Sebuah sistem untuk menganalisis lalu lintas tanpa mendekripsinya. Metode ini disebut “pembelajaran mesin”. Ternyata jika sejumlah besar lalu lintas yang berbeda diumpankan ke masukan pengklasifikasi khusus, sistem dapat mendeteksi tindakan kode berbahaya di dalam lalu lintas terenkripsi dengan tingkat kemungkinan yang sangat tinggi.
Ancaman online telah berubah dan menjadi lebih cerdas. Baru-baru ini, konsep menyerang dan bertahan telah berubah. Jumlah kejadian di jaringan telah meningkat secara signifikan. Serangan menjadi lebih canggih dan jangkauan peretas lebih luas.
Menurut statistik Cisco, selama setahun terakhir, penyerang telah melipatgandakan jumlah malware yang mereka gunakan untuk aktivitasnya, atau lebih tepatnya, enkripsi untuk menyembunyikannya. Dari teori diketahui bahwa algoritma enkripsi yang “benar” tidak dapat dipatahkan. Untuk memahami apa yang tersembunyi di dalam lalu lintas terenkripsi, Anda perlu mendekripsinya dengan mengetahui kuncinya, atau mencoba mendekripsinya menggunakan berbagai trik, atau meretasnya secara langsung, atau menggunakan semacam kerentanan dalam protokol kriptografi.
Gambaran ancaman jaringan di zaman kita
Pembelajaran mesin
Ketahui teknologinya secara langsung! Sebelum membahas tentang cara kerja teknologi dekripsi berbasis pembelajaran mesin itu sendiri, perlu dipahami cara kerja teknologi jaringan saraf.
Pembelajaran Mesin adalah subbagian luas dari kecerdasan buatan yang mempelajari metode untuk membangun algoritma yang dapat dipelajari. Ilmu ini bertujuan untuk menciptakan model matematika untuk “melatih” komputer. Tujuan belajar adalah untuk meramalkan sesuatu. Dalam pemahaman manusia, kami menyebut proses ini dengan kata "kebijaksanaan". Kebijaksanaan terwujud pada orang yang sudah hidup cukup lama (anak usia 2 tahun belum bisa bijak). Saat meminta nasihat dari rekan-rekan senior, kami memberi mereka beberapa informasi tentang peristiwa tersebut (memasukkan data) dan meminta bantuan mereka. Mereka, pada gilirannya, mengingat semua situasi kehidupan yang entah bagaimana terkait dengan masalah Anda (basis pengetahuan) dan, berdasarkan pengetahuan (data) ini, memberi kita semacam prediksi (nasihat). Nasihat jenis ini mulai disebut ramalan karena orang yang memberi nasihat tidak mengetahui secara pasti apa yang akan terjadi, melainkan hanya berasumsi. Pengalaman hidup menunjukkan bahwa seseorang bisa benar, bisa juga salah.
Anda tidak boleh membandingkan jaringan saraf dengan algoritma percabangan (if-else). Ini adalah hal yang berbeda dan terdapat perbedaan utama. Algoritme percabangan memiliki “pemahaman” yang jelas tentang apa yang harus dilakukan. Saya akan mendemonstrasikannya dengan contoh.
Tugas. Tentukan jarak pengereman suatu mobil berdasarkan merek dan tahun pembuatannya.
Contoh algoritma percabangan. Jika mobil merek 1 dan dirilis pada tahun 2012 maka jarak pengeremannya adalah 10 meter, sebaliknya jika mobil merek 2 dirilis pada tahun 2011, dan seterusnya.
Contoh jaringan saraf. Kami mengumpulkan data jarak pengereman mobil selama 20 tahun terakhir. Berdasarkan merek dan tahun, kami menyusun tabel dalam bentuk “tahun pembuatan-jarak pengereman”. Kami mengeluarkan tabel ini ke jaringan saraf dan mulai mengajarkannya. Pelatihan dilakukan sebagai berikut: kami memasukkan data ke jaringan saraf, tetapi tanpa jalur penghambatan. Neuron mencoba memprediksi berapa jarak pengereman berdasarkan tabel yang dimuat ke dalamnya. Memprediksi sesuatu dan bertanya kepada pengguna “Apakah saya benar?” Sebelum bertanya, dia membuat kolom keempat, kolom tebakan. Jika dia benar, maka dia menulis 1 di kolom keempat, jika dia salah, dia menulis 0. Jaringan saraf berpindah ke kejadian berikutnya (walaupun membuat kesalahan). Beginilah cara jaringan belajar dan ketika pelatihan selesai (kriteria konvergensi tertentu telah tercapai), kami mengirimkan data tentang mobil yang kami minati dan akhirnya mendapatkan jawabannya.
