Av Jon Gisli Egilsson, Engineering Manager, LogPoint

Antallet nettangrep fortsetter å øke, men nettsikkerhetsindustrien har en grunnleggende utfordring med å finne personer med nettsikkerhetsferdigheter som passer til etterspørselen. Globalt er det mer enn 3,5 millioner ufylte stillinger innen nettsikkerhet som avslører akkurat hvor stor utfordringen er.

Størrelsen på problemet tyder på at det er lite sannsynlig at det vil forsvinne snart. Organisasjoner må lære å leve med utfordringen og likevel håndtere nettsikkerheten godt nok til å motstå den økende trusselen fra nettangrep. Nøkkelen til dette er å øke effektiviteten på nettet og minimere behovet for menneskelige ressurser gjennom maskinlæring.

Cyberforsvarets utfordring

En del av sikkerhetsanalytikerens jobb er å programmere nettsikkerhetsverktøy for å oppdage kjente indikatorer på kompromiss i et system eller nettverk. Problemet er at hackere fortsetter å finne nye utnyttelser og metoder å inngå kompromisser på, og dermed fortsetter listen over indikatorer på kompromisser å vokse. Hackerne er to skritt foran analytikerne, og analytikerne jakter alltid på at metodene skal utvides.

Security analysts

Sikkerhetsanalytikere arbeider med indikatorer på kompromiss, men hackere fortsetter å finne nye metoder

Maskinlæring kan automatisere og utvide trusseldeteksjonen. Ved å modellere atferden til brukere og tekniske enheter i IT-landskapet kan man oppdage uregelmessigheter som fører til eller under angrepet. Ikke alle selskaper eller avdelinger opptrer på samme måte. En unormal atferd i ett selskap kan være en normal atferd i et annet selskap. Maskinlæring kan bidra til å oppdage ulike grunnlinjer mellom ulike grupper og introduserer kontekstuell informasjon, noe som forbedrer hendelsesresponsen.

Anomalous behavior

Unormal atferd i selskap A, er kanskje ikke unormal atferd i selskap B

Utvide sikkerhetsanalytikeren

Maskinlæringssystemer er kanskje ikke så generelle eller fleksible som mennesker, men de kan læres opp til å være mer nøyaktige enn mennesker ved visse oppgaver. De kan også analysere komplette datasett i stedet for å basere seg på prøvetakingsmetoder, noe som ofte er nødvendig for et menneske. Til slutt kan de analysere komplekse data, høydimensjonale data og komplekse kanttilfeller. Mennesker ville måtte gjøre visualiseringer og pivotering av data, og det ville være nødvendig å kartlegge det ned til lave dimensjoner på grunn av det enorme antallet kombinasjoner.

Maskinlæring forsterker sikkerhetsanalytikere og utfører noen av sine vanlige oppgaver. På den måten kan analytikerne fokusere innsatsen på situasjoner der maskinlæring ikke kan brukes – ikke minst ennå. For eksempel generell herding av sikkerhetssituasjonen, gjennomgang av arkitektur og infrastruktur, respons på angrep og undersøkelser.

Den datasentriske tilnærmingen gir det sterkeste resultatet

Det er viktig å være oppmerksom på tilnærmingen til maskinlæring. Den modellsentriske tilnærmingen har vært mye brukt, men en datasentrisk tilnærming gir bedre resultater. Mens den modellsentriske tilnærmingen er fokusert på å bygge komplekse modeller, fokuserer den datasentriske tilnærmingen på å kvalifisere datasettet.

Maskinlæring kan høres komplisert ut og like noe som er vanskelig å implementere, men det trenger ikke å være det hvis du sikrer datastyring og datakvalitet. CISO-er som vurderer maskinlæringssikkerhet, bør vurdere noen interne og eksterne aspekter før de tar beslutningen:

  • Interne aspekter: Er det nok data? Er datakvaliteten god nok? Finnes det riktige data med riktig hastighet eller intervaller? Er IT-organisasjonen moden nok?
  • Utvendig: Hvor nøyaktig er maskinlæringsløsningen? Hvordan testes den? Hvordan sikres det?

Maskinlæringssikkerhet i praksis

LogPoint UEBA-løsningen kan oppdage atferdsavvik. Et enkelt eksempel: Den kan oppdage om en ansatt logger inn eller arbeider på en unormal time av dagen sammenlignet med normalen. Ulike individer har ulike mønstre, og UEBA lærer denne konteksten fra data. Det er ikke noe en analytiker har programmert inn i deteksjonssystemet. Det er noe systemet infererer fra tidligere atferd.

LogPoint UEBA oppdager uvanlig atferd, noe som gjør den til det ideelle verktøyet for å oppdage kontokompromisser, noe som gir sikkerhetsanalytikere muligheten til å stoppe uautorisert bruk av kontoer av andre enn kontoinnehaveren. På denne måten vil sikkerhetsanalytikere bli advart om at ledere blir drept av utenforstående som forsøker å infiltrere organisasjonen. UEBA-teknologien kan også gjøre interne rekognoser ved å samle inn bevis på nettverksressursen og la analytikerne få vite om noen av dem oppfører seg annerledes enn forventet.

Hvis du er interessert i å lære mer om UEBA, kan du lese blogginnlegget vårt her.

Webinar


Hvilke spørsmål vil du ha svar på hvis du vurderer maskinlæring/UEBA i SIEM?

Jon Egilsson

Jon Egilsson, Engineering Manager

15. september kl. 15.00 CET

 

Delta på webinaret

Lær mer om LogPoint

Bestill en demo
Kundecaser
Kundeanmeldelser