Järjestelmä liikenteen analysoimiseen ilman sen salauksen purkamista. Tätä menetelmää kutsutaan yksinkertaisesti "koneoppimiseksi". Kävi ilmi, että jos erityisen luokittelijan tuloon syötetään erittäin suuri määrä erilaista liikennettä, järjestelmä pystyy havaitsemaan haitallisen koodin toiminnot salatussa liikenteessä erittäin suurella todennäköisyydellä.
Verkkouhat ovat muuttuneet ja älykkäämpiä. Viime aikoina hyökkäyksen ja puolustuksen käsite on muuttunut. Tapahtumien määrä verkossa on lisääntynyt merkittävästi. Hyökkäyksistä on tullut kehittyneempiä ja hakkereilla on laajempi ulottuvuus.
Ciscon tilastojen mukaan hyökkääjät ovat viimeisen vuoden aikana kolminkertaistaneet toiminnassaan käyttämiensä haittaohjelmien määrän tai pikemminkin salauksen niiden piilottamiseksi. Teoriasta tiedetään, että "oikeaa" salausalgoritmia ei voi rikkoa. Ymmärtääkseen, mitä salatun liikenteen sisällä on piilotettu, on tarpeen joko purkaa sen salaus avaimen tiedossa tai yrittää purkaa se käyttämällä erilaisia temppuja tai hakkerointia suoraan tai käyttämällä jonkinlaisia kryptografisten protokollien haavoittuvuuksia.
Kuva aikamme verkkouhkista
Koneoppiminen
Tutustu tekniikkaan henkilökohtaisesti! Ennen kuin puhumme siitä, kuinka koneoppimiseen perustuva salauksenpurkutekniikka itsessään toimii, on välttämätöntä ymmärtää, miten hermoverkkotekniikka toimii.
Koneoppiminen on tekoälyn laaja alaosa, joka tutkii menetelmiä oppimiskykyisten algoritmien rakentamiseen. Tämän tieteen tarkoituksena on luoda matemaattisia malleja tietokoneen "kouluttamiseen". Oppimisen tarkoitus on ennustaa jotain. Ihmisen ymmärryksessä kutsumme tätä prosessia sanaksi "viisaus". Viisaus ilmenee ihmisissä, jotka ovat eläneet melko pitkään (2-vuotias lapsi ei voi olla viisas). Kääntyessämme vanhempien tovereiden puoleen annamme heille tietoa tapahtumasta (syöttötiedot) ja pyydämme heiltä apua. He puolestaan muistavat elämästä kaikki tilanteet, jotka liittyvät jotenkin sinun ongelmaasi (tietokanta) ja antavat meille tämän tiedon (datan) perusteella eräänlaisen ennusteen (neuvon). Tällaista neuvoa alettiin kutsua ennustukseksi, koska neuvonantaja ei tiedä varmasti, mitä tapahtuu, vaan vain olettaa. Elämänkokemus osoittaa, että ihminen voi olla oikeassa tai hän voi olla väärässä.
Sinun ei pitäisi verrata neuroverkkoja haarautumisalgoritmiin (jos-else). Nämä ovat eri asioita, ja niissä on keskeisiä eroja. Haaroitusalgoritmilla on selkeä "ymmärrys" siitä, mitä tehdä. Esitän esimerkein.
Tehtävä. Määritä auton jarrutusmatka sen merkin ja valmistusvuoden perusteella.
Esimerkki haarautumisalgoritmista. Jos auto on merkki 1 ja julkaistiin vuonna 2012, sen jarrutusmatka on 10 metriä, muuten, jos auto on merkki 2 ja julkaistiin vuonna 2011 ja niin edelleen.
Esimerkki hermoverkosta. Keräämme tietoja auton jarrutusmatkoista viimeisen 20 vuoden ajalta. Valmistamme merkin ja vuoden mukaan taulukon muodossa "valmistusvuosi - jarrutusmatka". Annamme tämän taulukon hermoverkolle ja alamme opettaa sitä. Harjoittelu suoritetaan seuraavasti: syötämme dataa hermoverkkoon, mutta ilman jarrutuspolkua. Neuroni yrittää ennustaa jarrutusmatkan siihen ladatun taulukon perusteella. Ennustaa jotain ja kysyy käyttäjältä "Olenko oikeassa?" Ennen kysymystä hän luo neljännen sarakkeen, arvaussarakkeen. Jos hän on oikeassa, hän kirjoittaa neljänteen sarakkeeseen 1:n, jos hän on väärässä, hän kirjoittaa 0. Neuroverkko siirtyy seuraavaan tapahtumaan (vaikka se tekisi virheen). Näin verkosto oppii ja kun koulutus on suoritettu (tietty konvergenssikriteeri on saavutettu), lähetämme tiedot meitä kiinnostavasta autosta ja saamme lopulta vastauksen.