Untuk menghilangkan pertanyaan tentang kriteria konvergensi, saya akan menjelaskan bahwa ini adalah rumus statistik yang diturunkan secara matematis. Contoh mencolok dari dua rumus konvergensi yang berbeda. Merah – konvergensi biner, biru – konvergensi normal.
Distribusi probabilitas binomial dan normal
Agar lebih jelas, ajukan pertanyaan “Berapa kemungkinan bertemu dinosaurus?” Ada 2 kemungkinan jawaban di sini. Opsi 1 – sangat kecil (grafik biru). Opsi 2 – rapat atau tidak (grafik merah).
Tentu saja, komputer bukanlah manusia dan ia belajar secara berbeda. Ada 2 jenis latihan kuda besi : pembelajaran berbasis kasus и pembelajaran deduktif.
Mengajar dengan preseden adalah cara mengajar menggunakan hukum matematika. Matematikawan mengumpulkan tabel statistik, menarik kesimpulan, dan memuat hasilnya ke dalam jaringan saraf - rumus perhitungan.
Pembelajaran deduktif - pembelajaran terjadi sepenuhnya di neuron (mulai dari pengumpulan data hingga analisisnya). Di sini tabel dibentuk tanpa rumus, tetapi dengan statistik.
Tinjauan luas tentang teknologi ini memerlukan beberapa lusin artikel lagi. Untuk saat ini, ini sudah cukup untuk pemahaman umum kita.
Neuroplastisitas
Dalam biologi ada konsep seperti itu - neuroplastisitas. Neuroplastisitas adalah kemampuan neuron (sel otak) untuk bertindak “sesuai dengan situasi”. Misalnya, seseorang yang kehilangan penglihatannya dapat mendengar suara, mencium, dan merasakan objek dengan lebih baik. Hal ini terjadi karena bagian otak (bagian dari neuron) yang bertanggung jawab atas penglihatan mendistribusikan kembali pekerjaannya ke fungsi lain.
Contoh mencolok dari neuroplastisitas dalam kehidupan adalah permen lolipop BrainPort.
Pada tahun 2009, Universitas Wisconsin di Madison mengumumkan peluncuran perangkat baru yang mengembangkan ide "tampilan bahasa" - yang disebut BrainPort. BrainPort bekerja berdasarkan algoritma berikut: sinyal video dikirim dari kamera ke prosesor, yang mengontrol zoom, kecerahan, dan parameter gambar lainnya. Ia juga mengubah sinyal digital menjadi impuls listrik, yang pada dasarnya mengambil alih fungsi retina.
BrainPort lolipop dengan kacamata dan kamera
BrainPort di tempat kerja
Sama dengan komputer. Jika jaringan saraf merasakan adanya perubahan dalam proses, maka jaringan tersebut akan beradaptasi dengannya. Inilah keunggulan utama jaringan saraf dibandingkan algoritma lain – otonomi. Semacam kemanusiaan.
Analisis Lalu Lintas Terenkripsi
Analisis Lalu Lintas Terenkripsi adalah bagian dari sistem Stealthwatch. Stealthwatch adalah entri Cisco ke dalam solusi pemantauan dan analitik keamanan yang memanfaatkan data telemetri perusahaan dari infrastruktur jaringan yang ada.
Stealthwatch Enterprise didasarkan pada Lisensi Laju Aliran, Kolektor Aliran, Konsol Manajemen, dan alat Sensor Aliran.
Antarmuka Cisco Stealthwatch
Masalah enkripsi menjadi sangat akut karena semakin banyak lalu lintas yang mulai dienkripsi. Sebelumnya, hanya kode yang dienkripsi (kebanyakan), namun sekarang semua lalu lintas dienkripsi dan pemisahan data “bersih” dari virus menjadi jauh lebih sulit. Contoh yang mencolok adalah WannaCry, yang menggunakan Tor untuk menyembunyikan kehadiran online-nya.
