MAŠINSKO UČENJE U BEZBEDNOSNIM SISTEMIMA

"Konvergirana bezbednost" već više od deset godina postoji kao pomodna fraza, ali bezbednosna industrija tek sada počinje da ubira njene plodove. Konvergiranim pristupom bezbednosti uvažava se činjenica da istinski sveobuhvatno upravljanje organizacijskim rizicima podrazumeva integraciju dve različite bezbednosne funkcije koje su u prošlosti uglavnom egzistirale jedna do druge, nedovoljno povezane: bezbednost informacija (mrežni operativni centar ili NOC) i fizičko obezbeđenje (centar bezbednosnih operacija ili SOC). U prošlosti, ljudi podeljeni u ove dve funkcije nisu imali želju ili sposobnost da zajednički deluju

NOC i SOC KONVERGENCIJA

Kakva situacija je bila prihvatljiva u prošlosti. Međutim, značajno se povećava potreba, a u većini slučajeva i obaveza za konvergencijom bezbednosti i međusektorskom razmenom informacija o pretnjama, i očito je važnija danas nego ikada ranije.

Nedavni nalet uspešno izvedenih terorističkih napada, od kojih su svi imali prediktivne indikatore, a koji su se prevideli zbog visokog stepena segmentiranosti prikupljanja i analize podataka, tragično podsećaju da su ove slabosti realne. Organizacije su zadužene da čuvaju bezbednost ljudi i dobara, a da bi to efikasno činile, moraju da podstiču saradnju između NOC i SOC, budući da su to neraskidivo povezane celine.

U vezi sa najnovijim tragedijama, na sajber nivou, postojali su prediktori između kojih nije bila uspostavljena veza, a koji su otkriveni nakon što su se napadi dogodili. U prošlosti se poklanjala najveća pažnja zaštiti imovine, ali ono što brine današnje organizacije je zaštita podataka i mnoga od ovih tradicionalno fizičkih dobara su danas zasnovana na informacijama.

Ova dva sveta bezbednosti su izrazito različita. Bezbednosni fokus u NOC-u često je na informacijama, kao što su: mrežni saobraćaj, bezbednosna i revizijska evidencija i drugim sličnim apstraktnim podacima koji zahtevaju određeno tumačenje o tome šta bi mogli da znače.

Ključni momenti u SOC-u su fidovi i snimci sa video‑kamera, evidencija o pristupu i fizičkom identitetu, požarna zaštita i mnogi drugi važni, ali uglavnom opipljivi podaci. U optimalnom bezbednosnom okruženju, NOC i SOC se oslanjaju jedno na drugo, tako da današnji bezbednjaci moraju biti svesni ciljeva „druge strane“.

SAVREMENE PRETNJE SU MEĐUSOBNO POVEZANE, ŠTO ZNAČI DA FIZIČKA PRETNJA UGLAVNOM POTIČU S MREŽE TAČ POINT, NA ŠTA TREBA POSEBNO OBRATITI PAŽNJU

Ono što vodi (ili omogućava) konvergenciju na IT planu za mnoge organizacije je tekuća konverzija analognog videa na IP, koja je započela pre izvesnog vremena, kao i određene velike investicije u IT infrastrukturu (često u drugim oblastima poslovanja), koji su doveli do lakšeg povezivanja senzora. To je, u kombinaciji sa konstantnim padom troškova mrežnog propusnog opsega i skladištenja podataka, uklonilo poslednje velike prepreke za širu upotrebu. Treba naglasiti da posledice dolaze iz obaveštajne perspektive u kojoj su savremene pretnje međusobno povezane, što znači da retko postoji fizička pretnja koja u nekom trenutku nije imala dodirnih tačaka sa aktivnostima na mreži u fazi planiranja ili izvršenja. Ova realna činjenica je u nekim slučajevima dovela do rušenja zidova između NOC i SOC i stvaranja „fuzionog centra“, tzv. „SNOC“.

KONVERGENCIJA ZA I PROTIV

Premda je konvergencija neophodna, postoje i ozbiljne prepreke na putu njene realizacije, a najbolje se sprovodi kroz integraciju ljudi, procedura, izabranih rešenja u sajber i fizičkom bezbednosnom prostoru, kao i spajanjem baza znanja analitičara, što znači da službenici bezbednosti, na primer, imaju različitu obuku od sajber analitičara.