Poistaakseni kysymyksen lähentymiskriteeristä selitän, että tämä on matemaattisesti johdettu kaava tilastoille. Silmiinpistävä esimerkki kahdesta erilaisesta konvergenssikaavasta. Punainen – binäärinen konvergenssi, sininen – normaali konvergenssi.
Binomi- ja normaalitodennäköisyysjakaumat
Selventääksesi asiaa, kysy kysymys "Millä todennäköisyydellä tapaat dinosauruksen?" Tässä on 2 mahdollista vastausta. Vaihtoehto 1 – hyvin pieni (sininen kaavio). Vaihtoehto 2 – joko kokous tai ei (punainen kaavio).
Tietenkin tietokone ei ole ihminen ja se oppii eri tavalla. Rautahevosen koulutusta on 2 tyyppiä: tapauspohjainen oppiminen и deduktiivinen oppiminen.
Ennakkoopetus on tapa opettaa matemaattisia lakeja käyttäen. Matemaatikot keräävät tilastotaulukoita, tekevät johtopäätöksiä ja lataavat tuloksen neuroverkkoon - laskentakaavaan.
Deduktiivinen oppiminen - oppiminen tapahtuu kokonaan neuronissa (tiedonkeruusta sen analysointiin). Tässä muodostetaan taulukko ilman kaavaa, mutta tilastoilla.
Laaja yleiskatsaus teknologiasta vaatisi vielä parikymmentä artikkelia. Toistaiseksi tämä riittää yleisen ymmärryksemme kannalta.
Neuroplastisuus
Biologiassa on sellainen käsite - neuroplastisuus. Neuroplastisuus on hermosolujen (aivosolujen) kykyä toimia "tilanteen mukaan". Esimerkiksi näkönsä menettänyt ihminen kuulee paremmin ääniä, haistaa ja aistii esineitä. Tämä johtuu siitä, että näkemisestä vastaava aivojen osa (osa hermosoluista) jakaa työnsä uudelleen muille toiminnoille.
Hämmästyttävä esimerkki elämän neuroplastisuudesta on BrainPort-tikkari.
Vuonna 2009 Wisconsinin yliopisto Madisonissa ilmoitti julkaisevansa uuden laitteen, joka kehitti "kielinäytön" ideat - sen nimi oli BrainPort. BrainPort toimii seuraavan algoritmin mukaan: videosignaali lähetetään kamerasta prosessorille, joka ohjaa zoomia, kirkkautta ja muita kuvan parametreja. Se myös muuntaa digitaaliset signaalit sähköisiksi impulsseiksi ja ottaa pääasiallisesti haltuunsa verkkokalvon toiminnot.
BrainPort tikkari lasilla ja kameralla
BrainPort töissä
Sama tietokoneen kanssa. Jos hermoverkko havaitsee muutoksen prosessissa, se mukautuu siihen. Tämä on hermoverkkojen tärkein etu muihin algoritmeihin verrattuna – autonomia. Eräänlaista ihmisyyttä.
Salattu liikenneanalyysi
Salattu liikenneanalyysi on osa Stealthwatch-järjestelmää. Stealthwatch on Ciscon aloitus tietoturvan valvonta- ja analytiikkaratkaisuihin, jotka hyödyntävät yrityksen telemetriatietoja olemassa olevasta verkkoinfrastruktuurista.
Stealthwatch Enterprise perustuu Flow Rate License-, Flow Collector-, Management Console- ja Flow Sensor -työkaluihin.
Cisco Stealthwatch -käyttöliittymä
Salausongelma tuli erittäin akuuttiksi, koska paljon enemmän liikennettä alettiin salata. Aikaisemmin vain koodi oli salattu (enimmäkseen), mutta nyt kaikki liikenne on salattua ja "puhtaan" tiedon erottaminen viruksista on muuttunut paljon vaikeammaksi. Silmiinpistävä esimerkki on WannaCry, joka käytti Toria piilottaakseen läsnäolonsa verkossa.
