Av Jon Gisli Egilsson, Engineering Manager, LogPoint

Antalet cyberattacker fortsätter att öka, men inom cybersäkerhetsbranschen råder stor brist på kompetens som kan uppfylla behoven. Globalt sett finns det mer än 3,5 miljoner lediga cybersäkerhetstjänster, vilket visar hur stor bristen verkligen är.

Omfattningen av problemet tyder på att det inte kommer att försvinna inom en snar framtid. Organisationer måste lära sig att leva med problemet och ändå kunna sköta cybersäkerheten tillräckligt väl för kunna avvärja det ständigt växande hotet från cyberattacker. Nyckeln till detta är att accelerera IT-effektiviteten och minimera behovet av mänskliga resurser genom maskininlärning.

Nytänkande inom cybersäkerhet

En av säkerhetsanalytikerns arbetsuppgifter är att programmera cybersäkerhetsverktyg för att identifiera kända indikatorer på intrång i system eller nätverk. Problemet är att hackare fortsätter att hitta nya svagheter och intrångsmetoder och listan över intrångsindikatorer fortsätter därför att växa. Hackarna ligger två steg före analytikerna och analytikerna jagar alltid efter det ständigt växande antalet nya angreppsmetoder.

Security analysts

Säkerhetsanalytiker arbetar med intrångsindikatorer, men hackare fortsätter att hitta nya metoder

Maskininlärning kan automatisera och utöka vidden av hotdetektion. Modellering av användarbeteenden och tekniska enheters beteenden i IT-landskapet gör det möjligt att identifiera avvikelser som leder upp till eller sker under attacken. Företag och avdelningar beter sig inte alla likadant. Ett avvikande beteende inom ett visst företag kan vara ett normalt beteende i ett annat. Maskininlärning kan hjälpa till att identifiera olika basnivåer mellan olika grupper och introducerar kontextuell information, vilket förbättrar incidenthanteringen.

Anomalous behavior

Avvikande beteende i företag A kanske inte är avvikande beteende i företag B

Kompletterande verktyg för säkerhetsanalytiker

Maskininlärningssystem kanske inte är lika generella eller flexibla som människor, men de kan tränas för att bli mer exakta än människor för vissa arbetsuppgifter. De kan också analysera fullständiga datauppsättningar i stället för att förlita sig på samplingmetoder, vilket ofta är nödvändigt för en människa. Slutligen kan de analysera komplexa data, högdimensionella data och komplexa sekventiella mönster. Människan behöver göra visualiseringar och data pivoting och måste kartlägga ned till låga dimensioner på grund av det enorma antalet kombinationer.

Maskininlärning ger säkerhetsanalytiker kompletterande verktyg och utför vissa av deras normala arbetsuppgifter. På så sätt kan analytiker fokusera på situationer där maskininlärning inte kan tillämpas – åtminstone inte än. Till exempel allmän förstärkning av säkerhetsgraden, revision av arkitektur och infrastruktur, reaktion på attacker och undersökningar.

Den datacentriska metoden ger det starkaste resultatet

Det är viktigt att vara medveten om metodiken för maskininlärning. Den modellcentriska metoden är mer utbredd, men en datacentrisk metod ger bättre resultat. Medan det modellcentriska metoden fokuserar på att bygga komplexa modeller, fokuserar det datacentriska metoden på att kvalificera datauppsättningen.

Maskininlärning kan låta komplext och som något som är svårt att implementera, men det behöver inte vara det om du säkerställer datastyrning och datakvalitet. CISO:er som överväger säkerhet med hjälp maskininlärning bör beakta vissa interna och externa aspekter innan de fattar ett beslut:

  • Interna aspekter: Finns det tillräckligt med data? Är datakvaliteten tillräckligt bra? Finns det rätt data med rätt hastighet eller intervall? Är IT-organisationen tillräckligt mogen?
  • Externa aspekter: Hur exakt är maskininlärningslösningen? Hur testas den? Hur säkerställs den?

Säkerhet med maskininlärning i praktiken

LogPoints UEBA-lösning kan identifiera avvikande beteenden. Ett enkelt exempel: den kan identifiera om en anställd loggar in eller arbetar på en ovanlig tid på dygnet jämfört med normalt. Olika individer har olika mönster och UEBA lär sig detta sammanhang från data. Det är inte något som en analytiker har programmerat in i detektionssystemet. Det är något som systemet utgår från genom tidigare beteendemönster.

LogPoint UEBA identifierar avvikande beteenden, vilket gör det till det perfekta verktyget för att upptäcka kontokompromettering och ger säkerhetsanalytiker möjlighet att stoppa obehörig användning av kontot av någon annan än kontoinnehavaren. På så sätt larmas säkerhetsanalytiker när en chef drabbas av spearfishing-attacker från utomstående som försöker infiltrera organisationen. UEBA-tekniken kan även utföra intern rekognosering genom att samla in bevis på nätverksresurser och meddela analytiker om någon av dem beter sig annorlunda än förväntat.

Om du vill veta mer om UEBA kan du läsa vårt blogginlägg här.

 

Webbseminarium


Vilka frågor skulle du vilja ställa om du överväger ett maskininlärning/UEBA som tillägg i din SIEM-lösning?

Jon Egilsson

Jon Egilsson, Engineering Manager

15 september kl. 15: 00,CET

 

Delta i webbseminariet

Läs mer om LogPoint

Boka en LogPoint-demo
Kundfall
Kundrecensioner