Af Jon Gisli Egilsson, Engineering Manager, LogPoint

Antallet af cyberangreb fortsætter med at stige, men cybersikkerhedsbranchen har en fundamental udfordring med at finde folk med cybersikkerhedskompetencer, der matcher efterspørgslen. Globalt er der mere end 3,5 millioner ubesatte cybersikkerhedsstilling, hvilket fortæller noget om, hvor stor udfordringen er.

Problemets størrelse tyder på, at det næppe vil forsvinde lige foreløbigt. Organisationer skal lære at leve med udfordringen og samtidig håndtere deres cybersikkerhed godt nok til at modstå den stigende trussel om cyberangreb. Nøglen til dette er at fremskynde cybereffektiviteten og minimere behovet for menneskelige ressourcer gennem maskinlæring.

Revurdering af cyberforsvarudfordringen

En del af sikkerhedsanalytikerens opgave er at programmere cybersikkerhedsværktøjer til at registrere kendte indikatorer for kompromittering i et system eller netværk. Problemet er, at hackerne fortsætter med at finde nye svagheder og metoder til at trænge igennem, og derfor bliver listen over indikatorer på indtrængen ved med at vokse. Hackerne er to skridt foran analytikerne, og analytikerne jagter altid de stadigt nye metoder.

Security analysts

Sikkerhedsanalytikere arbejder med indikatorer for kompromitterede systemer, men hackere fortsætter med at finde nye metoder

Maskinlæring kan automatisere og udvide trusselsdetektionen. Modellering af brugernes og de tekniske enheders adfærd i it-landskabet giver mulighed for at registrere uregelmæssigheder op til eller under angrebet. Ikke alle virksomheder eller afdelinger opfører sig ens. En unormal adfærd i en virksomhed kan være en normal adfærd i en anden. Maskinlæring kan hjælpe med at registrere forskellige baselines mellem forskellige grupper og introducere kontekstuel information, hvilket forbedrer hændelsesresponsen.

Anomalous behavior

Unormal adfærd i virksomhed A, er muligvis ikke unormal adfærd i virksomhed B

Forstærkning af sikkerhedsanalytikeren

Maskinlæringssystemer er måske ikke så generelle eller fleksible som mennesker, men de kan trænes til at være mere nøjagtige end mennesker til bestemte opgaver. De kan også analysere komplette datasæt i stedet for at bruge prøvetagningsmetoder, som ofte er nødvendigt for et menneske. Endelig kan de analysere komplekse data, højdimensionelle data og komplekse edge cases. Mennesker ville skulle udføre visualiseringer og datarotation, og det ville være nødvendigt at kortlægge dataene til lave dimensioner på grund af det enorme antal kombinationer.

Machine learning forstærker sikkerhedsanalytikerne og udfører nogle af deres normale opgaver. Herved kan analytikerne fokusere indsatsen på situationer, hvor maskinlæring ikke kan anvendes – i det mindste ikke endnu. F.eks. generel hærdning af sikkerhedsgraden, gennemgang af arkitektur og infrastruktur, reaktion på angreb og undersøgelser.

Den datacentriske tilgang giver det stærkeste resultat

Det er vigtigt at være opmærksom på tilgangen til maskinlæring. Den modelcentriske tilgang er blevet mere udbredt, men en datacentrisk tilgang giver bedre resultater. Mens den modelcentrerede tilgang fokuserer på at bygge komplekse modeller, fokuserer den datacentriske tilgang på at kvalificere datasættet.

Machine learning lyder måske komplekst og som noget, der er svært at implementere, men det behøver det ikke at være, hvis du sikrer datastyring og datakvalitet. CISO’er, der overvejer Machine learning-sikkerhed, bør tage højde for nogle interne og eksterne aspekter, før beslutningen træffes:

  • Interne aspekter: Er der nok data? Er datakvaliteten god nok? Er der de rigtige data med den rigtige hastighed eller de rigtige intervaller? Er it-organisationen moden nok?
  • Eksterne aspekter: Hvad er nøjagtigheden af Machine learning-løsningen? Hvordan testes den? Hvordan sikres den?

Machine learning-sikkerhed i praksis

LogPoint UEBA-løsningen kan registrere adfærdsmæssige uregelmæssigheder. Et simpelt eksempel: Den kan registrere, om en medarbejder logger på eller arbejder på et unormalt tidspunkt på dagen sammenlignet med normalt. Forskellige enkeltpersoner har forskellige mønstre, og UEBA lærer denne kontekst fra data. Det er ikke noget, som en analytiker har programmeret ind i detektionssystemet. Det er noget, som systemet udleder fra tidligere adfærd.

LogPoint UEBA registrerer usædvanlig adfærd, hvilket gør det til det ideelle værktøj til registrering af konti med kompromitteret sikkerhed, hvilket giver sikkerhedsanalytikere mulighed for at stoppe uautoriseret brug af kontoen af andre end kontoindehaveren. På den måde bliver sikkerhedsanalytikere advaret om, at ledere bliver fanget af udefrakommende, der forsøger at infiltrere organisationen. UEBA-teknologien kan også foretage intern rekognoscering ved at indsamle oplysninger om netværksressourcer og fortælle analytikerne, om nogen af dem opfører sig anderledes end forventet.

Hvis du er interesseret i at lære mere om UEBA, kan du læse vores blogindlæg om det her.

Webinarer


Hvilke spørgsmål vil du gerne have besvaret, hvis du overvejer en machine learning/UEBA-tilføjelse til dit SIEM?

Jon Egilsson

Jon Egilsson, Engineering Manager

15. september kl. 15.00, CET

 

Deltag i webinaret

Få mere at vide om LogPoint

Book en demo
Kundehistorier
Kundeanmeldelser