Liikenteen salauksen kasvun visualisointi verkossa
Salaus makrotaloudessa
Encrypted Traffic Analytics (ETA) -järjestelmä on välttämätön juuri salatun liikenteen työskentelyyn ilman salauksen purkamista. Hyökkääjät ovat älykkäitä ja käyttävät kryptonkestäviä salausalgoritmeja, ja niiden rikkominen ei ole vain ongelma, vaan myös erittäin kallista organisaatioille.
Järjestelmä toimii seuraavasti. Yritykselle tulee jonkin verran liikennettä. Se kuuluu TLS:ään (transport layer security). Oletetaan, että liikenne on salattua. Yritämme vastata useisiin kysymyksiin siitä, millaista yhteyttä muodostettiin.
Miten Encrypted Traffic Analytics (ETA) -järjestelmä toimii
Vastataksemme näihin kysymyksiin käytämme koneoppimista tässä järjestelmässä. Ciscon tutkimus otetaan ja näiden tutkimusten perusteella luodaan taulukko kahdesta tuloksesta - haitallisesta ja "hyvästä" liikenteestä. Emme tietenkään tiedä varmaksi, millaista liikennettä järjestelmään tuli suoraan kulloinkin, mutta voimme seurata liikenteen historiaa sekä yrityksen sisällä että sen ulkopuolella maailman näyttämön datan avulla. Tämän vaiheen lopussa saamme valtavan datataulukon.
Tutkimuksen tulosten perusteella tunnistetaan ominaispiirteet - tietyt säännöt, jotka voidaan kirjoittaa matemaattiseen muotoon. Nämä säännöt vaihtelevat suuresti riippuen eri kriteereistä - siirrettyjen tiedostojen koosta, yhteyden tyypistä, maasta, josta tämä liikenne tulee, jne. Työn tuloksena valtava pöytä muuttui joukoksi kaavoja. Niitä on vähemmän, mutta tämä ei riitä mukavaan työhön.
Seuraavaksi sovelletaan koneoppimistekniikkaa - kaavakonvergenssi ja konvergenssin tuloksen perusteella saadaan triggeri - kytkin, jossa dataa tulostettaessa saamme kytkimen (lipun) ylös- tai alaspäin.
Tuloksena oleva vaihe on laukaisimien sarja, joka kattoi 99 % liikenteestä.
Liikennetarkastuksen vaiheet ETA:ssa
Työn tuloksena toinen ongelma ratkeaa - hyökkäys sisältä. Enää ei tarvita keskellä olevia ihmisiä, jotka suodattavat liikennettä manuaalisesti (hukutan itseni tässä vaiheessa). Ensinnäkin, sinun ei enää tarvitse kuluttaa paljon rahaa pätevään järjestelmänvalvojaan (hukutan edelleen itseni). Toiseksi, ei ole vaaraa hakkeroinnista sisältä (ainakin osittain).
Vanhentunut Man-in-the-Middle -konsepti
Selvitetään nyt, mihin järjestelmä perustuu.
Järjestelmä toimii neljällä tiedonsiirtoprotokollalla: TCP/IP – Internet-tiedonsiirtoprotokolla, DNS – domain name server, TLS – kuljetuskerroksen suojausprotokolla, SPLT (SpaceWire Physical Layer Tester) – fyysisen tiedonsiirtokerroksen testaaja.
ETA:n kanssa toimivat protokollat
Vertailu tehdään vertaamalla tietoja. TCP/IP-protokollien avulla tarkistetaan sivustojen maine (käyntihistoria, sivuston luomisen tarkoitus jne.), DNS-protokollan ansiosta voimme hylätä "huonot" sivustoosoitteet. TLS-protokolla toimii sivuston sormenjäljen kanssa ja varmistaa sivuston tietokoneen hätätilanneryhmää (cert) vastaan. Viimeinen vaihe yhteyden tarkistamisessa on fyysisen tason tarkistus. Tämän vaiheen yksityiskohtia ei ole määritelty, mutta asia on seuraava: tiedonsiirtokäyrien sini- ja kosinikäyrien tarkistaminen oskillografisissa asennuksissa, ts. Fyysisen kerroksen pyynnön rakenteen ansiosta määritämme yhteyden tarkoituksen.
