, el software reconoce anomalías de esa línea de base. El sistema ML crea una puntuación de cómo "fuera" se comporta una cuenta de usuario, junto con la importancia del problema. Las alertas se generan cada vez que la puntuación supera un umbral.
"Los análisis intentan decidir si eres tú mismo", dijo Scheidler. Por ejemplo, un analista de bases de datos usa regularmente ciertas herramientas. Entonces, si inicia sesión desde una ubicación inusual en un momento inusual y accede a aplicaciones inusuales para ella, entonces el sistema concluye que su cuenta puede verse comprometida.
Las características de UBA rastreadas por Balabit incluyen los hábitos históricos del usuario (tiempo de inicio de sesión, aplicaciones de uso común y comandos), posesiones (resolución de pantalla, uso de trackpad, versión del sistema operativo), contexto (ISP, datos GPS, ubicación, contadores de tráfico de red), y la inherencia (algo que eres). En la última categoría se encuentran el análisis del movimiento del mouse y la dinámica de las pulsaciones de teclas, mediante las cuales el sistema asigna la fuerza y rapidez con que los dedos de un usuario golpean el teclado.
Si bien es fascinante en términos geek, Scheidler advierte que las mediciones del mouse y el teclado aún no son infalibles. Por ejemplo, dijo, identificar las teclas de alguien es aproximadamente 90 por ciento confiable, por lo que las herramientas de la compañía no dependen en gran medida de una anomalía en esa área. Además, el comportamiento del usuario es ligeramente diferente todo el tiempo; Si tiene un día estresante o le duele la mano, los movimientos del mouse son diferentes.
"Dado que trabajamos con muchos aspectos del comportamiento de los usuarios y el valor agregado es el que se compara con el perfil de línea de base, en conjunto tiene una confiabilidad muy alta que converge al 100 por ciento", dijo Scheidler.
Balabit ciertamente no es el único proveedor cuyos productos usan UBA para identificar eventos de seguridad. Cybereason, por ejemplo, utiliza una metodología similar para identificar el comportamiento que hace que los humanos atentos digan: "Hmm, eso es gracioso".
Explica el director de tecnología de Cybereason, Yonatan Streim Amit: "Cuando nuestra plataforma ve una anomalía, James trabaja hasta tarde, podemos correlacionarla con otros comportamientos conocidos y datos relevantes. ¿Está usando las mismas aplicaciones y patrones de acceso? ¿Está enviando datos a alguien a quien nunca comunica? con o todas las comunicaciones van a su gerente, que está respondiendo? " Cybereason analiza la anomalía de James trabajando anormalmente tarde con una larga lista de otros datos observados para proporcionar un contexto para determinar si una alerta es un falso positivo o una preocupación legítima.
Es el trabajo de TI encontrar respuestas, pero seguro ayuda a tener un software que pueda plantear las preguntas correctas. Por ejemplo, dos usuarios en una organización de atención médica estaban accediendo a registros de pacientes fallecidos. "¿Por qué alguien miraría a pacientes que fallecieron hace dos o tres años, a menos que desee hacer algún tipo de identidad o fraude médico?" pregunta Amit Kulkarni, CEO de Cognetyx. Al identificar este riesgo de seguridad, el sistema Cognetyx identificó el acceso inapropiado basado en las actividades normales para ese departamento, y comparó el comportamiento de los dos usuarios con el de los patrones de acceso de sus pares y contra su propio comportamiento normal.
"Por definición, los sistemas de aprendizaje automático son iterativos y automatizados", dijo Tendler de Fortscale. "Buscan 'comparar' los nuevos datos con lo que han visto antes, pero no 'descalificarán' nada fuera de control o automáticamente 'tirarán' resultados inesperados o fuera de límites".
Por lo tanto, los algoritmos de Fortscale buscan estructuras ocultas en un conjunto de datos, incluso cuando no saben cómo se ve la estructura. "Incluso si encontramos lo inesperado, proporciona forraje sobre el cual potencialmente se puede construir un nuevo mapa de patrones. Eso es lo que hace que el aprendizaje automático sea mucho más poderoso que los conjuntos de reglas deterministas: los sistemas de aprendizaje automático pueden encontrar problemas de seguridad que nunca antes se habían visto".
¿Qué sucede cuando el sistema ML encuentra una anomalía? En general, estas herramientas transmiten alertas a un humano para que realice una llamada final de alguna manera, ya que los efectos secundarios de un falso positivo son perjudiciales para la empresa y sus clientes. "La solución de problemas y el análisis forense necesita experiencia humana", afirma Scheidler de Balabit. Lo ideal es que las alertas generadas sean precisas y automatizadas, y los paneles de control brindan una descripción general útil del estado del sistema con la capacidad de profundizar en el comportamiento "hey, eso es extraño".
Fuente: Balabit.com (Haga clic en el gráfico de arriba para ver la vista completa).
Es sólo el comienzo
No asuma que ML y la seguridad informática son una combinación perfecta como el chocolate y la mantequilla de maní o los gatos e Internet. Este es un trabajo en progreso, aunque obtendrá más potencia y utilidad a medida que los productos obtengan más funciones, integración de aplicaciones y mejoras tecnológicas.
A corto plazo, busque avances de automatización para que los equipos de seguridad y operaciones puedan obtener nuevos conocimientos de datos más rápido y con menos intervención humana. En los próximos dos o tres años, dijo Mike Paquette, vicepresidente de productos de Prelert, "esperamos avances en dos formas: una biblioteca ampliada de casos de uso preconfigurados que identifiquen comportamientos de ataque y avances en la selección y configuración de funciones automatizadas, reduciendo la necesidad de trabajos de consultoría ".
Los siguientes pasos son sistemas de autoaprendizaje que pueden luchar contra los ataques por sí mismos, dijo Darktrace's Palmer. "Responderán a los riesgos emergentes de malware, piratas informáticos o empleados descontentos de una manera que comprenda el contexto completo del comportamiento normal de los dispositivos individuales y los procesos comerciales generales, en lugar de tomar decisiones binarias individuales como las defensas tradicionales. Esto será crucial para responder a ataques de movimiento más rápido, como los ataques basados en extorsión, que se transformarán en atacar cualquier activo valioso (no solo los sistemas de archivos) y estarán diseñados para reaccionar más rápido de lo que es posible por los seres humanos ".
Esta es un área emocionante con muchas promesas. La combinación de ML y herramientas de seguridad avanzadas no solo brinda a los profesionales de TI nuevas herramientas para usar, sino que, lo que es más importante, les brinda herramientas que les permiten hacer su trabajo con mayor precisión, pero aún más rápido que nunca. Si bien no es una bala de plata, es un importante paso adelante en un escenario en el que los malos han tenido todas las ventajas durante demasiado tiempo.
