Spustili sme nový projekt s cieľom prispieť k riešeniu kľúčového problému, ktorým je faktor ľudskej prítomnosti a odborných kvalít v SOC.
SOC je skratkou pre Security and Operations Center, t. j. stredisko bezpečnostných operácií, ktoré je ústredným prvkom z hľadiska bezpečnosti celého IKT prostredia. Ide centrálny bod, v ktorom sa zhromažďujú a vyhodnocujú všetky logy a udalosti a cez ktorý sa vykonávajú príslušné opatrenia.
Analýzu logov a udalostí, ktoré prichádzajú do SOC, vykonávajú bezpečnostní experti. V súčasnosti však chýbajú kvalifikovaní odborníci na bezpečnosť, ktorí by dokázali analyzovať a sledovať správanie klientovho prostredia.
Tento problém je buď dôsledkom celkového nedostatku ľudí alebo chýbajúcej odbornosti a motivácie, keďže práca môže byť pomerne monotónna, najmä ak ide o prácu s jedným klientom.
Naša firma tento problém vyriešila. Zvládli sme procesy headhuntingu, školení a kontinuálneho odborného rastu analytikov, zlepšili sme samotný proces analýzy, čo umožňuje analytikom oveľa lepšie chrániť prostredie klienta, a keďže poskytujeme služby súčasne viacerým klientom, táto práca prináša aj väčšie výzvy, vďaka čomu je pre našich analytikov zaujímavejšia a atraktívnejšia.
ĽUĎOM PRICHÁDZA NA POMOC STROJOVÉ UČENIE
Na základe našich skúseností a obrovského množstva údajov, ktoré zhromažďujeme, sme presvedčení, že najslabšie miesto, t.j. kontrola zo strany ľudí, možno vyriešiť pomocou novej technológie – strojovým učením.
Veríme, že pri procesoch kontroly, ktoré vyžadujú zdravý rozum a analytické myslenie, možno uplatniť strojové učenie s lepšími výsledkami ako v prípade ľudí.
Preto sme spustili sme nový projekt s cieľom prispieť k riešeniu zameraním sa na kľúčový problém, ktorým je faktor ľudskej prítomnosti a odborných kvalít v SOC.
Bežne existuje niekoľko rôznych spôsobov detekcie útokov a väčšina z nich je založená na detekcii signatúr. Útočníci sa tomuto prístupu prispôsobili už dávno využitím obfuskácie alebo polymorfizmu tak, aby sa procesy javili ako legitímne a unikli akejkoľvek detekcii.
V dôsledku toho vzniká každý deň 200 000 nových modifikácií škodlivého kódu. Aby bolo možné odhaliť a obmedziť ďalšie ich šírenie, treba najprv nájsť napadnuté obete, pričom špecialisti musia analyzovať škodlivý kód/prenos dát a vybrať detekčné vzory, ktoré sa následne distribuujú medzi obrancov.
Tento proces trvá pomerne dlhý čas, čo znamená, že cez tzv. „zero-day“ zraniteľnosti by mohli aj niekoľko dní prebiehať útoky na systémy, ktoré by bez aktualizácií neboli vôbec chránené.
Tieto hrozby sa využívajú na útoky typu Advanced Persistent Threat (APT/pokročilé pretrvávajúce hrozby), ktoré je ťažké odhaliť. Zero-day zraniteľnosti možno nájsť na rozsiahlom darknete, čo dáva zločincom a štátnym subjektom mocnú zbraň k útoku na inú krajinu, firmu, alebo vojenskú či strategickú infraštruktúru.
Pomocou strojového učenia a analytických technológií dokážeme vycvičiť detekčné systémy tak, aby vykonávali automatizovanú detekciu aj bez signatúr a kontrolovali akékoľvek vzorce správania pri útokoch ešte predtým, ako bude príslušný kód odhalený a analyzovaný. To môže zlepšiť ochranu v reálnom čase proti kódom a stratégiám sieťových útokov, ktoré ešte neboli analyzované.
Podobne by bolo možné natrénovať systémy strojového učenia na konkrétnom prostredí IKT, aby poznali jeho štandardnú prevádzku. Ak by sa prostredie začalo správať inak v porovnaní s naučeným vzorom, operátori môžu byť upozornení okamžite.
Cieľom je minimalizovať ľudskú interakciu v SOC tým, že namiesto nich budú príslušné kontroly vykonávať natrénované stroje.