Järjestelmän toiminnan ansiosta voimme saada tietoja salatusta liikenteestä. Paketteja tutkimalla voimme lukea mahdollisimman paljon tietoa itse paketin salaamattomista kentistä. Tarkastelemalla pakettia fyysisellä kerroksella saamme selville paketin ominaisuudet (osittain tai kokonaan). Älä myöskään unohda sivustojen mainetta. Jos pyyntö tuli jostain .onion-lähteestä, sinun ei pitäisi luottaa siihen. Tällaisten tietojen käsittelyn helpottamiseksi on luotu riskikartta.
ETA:n työn tulos
Ja kaikki näyttää olevan kunnossa, mutta puhutaanpa verkon käyttöönotosta.
ETA:n fyysinen toteutus
Tässä syntyy useita vivahteita ja hienouksia. Ensinnäkin, kun luot tällaista
verkkoihin korkean tason ohjelmistoilla, tiedonkeruu vaaditaan. Kerää tiedot manuaalisesti kokonaan
villi, mutta vastausjärjestelmän toteuttaminen on jo mielenkiintoisempaa. Toiseksi tiedot
niitä pitäisi olla paljon, mikä tarkoittaa, että asennettujen verkkoanturien on toimittava
ei vain itsenäisesti, vaan myös hienosäädetyssä tilassa, mikä aiheuttaa useita vaikeuksia.
Anturit ja Stealthwatch-järjestelmä
Anturin asentaminen on yksi asia, mutta sen asentaminen on täysin eri tehtävä. Antureiden konfigurointia varten on olemassa kompleksi, joka toimii seuraavan topologian mukaisesti - ISR = Cisco Integrated Services Router; ASR = Cisco Aggregation Services Router; CSR = Cisco Cloud Services Router; WLC = Cisco Wireless LAN Controller; IE = Cisco Industrial Ethernet Switch; ASA = Cisco Adaptive Security Appliance; FTD = Cisco Firepower Threat Defense Solution; WSA = Web Security Appliance; ISE = Identity Services Engine
Kattava valvonta ottaen huomioon kaikki telemetriset tiedot
Verkon ylläpitäjät alkavat kokea rytmihäiriöitä sanojen "Cisco" perusteella edellisessä kappaleessa. Tämän ihmeen hinta ei ole pieni, mutta siitä emme tänään puhu...
Hakkerin käyttäytyminen mallinnetaan seuraavasti. Stealthwatch tarkkailee tarkasti jokaisen verkon laitteen toimintaa ja pystyy luomaan normaalin käyttäytymismallin. Lisäksi tämä ratkaisu tarjoaa syvän käsityksen tunnetusta sopimattomasta käytöksestä. Ratkaisu käyttää noin 100 erilaista analyysialgoritmia tai heuristiikkaa, jotka käsittelevät erilaisia liikennekäyttäytymistyyppejä, kuten skannausta, isäntähälytyskehyksiä, brute force -kirjautumisia, epäiltyä tiedonkeruuta, epäiltyä tietovuotoa jne. . Listatut turvallisuustapahtumat kuuluvat korkean tason loogisten hälytysten luokkaan. Jotkut turvallisuustapahtumat voivat myös laukaista hälytyksen itsestään. Siten järjestelmä pystyy korreloimaan useita yksittäisiä poikkeavia tapauksia ja yhdistämään ne mahdollisen hyökkäyksen tyypin määrittämiseksi sekä linkittämään sen tiettyyn laitteeseen ja käyttäjään (kuva 2). Tulevaisuudessa tapahtumaa voidaan tutkia ajan mittaan ja siihen liittyvät telemetriatiedot huomioon ottaen. Tämä on kontekstuaalista tietoa parhaimmillaan. Lääkärit, jotka tutkivat potilasta ymmärtääkseen, mikä on vialla, eivät katso oireita erillään. He katsovat isoa kuvaa tehdäkseen diagnoosin. Samoin Stealthwatch tallentaa jokaisen poikkeavan toiminnan verkossa ja tutkii sen kokonaisvaltaisesti lähettääkseen kontekstitietoisia hälytyksiä, mikä auttaa tietoturva-ammattilaisia priorisoimaan riskit.
