GÜVENLIK BILIMCILERINIZ, SIBER GÜVENLIĞIN GELIŞTIRILMESI IÇIN VERI BILIMCILERINIZDEN NELER ÖĞRENEBILIR? - TECHCRUNCH - BASIN YAYINLARI - 2019

Anonim

Michael Schiebel Katkıda Bulunan

Michael Schiebel, Hortonworks'teki Siber Güvenlik Endüstrisinin GM'sidir.

Güvenlik, işletmeler için çözülmemiş en büyük zorluklardan biri olmaya devam ediyor. Son 30 yılda milyarlarca dolar güvenlik teknolojisine harcandı, ancak bilgisayar korsanları her zamankinden daha başarılı görünüyor. Her organizasyon şu anda aşırı tehdit altında.

Bugün, korsanlık, eskiden olduğundan çok daha karmaşık bir sanattır: Artık yalnızca bir güvenlik açığı aracılığıyla ağa tarama ve nüfuz etmeyi içermez. Yine de, çoğu şirket tarafından kullanılan geleneksel güvenlik araçları çoğu zaman yetersiz kalmaktadır, çünkü bu konulara odaklanmakta ve günümüzde çok karmaşık bir olay sonrası süreç zincirinin ne olduğunu göz ardı etmektedir.

Çoğu araç, imza, algılama ve yanıt kuralları ile hala rol tabanlı. Bu onların düşüşü. Modern karmaşık saldırı zincirleri, keşiften sömürüye, ayrıcalıkların yükselmesine, iç yatay yayılmaya, verilerin fazladan süzülmesine ve zaman içinde sürekliliğe erişilmesine kadar birçok aşamaya sahiptir.

Büyük veri ve güvenlik alanındaki yeniliklerin çoğu artık açık kaynak dünyasında olduğundan, veri bilimcilerin öğrendiği ve güvenlik uzmanlarının dikkat etmesi gereken bazı dersler.

Anormalliklere odaklan

Veri bilimi, yapısal olmayan verilerle yapının oluşturulması ve etiketlenerek, normal veya anormal kalıpları makineyle veya derin öğrenme algoritmalarıyla karşılaştırabilmenizdir. Tıklama reklamı, alıcı duyarlılığı analizi, yüz tanıma algoritmaları, pandemik bir virüsü tahmin etme veya kötü amaçlı yazılımın bir ağ üzerinden yayılmasını modelleme, aynı temel veri bilimidir. Hangi değişiklikler, algıladığınız desen türüdür.

Bir test tüpünde çok fazla güvenlik aracı bulunur.

Müşterilerimizin "normal" satın alma davranışlarını aradığımız müşteri duyarlılığı analizini al. Bizimle nasıl etkileşiyorlar? Normal olan nedir? Bu, anormallikleri ve kenar durumları görmezden gelmek ve normal davranış türlerini sınıflandırmakla ilgilidir.

Şimdi, aynı alıcılar için çevrimiçi kredi kartı dolandırıcılığını anlamak istesem ne olur? Anormalliklere odaklanmak istiyorum. Aynı veriler, aynı teknikler ve aynı analitik modeller, ama normallere karşı aykırı değerlere odaklanmayı seçersiniz. Bu yüzden, bir güvenlik sağlayıcısının ve güvenlik uzmanının aynı verileri ve esasen aynı algoritmayı kullanması, sadece alternatif bir odak noktası ile çok önemlidir.

TÜM VERİLERİ KULLANIN

Bu, güvenlik uzmanları için belirgin olmayan bir veri bilimcisi olarak öğrendiğiniz temel bir şeydir. TÜM davranışsal değişiklikleri algılayan bir güvenlik çözümü için, makine öğrenimi algoritmalarınızı, önceden filtrelenmiş bir olay akışı değil, ham etkinliğe karşı çalıştırmalısınız.

Ham davranışı ilk etapta tespit edemiyorsanız, anormal davranışları ayırt etmek için analitik modeller ve davranışsal bir profil oluşturamazsınız. Geleneksel bir güvenlik ürününde oluşturulan uyarılardan güvenlik analizleri yapmayı planlıyorsanız, yanlış yoldasınız demektir. Bir test tüpünde çok fazla güvenlik aracı bulunur. Bu nedenle, güvenlik analizi çözümlerinin verileri nasıl topladıklarına, neleri topluca topladıklarına ve gerçek ve hareketsiz bir faaliyet akışı sağlayıp sağlamadıklarına bakmak önemlidir - hem dinlenme hem de hareket halinde.

Otomatikleştirin, otomatikleştirin, otomatikleştirin

Çoğu kuruluştaki asıl sorun, çok fazla güvenlik uyarısı verisinin çok hızlı gelmesidir. Olay müdahale ekipleri, olayları etkin bir şekilde izlemek, triyaj etmek ve güvenlik olaylarını ele almak için çok küçük ve bunaltıcıdır.

Saniyede yüz binlerce uyarı üreten şirketlerle konuştum. Ancak, varsayımsal olarak, büyük bir şirketin günde sadece 100.000 uyarı ürettiğini varsayalım. Dava başına ortalama 30 dakika harcayan dört kişilik bir olay müdahale ekibi, günde sadece kişi başına 16 uyarıyı veya her takım için en fazla 64 olayı tetikleyebilir. Uyarıların büyük çoğunluğu, hiç kimsenin fark etmemesinden önce ortalama 145 gün boyunca uzlaşmaların neden kaçabileceğini açıklayan, incelenmeden kalır. Bütün amaçlar ve amaçlar için, pek çok kuruluş aramıyor.

Güvenlik ekipleri günde daha fazla uyarı yüzdesini nasıl işleyebilir? Ya da potansiyel olarak en şiddetli olanları önceliklendirir misiniz? Yanıt, uyarıların algılanmasını ve yanıt vermesini agresif bir şekilde otomatik hale getirerek, etkinlik başına 30 dakikalık bir işlemi ikiye indirerek gerçekleştirir.

Anormal durumlara odaklanarak, mümkün olan tüm verileri kullanarak ve mümkün olduğunda bütünleştirerek ve otomatikleştirerek, olay müdahale ekipleri ve organizasyonları modern karmaşık saldırı zincirleriyle başa çıkabilecektir.