U organizacijama se mogu sresti različite „ličnosti“ zadužene za bezbednost. Sajber tim, na primer, može biti sastavljen od milenijalaca koji imaju visokorazvijene tehničke veštine jer su odrastali u eri interneta (digitalni urođenici). S druge strane, osoblje fizičke bezbednosti mogu biti bivši policijski službenici, vojnici ili državni službenici koji štite fizičku imovinu. To su često ljudi u zrelim godinama i nisu preterano upoznati s novim tehnologijama. Usled toga, ovakvi profili ličnosti ponekad se ne „mešaju“ prirodno, te su potrebni dodatni napori kako bi se razbile barijere koje izoluju ove uloge u odvojenim poslovnim jedinicama, u potpuno odvojenim operativnim centrima ili ponekad, čak, na suprotnim krajevima zemlje.

S obzirom na to da ovi operateri/analitičari dolaze iz različitih sredina, imaju različite oblasti zaduženja, a budući da se njihove procedure za reagovanje retko ukrštaju, postavlja se pitanje: da li bi tipičan operater u SOC pomislio da uopšte pozove NOC ukoliko primeti nešto sumnjivo što može da ima veze sa sajber bezbednošću? Pojedinci iz NOC nisu svesni da SOC uopšte postoji i, ako jesu, ne znaju za šta je SOC zadužen. Ključ uspeha je unakrsna obuka. Za širi kontekst i prepoznavanje/ublažavanje pretnji, operateri moraju biti upoznati s fizičkim i logičkim rizicima, rešenjima i unakrsnim eskalacijama.

TRADICIONALNI PRISTUP– ZA I PROTIV

Čak i u konvergiranom bezbednosnom okruženju, pred tradicionalnim bezbednosnim sistemima za detekciju je niz dilema za očuvanje bezbednosti organizacija.

Među njima su:

Slabi, nezavisni strimovi za upozoravanje – većina današnjih sistema za otkrivanje pretnji ograničena je na pojedinačne tipove podataka, fizičke ili elektronske, a često ova najbolja rešenja u svojoj klasi imaju veoma usko specijalizovanu upotrebu unutar ovih odeljenja. Na primer, nadležni zaduženi za velike gradske sisteme transporta mogu imati timove za fizičku bezbednost sa odvojenim odeljenjem za izbegavanje troškova i, usled toga, koristiti veći broj najsavremenijih rešenja, uključujući i nešto mašinskog učenja, u cilju podrške vrlo specifičnom cilju, umesto da holistički pristupaju problemu primene ove tehnologije na nivou čitave organizacije.

Troškovi istrage alarma – tokom svakodnevnog rada, operateri su preplavljeni podacima i „lažnim alarmima“. Na primer, u jednom velikom gradskom univerzitetskom kampusu, operateri SOC odgovaraju na 911 (plavi telefoni), LPR, upravljaju jedinicama za otpremanje, video‑analitikom i kontrolom pristupa.  Usled zagušenosti podacima i lažnim alarmima prosečno im treba preko 3 minuta da izdaju traženu potvrdu. U nekim slučajevima to se zapravo smatra „dobrim“ vremenom odziva.

UKRATKO, LAŽNE UZBUNE BEZ KONTEKSTA I ZNAČAJA ZAHTEVAJU PREVIŠE

VREMENA I LJUDSKIH RESURSA ZA PREGLEDANJE OBILJA PODATAKA

 

 

U drugom primeru, u policijskom odeljenju jednog velikog gradskog centra, operateri pokušavaju proaktivno da održavaju bezbednost na javnim prostorima i usmeravaju resurse za reagovanje tako što prate gotovo 2.000 kamera na mreži (što rutinski stvara 48.000 sati snimljenog materijala dnevno). U periodu od 18 meseci, samo jednom su zapravo „uhvatili“ vanredni događaj, kada je operater kamere gledao u monitor u datom trenutku. Svaki drugi incident morao je da se  pronađe nakon što se dogodio. Ukratko, lažni alarmi bez konteksta ili relevantnosti i poplava podataka, zahtevaju ogromno vreme i resurse organizacija i u većini slučajeva onemogućavaju odgovor u realnom vremenu, ili makar u kratkom roku.

Tumačenje upozorenja – čak i kada se izda upozorenje, kod mnogih sistema najteže je shvatiti razlog zbog čega je upozorenje izdato i  postoji li preporučena reakcija/procedura.

Pravila upozoravanja kreću loše, ali se pogoršavaju – uzimajući u obzir more podataka i učestalost lažnih alarma, tradicionalni sistemi se ne prilagođavaju, kako bi stopirali izdavanje upozorenja, na kraju postaju neupotrebljivi i „ne uče se“ da daju relevantnija upozorenja koja će koristiti daljoj istrazi. Vremenom, sistem koji je započeo sa velikim brojem upozorenja i lažnih alarma, na kraju je postao sistem uglavnom lažnih alarm

KAKO MAŠINSKOPOMAŽE UČENJE POMAŽE U OVAKVIM SITUACIJAMA?