Poikkeamien havaitseminen käyttäytymismallinnuksen avulla
Verkon fyysinen käyttöönotto näyttää tältä:
Haaraverkon käyttöönottovaihtoehto (yksinkertaistettu)
Haaraverkon käyttöönottovaihtoehto
Verkko on otettu käyttöön, mutta kysymys hermosolusta on edelleen avoin. He järjestivät tiedonsiirtoverkon, asensivat antureita kynnyksille ja käynnistettiin tiedonkeruujärjestelmä, mutta hermosolu ei osallistunut asiaan. Hei hei.
Monikerroksinen neuroverkko
Järjestelmä analysoi käyttäjien ja laitteiden käyttäytymistä havaitakseen haitalliset infektiot, viestinnän komento- ja ohjauspalvelimien kanssa, tietovuodot ja mahdollisesti ei-toivotut sovellukset, jotka toimivat organisaation infrastruktuurissa. Tietojenkäsittelyssä on useita kerroksia, joissa tekoälyn, koneoppimisen ja matemaattisten tilastotekniikoiden yhdistelmä auttaa verkkoa oppimaan itse normaalia toimintaansa, jotta se voi havaita haitallisen toiminnan.
Verkkoturvallisuusanalyysiputkisto, joka kerää telemetriatietoja laajennetun verkon kaikista osista, mukaan lukien salattu liikenne, on Stealthwatchin ainutlaatuinen ominaisuus. Se kehittää vähitellen ymmärrystä siitä, mikä on "poikkeavaa", sitten luokittelee "uhkatoiminnan" todelliset yksittäiset elementit ja tekee lopuksi lopullisen arvion siitä, onko laite tai käyttäjä todella vaarantunut. Kyky koota yhteen pieniä paloja, jotka yhdessä muodostavat todisteen lopullisen päätöksen tekemiseksi siitä, onko omaisuus vaarantunut, saadaan erittäin huolellisen analyysin ja korrelaation avulla.
Tämä kyky on tärkeä, koska tyypillinen yritys voi saada valtavan määrän hälytyksiä joka päivä, ja jokaista on mahdotonta tutkia, koska turvallisuusalan ammattilaisten resurssit ovat rajalliset. Koneoppimismoduuli käsittelee valtavia määriä tietoa lähes reaaliajassa tunnistaakseen kriittiset tapahtumat korkealla luotettavuudella ja pystyy myös tarjoamaan selkeät toimintatavat nopeaa ratkaisua varten.
Katsotaanpa tarkemmin Stealthwatchin käyttämiä lukuisia koneoppimistekniikoita. Kun tapaus lähetetään Stealthwatchin koneoppimismoottorille, se käy läpi suojausanalyysisuppilon, joka käyttää yhdistelmää valvottuja ja valvomattomia koneoppimistekniikoita.
Monitasoiset koneoppimisominaisuudet
Taso 1. Poikkeamien havaitseminen ja luottamuksen mallinnus
Tällä tasolla 99 % liikenteestä hylätään tilastollisten poikkeamien ilmaisimien avulla. Nämä anturit muodostavat yhdessä monimutkaisia malleja siitä, mikä on normaalia ja mikä päinvastoin epänormaalia. Epänormaali ei kuitenkaan välttämättä ole haitallista. Suuri osa siitä, mitä verkossasi tapahtuu, ei liity mitenkään uhkaan – se on vain outoa. On tärkeää luokitella tällaiset prosessit ottamatta huomioon uhkaavaa käyttäytymistä. Tästä syystä tällaisten ilmaisimien tuloksia analysoidaan edelleen, jotta saadaan selville outo käyttäytyminen, joka voidaan selittää ja johon voidaan luottaa. Lopulta vain pieni osa tärkeimmistä säikeistä ja pyynnöistä pääsee kerroksille 2 ja 3. Ilman tällaisten koneoppimistekniikoiden käyttöä signaalin ja kohinan erottamisen toimintakustannukset olisivat liian korkeat.
