Ha így haladunk, hamarosan az adattudósok és a mesterséges intelligencia kutatói lesznek az új biztonsági szakemberek. Az amerikai Splunk biztonsági cég is bemutatta gépi tanulásra épülő védelmi eszközét. Ez az első látványos eredménye annak, hogy a nyáron felvásárolta 190 millió dollárért a Caspida nevű startupot, amely gépi tanulásra épülő viselkedéselemzési megoldásokat fejlesztett a fejlett támadások, az ismeretlen malware-ek és a belső veszélyforrások felderítéséhez.

Azonnal kell reagálni

Mint azt hazai és nemzetközi fejlesztések is mutatják, ez ma az egyik legfontosabb fejlesztési irány az IT-biztonságban. A tűzfalak vagy a vírusvédelmi eszközök nem válnak fölöslegessé, de szükség van olyan eszközökre is, amely gyorsan kimutatja azokat a káros tevékenységeket, amelyeket ezek a védelmi vonalak nem tudtak megfogni.

Ehhez hasonló témák október 14-én a CIO Budapesten is terítékre kerülnek.
Ön már jelentkezett?

Az EMC vezérigazgatója, David Goulden egy idei konferencián egyenesen az IT-biztonság forradalmáról beszélt. A forradalmat az robbantotta ki, hogy mobilitás, az Internet of Things, a felhős megoldások terjedése és más hasonló trendek lebontották az éles határvonalat a vállalatok belső rendszerei és a külső környezet között. Goulden szerint éppen ezért egyre fontosabb a felhasználók azonosításának árnyaltabbá tétele, azaz egyre pontosabban kell meghatározni, hogy ki jön be egy hálózatba és ott mit csinálhat, illetve az, hogy valós időben lehessen feltárni bármiféle anomáliát ezekben a tevékenységekben.

Több védelmi vonal is kell

A Splunk is ezt az utat követte a fejlesztéseiben – írta a Biztonságportál. A most bejelentette megoldásai egyfelől a többlépcsős támadások fázisainak nyomon követését (Enterprise Security 4.0), másfelől a kibertámadásokra és a különféle belső fenyegetettségekre utaló jelek kimutatását (User Behavior Analytics) célozzák.

Az Enterprise Security (ES) új verziója elsősorban az incidensdetektálás területén fejlődött, és a multi-stage, azaz többlépcsős támadásokra is gyorsabban lehet vele reagálni. Az ES két fontos funkciót is kapott: az Investigator Journal és az Investigator Timeline is a gyanús események lekövetését és elemzését segíti. A Timeline funkcióval pontos képet kaphatunk a korrelált események időbeli lefolyásáról, sorrendiségéről.

A User Behavior Analytics (UBA) a Caspida-technológiák felhasználásának első eredménye. Az UBA gép tanulásra épülő technikákkal lényegében viselkedéselemzést végez, és az adatok halmozódásával egyre árnyaltabb képet tud adni. Ez elsősorban az APT (Advanced Persistent Threat) típusú incidensek feltárásában segít. Az UBA képes a valós idejű anomáliaelemzésre és anomáliaosztályozásra. Abban is az adatelemző alkalmazásokat követi, hogy a detektált eseményeket olyan vizuális formában jeleníti meg, amely megkönnyíti az elemző munkát.

Az UBA legfőbb erénye az öntanuló és adaptív képesség, amit mögötte dolgozó a gépi tanulási és a különböző statisztikai algoritmusok biztosítanak. Bár önálló beavatkozásra is képes, épp a veszélyesnek ítélt folyamatok vizuális megjelenítése révén gyorsítani tudja az esemény felülvizsgálatát.

A cél pontosan az, ami Goulden is megfogalmazott: a legrövidebb időre csökkenteni, ha lehet, azonnalivá tenni a reakciót.

Mindenki ebbe az irányba megy

Egyre több hasonló fejlesztés jelenik meg a piacon. A Microsoft például nyáron vásárolt fel hasonló elvekre épülő védelmeket fejlesztő izraeli cégeket, az Adallomot és az Aoratot. Tavasszal a Cisco az Elastica nevű felhős biztonsági megoldásokat fejlesztő céggel kötött stratégiai partnerséget , amely az ún. shadow IT-val kapcsolatos kockázatokat csökkentő, és szintén a gépi tanulásra épülő megoldást fejleszt. Az IBM pedig nyáron szabadalmaztatta a netezési szokások megfigyelésére alapozott eljárását.

De ugyanebbe az irányba tart az ipari rendszerek védelme is. A NexDefense tavaly ősszel jelentette be az ipari vezérlőket és az automatizálási rendszereket védelmét szintén viselkedéselemzésre építő Sophia nevű termékét.

Magyar fejlesztés is küzd már ezen a piacon. A Balabit Blindspottere a vállalati környezetben amúgy is szükséges loggyűjtést párosította az adatelemzésre épülő védelmi megoldását.

Ezek a megoldások általában abból a tényből indulnak ki, hogy a védelem leggyengébb láncszeme a felhasználó, aki szándékosan vagy csak hanyagságból nem tartja be a biztonsági előírásokat. Egy új-zélandi cég például egészen sarkosan közelített a problémához. Olyan – szintén adatelemzésen alapuló – eszközt fejlesztett ki, amely nem is foglalkozik a szoftveres támadásokkal, hanem kizárólag az alkalmazottak tevékenységének kockázatait vizsgálja. Feltérképezni a vállalati informatikai rendszert a felhasználók szempontjából, összegyűjti a jogosultságokat, a belső kommunikáció alapján szociometriai vizsgálatot végez, hogy feltárja azokat a kulcsfontosságú kapcsolatokat, melyek egy támadás esetén potenciális veszélyt jelentenek.

A viselkedéselemzés azonban minden esetben felvet adatvédelmi aggályokat is. Az incidensek elszaporodása azonban valószínűleg felülírja ezeket a félelmeket. A vállalatok IT- és biztonsági vezetőinek emellett a vállalati adatok gyűjtését is újra kell gondolni.