S obzirom na ova ograničenja tradicionalnih sistema, bezbednosni sistemi koji se oslanjaju na mašinsko učenje sve više se koriste za prevazilaženje ovih izazova. Mašinsko učenje je aspekt veštačke inteligencije koji računarima puža mogućnost učenja bez eksplicitnog programiranja ili konfigurisanja.

Fokus mašinskog učenja je razvoj računarskih programa koji mogu sebe naučiti „da rastu i menjaju se“ kroz analizu novih podataka. Na primer, Gradient platforma kompanije Giant Gray, koristi mašinsko učenje u integraciji s videom, SCADA ili sajber tehnologiju za smanjenje broja lažnih alarma kroz „samostalno učenje“, šta je normalno ponašanje u datom okruženju. Mašinsko učenje rešava ograničenja tradicionalnih sistema na nekoliko način

SMANJENJE TROŠKOVA ISTRAGE ALARMA POMOĆU INTELEGENTNE  PRIORITZACIJE

U tradicionalnom sistemu zasnovanom na pravilima, logika je u velikoj meri crno/bela. Ili su pravila prekršena ili nisu. Sva upozorenja tretiraju se jednako. U sistemu mašinskog učenja bez supervizije, logika za određivanje verovatnoće ili „neobičnosti“ nekog događaja može se zasnivati na korpusu vrlo detaljnog znanja koje se neprestano razvija. Zahvaljujući tome, ovakav sistem ima mogućnost da oceni neuobičajenost bilo kog datog događaja. Uz mogućnost dinamičkog rangiranja, upozorenja se mogu klasifikovati na osnovu ovog rezultata neuobičajenosti.

MAŠINSKO UČENJE SE FOKUSIRA NA RAZVOJ KOMPJUTERSKIH PROGRAMA KOJI

UČE DA SE RAZVIJAJU I MENJAJU U ODNOSU NA OBILJE NOVIH PODATAKA

 

ZAŠTO MAŠINSKO UČENJE U BEZBEDNOSNOJ INDUSTRIJI?

 nema osnovnih podataka za obučavanje koje možemo koristiti za kreiranje pouzdanih sistemskih pravila ili za obuku nadgledanih sistema učenja.

 ne možemo manuelno održavati korak sa promenama, tako da moramo da imamo sistem koji se stalno prilagođava, uči nova okruženja ili stanja i zaboravlja stara.

modeliranje i pravila su najdelotvorniji na dan kada su programirani; naredni napad neće izgledati kao poslednji, tako da nam treba inteligentan sistem koji može da identifikuje neočekivano.

    najopasnije pretnje sa kojima se svi suočavamo su one koje nikada ranije nisu bile viđene. Ne mogu se predvideti, pa stoga ne možemo programirati pravilo ni izgraditi model za nešto          što ne možemo  kvantitativno da izrazimo.

 

Kombinacija tradicionalno nepovezanih izvora upozorenja: sistemi za mašinsko učenje koriste složeni senzor, kolekciju pojedinačnih senzora raznih tipova koje će sistem prepoznati i alarmirati kao celinu, na osnovu odnosa između pojedinačnih senzora. Na primer: kada objekat A demonstrira određeno ponašanje, objekat B obično demonstrira drugačije ponašanje u određeno vreme. Sistem će upozoriti ukoliko se ne javlja nikakva očekivana korelacija.

Spoljna obaveštenja o opasnosti: sistem će se povezati sa poznatim bibliotekama pretnji kako bi pomogao klasifikaciji novih anomalija i preporučio šta bi trebalo uraditi za njihovo ublažavanje. Niko ne voli da vidi klasifikaciju „nepoznato“ ili „nep“, tako da mnogi od vodećih SIEM-ova imaju ugrađenu ovu funkcionalnost.

Automatsko samousavršavanje: povratne petlje moraju se čuvati i naučiti. Uvek postoji rizik da ljudski ulaz može pokvariti sistem učenja, što može dovesti do neželjenog izlaza.

Ovaj rizik je ublažen kontinuiranim učenjem, kroz koje ili jačamo memoriju, ili dovodimo do propadanja memorije (zaborava), na osnovu onoga što vidimo. Ovaj pristup se prilagođava promenljivim uslovima i može sprečiti dugoročne, nekompetentne povratne informacije.

Dodajte novi komentar