Anomalian havaitseminen. Ensimmäinen vaihe poikkeamien havaitsemisessa käyttää tilastollisia koneoppimistekniikoita tilastollisesti normaalin liikenteen erottamiseen poikkeavasta liikenteestä. Yli 70 yksittäistä ilmaisinta käsittelee telemetriatietoja, joita Stealthwatch kerää verkkoalueen läpi kulkevasta liikenteestä ja erottaa sisäisen DNS-liikenteen välityspalvelimen tiedoista, jos sellaisia on. Jokaisen pyynnön käsittelee yli 70 ilmaisinta, ja jokainen ilmaisin käyttää omaa tilastollista algoritmiaan arvioidakseen havaitut poikkeamat. Nämä pisteet yhdistetään, ja useita tilastollisia menetelmiä käytetään tuottamaan yksi pistemäärä jokaiselle yksittäiselle kyselylle. Tätä kokonaispistemäärää käytetään sitten normaalin ja poikkeavan liikenteen erottamiseen.
Luottamuksen mallinnus. Seuraavaksi samankaltaiset pyynnöt ryhmitellään ja tällaisten ryhmien poikkeamien kokonaispistemäärä määritetään pitkän aikavälin keskiarvona. Ajan myötä enemmän kyselyitä analysoidaan pitkän aikavälin keskiarvon määrittämiseksi, mikä vähentää vääriä positiivisia ja vääriä negatiivisia. Luottamusmallinnuksen tuloksia käytetään valitsemaan liikenteen osajoukko, jonka poikkeavuuspisteet ylittävät jonkin dynaamisesti määritetyn kynnyksen, siirtyäkseen seuraavalle käsittelytasolle.
Taso 2. Tapahtumaluokitus ja objektimallinnus
Tällä tasolla edellisissä vaiheissa saadut tulokset luokitellaan ja kohdistetaan tiettyihin haitallisiin tapahtumiin. Tapahtumat luokitellaan koneoppimisluokittajien antaman arvon perusteella, jotta varmistetaan tasainen yli 90 %:n tarkkuus. Heidän joukossa:
- Lineaariset mallit, jotka perustuvat Neyman-Pearsonin lemmaan (normaalijakauman laki artikkelin alussa olevasta kaaviosta)
- tukee monimuuttujaoppimista käyttäviä vektorikoneita
- hermoverkot ja satunnainen metsäalgoritmi.
Nämä yksittäiset tietoturvatapahtumat liitetään sitten yhteen päätepisteeseen ajan myötä. Tässä vaiheessa muodostetaan uhkakuvaus, jonka perusteella luodaan kokonaiskuva siitä, kuinka asianomainen hyökkääjä onnistui saavuttamaan tiettyjä tuloksia.
Tapahtumien luokittelu. Tilastollisesti poikkeava osajoukko edelliseltä tasolta jaetaan 100 tai useampaan kategoriaan luokittimien avulla. Useimmat luokittelijat perustuvat yksilön käyttäytymiseen, ryhmäsuhteisiin tai käyttäytymiseen globaalissa tai paikallisessa mittakaavassa, kun taas toiset voivat olla melko tarkkoja. Luokitin voi esimerkiksi ilmoittaa C&C-liikenteen, epäilyttävän laajennuksen tai luvattoman ohjelmistopäivityksen. Tämän vaiheen tulosten perusteella muodostuu joukko turvajärjestelmän poikkeavia tapahtumia, jotka on luokiteltu tiettyihin luokkiin.
Objektimallinnus. Jos todisteiden määrä, joka tukee hypoteesia tietyn esineen haitallisuudesta ylittää olennaisuusrajan, uhka määritellään. Uhan määritelmään vaikuttaneet olennaiset tapahtumat liitetään tällaiseen uhkaan ja niistä tulee osa objektin erillistä pitkän aikavälin mallia. Kun näyttöä kertyy ajan myötä, järjestelmä tunnistaa uusia uhkia, kun olennaisuusraja saavutetaan. Tämä kynnysarvo on dynaaminen ja sitä säädetään älykkäästi uhkariskin tason ja muiden tekijöiden perusteella. Tämän jälkeen uhka ilmestyy verkkoliittymän tietopaneeliin ja siirtyy seuraavalle tasolle.
Taso 3. Suhdemallinnus
Suhdemallinnuksen tarkoituksena on syntetisoida aikaisemmilla tasoilla saadut tulokset globaalista näkökulmasta ottaen huomioon tapahtuman paikallisen lisäksi myös globaali konteksti. Tässä vaiheessa voit määrittää, kuinka moni organisaatio on kohdannut tällaisen hyökkäyksen, jotta voit ymmärtää, oliko se suunnattu nimenomaan sinulle vai onko se osa maailmanlaajuista kampanjaa, ja jäitkö juuri kiinni.
Tapahtumat vahvistetaan tai havaitaan. Varmennettu tapaus merkitsee 99-100 %:n luottamusta, koska niihin liittyvät tekniikat ja työkalut on aiemmin havaittu toiminnassa laajemmassa (globaalissa) mittakaavassa. Havaitut tapahtumat ovat ainutlaatuisia sinulle ja ovat osa tarkasti kohdistettua kampanjaa. Aiemmat havainnot jaetaan tunnetun toimintatavan kanssa, mikä säästää aikaa ja resursseja vastauksena. Niiden mukana tulee tutkintatyökalut, joita tarvitset ymmärtääksesi, kuka hyökkäsi kimppuusi ja missä määrin kampanja kohdistui digitaaliseen liiketoimintaasi. Kuten voit kuvitella, vahvistettujen tapausten määrä ylittää huomattavasti havaittujen määrän siitä yksinkertaisesta syystä, että vahvistetut tapaukset eivät aiheuta paljon kustannuksia hyökkääjille, kun taas havaitut tapaukset aiheuttavat paljon.
kalliita, koska niiden on oltava uusia ja räätälöityjä. Luomalla kyvyn tunnistaa vahvistetut tapahtumat, pelin talous on vihdoin siirtynyt puolustajien hyväksi, mikä antaa heille selkeän edun.
Neuroyhteysjärjestelmän monitasoinen koulutus ETA:n perusteella
Maailmanlaajuinen riskikartta
Maailmanlaajuinen riskikartta luodaan analyysin avulla, jota koneoppimisalgoritmit soveltavat yhteen alan suurimmista tietojoukoista. Se tarjoaa laajoja käyttäytymistilastoja Internet-palvelimista, vaikka ne olisivat tuntemattomia. Tällaiset palvelimet liittyvät hyökkäyksiin, ja niitä voidaan tulevaisuudessa käyttää osana hyökkäyksiä. Tämä ei ole "musta lista", vaan kattava kuva kyseisestä palvelimesta tietoturvan näkökulmasta. Näiden palvelimien toimintaa koskevien asiayhteyteen liittyvien tietojen avulla Stealthwatchin koneoppimistunnistimet ja luokittelijat voivat ennustaa tarkasti tällaisten palvelimien kanssa tapahtuvaan viestintään liittyvän riskin.
Voit tarkastella käytettävissä olevia kortteja .
Maailmankartta, jossa on 460 miljoonaa IP-osoitetta
Nyt verkko oppii ja puolustaa verkkoasi.
Onko lopultakin löytynyt ihmelääke?
Valitettavasti ei. Järjestelmän kanssa työskentelyn perusteella voin sanoa, että globaaleja ongelmia on kaksi.
Ongelma 1. Hinta. Koko verkko on käytössä Cisco-järjestelmässä. Tämä on sekä hyvää että huonoa. Hyvä puoli on, että sinun ei tarvitse vaivautua ja asentaa joukko pistokkeita, kuten D-Link, MikroTik jne. Huono puoli on järjestelmän valtava hinta. Ottaen huomioon Venäjän liiketoiminnan taloudellisen tilanteen, tällä hetkellä vain varakkaalla suuren yrityksen tai pankin omistajalla on varaa tähän ihmeeseen.
Ongelma 2: Harjoittelu. En kirjoittanut artikkeliin hermoverkon koulutusjaksoa, mutta en siksi, että sitä ei ole olemassa, vaan koska se oppii koko ajan, emmekä voi ennustaa milloin se oppii. Tietenkin on olemassa matemaattisten tilastojen työkaluja (otetaan sama Pearsonin konvergenssikriteerin muotoilu), mutta nämä ovat puolimittaisia. Saamme liikenteen suodattamisen todennäköisyyden, ja silloinkin vain sillä ehdolla, että hyökkäys on jo hallittu ja tunnettu.
Näistä kahdesta ongelmasta huolimatta olemme tehneet suuren harppauksen tietoturvan kehityksessä yleensä ja verkkosuojauksen erityisesti. Tämä tosiasia voi motivoida verkkoteknologioiden ja hermoverkkojen tutkimiseen, jotka ovat nyt erittäin lupaava suunta.
Lähde: will.com