Visualisasi pertumbuhan enkripsi lalu lintas pada jaringan
Enkripsi dalam makroekonomi
Sistem Analisis Lalu Lintas Terenkripsi (ETA) diperlukan untuk bekerja dengan lalu lintas terenkripsi tanpa mendekripsinya. Penyerang cerdas dan menggunakan algoritme enkripsi yang tahan terhadap kripto, dan memecahkannya bukan hanya menjadi masalah, tetapi juga sangat mahal bagi organisasi.
Sistem bekerja sebagai berikut. Beberapa lalu lintas datang ke perusahaan. Itu termasuk dalam TLS (keamanan lapisan transportasi). Katakanlah lalu lintas dienkripsi. Kami mencoba menjawab sejumlah pertanyaan tentang jenis koneksi yang dibuat.
Cara kerja sistem Analisis Lalu Lintas Terenkripsi (ETA).
Untuk menjawab pertanyaan-pertanyaan ini kami menggunakan pembelajaran mesin dalam sistem ini. Penelitian dari Cisco diambil dan berdasarkan studi ini sebuah tabel dibuat dari 2 hasil - lalu lintas berbahaya dan “baik”. Tentu saja kita tidak mengetahui secara pasti jenis lalu lintas apa yang langsung masuk ke sistem pada saat ini, namun kita dapat menelusuri riwayat lalu lintas baik di dalam maupun di luar perusahaan dengan menggunakan data dari panggung dunia. Di akhir tahap ini, kita mendapatkan tabel besar berisi data.
Berdasarkan hasil penelitian, diidentifikasi ciri-ciri – aturan tertentu yang dapat dituliskan dalam bentuk matematika. Aturan-aturan ini akan sangat bervariasi tergantung pada kriteria yang berbeda - ukuran file yang ditransfer, jenis koneksi, negara asal lalu lintas ini, dll. Sebagai hasil dari pekerjaan tersebut, meja besar itu berubah menjadi sekumpulan tumpukan rumus. Jumlahnya lebih sedikit, tetapi ini tidak cukup untuk kenyamanan kerja.
Selanjutnya diterapkan teknologi pembelajaran mesin - konvergensi rumus dan berdasarkan hasil konvergensi kita mendapatkan trigger - saklar, dimana ketika data dikeluarkan kita mendapatkan saklar (bendera) pada posisi naik atau turun.
Tahap yang dihasilkan adalah memperoleh serangkaian pemicu yang mencakup 99% lalu lintas.
Langkah-langkah pemeriksaan lalu lintas di ETA
Sebagai hasil dari pekerjaan tersebut, masalah lain terpecahkan - serangan dari dalam. Tidak ada lagi kebutuhan bagi orang-orang di tengah-tengah memfilter lalu lintas secara manual (saya sendiri sedang tenggelam saat ini). Pertama, Anda tidak perlu lagi mengeluarkan banyak uang untuk administrator sistem yang kompeten (saya terus menenggelamkan diri). Kedua, tidak ada bahaya peretasan dari dalam (setidaknya sebagian).
Konsep Man-in-the-Middle yang ketinggalan jaman
Sekarang, mari kita cari tahu apa dasar sistemnya.
Sistem beroperasi pada 4 protokol komunikasi: TCP/IP – protokol transfer data Internet, DNS – server nama domain, TLS – protokol keamanan lapisan transport, SPLT (SpaceWire Physical Layer Tester) – penguji lapisan komunikasi fisik.
Protokol yang bekerja dengan ETA
Perbandingan dilakukan dengan membandingkan data. Dengan menggunakan protokol TCP/IP, reputasi situs diperiksa (riwayat kunjungan, tujuan pembuatan situs, dll.), berkat protokol DNS, kami dapat membuang alamat situs yang “buruk”. Protokol TLS bekerja dengan sidik jari suatu situs dan memverifikasi situs tersebut terhadap tim tanggap darurat komputer (sertifikat). Langkah terakhir dalam pengecekan koneksi adalah pengecekan pada level fisik. Tahapan ini tidak dijelaskan lebih rinci, namun intinya sebagai berikut: pengecekan kurva sinus dan cosinus kurva transmisi data pada instalasi osilografi yaitu Berkat struktur permintaan pada lapisan fisik, kami menentukan tujuan koneksi.
Sebagai hasil dari pengoperasian sistem, kami dapat memperoleh data dari lalu lintas terenkripsi. Dengan memeriksa paket, kita dapat membaca informasi sebanyak mungkin dari kolom yang tidak terenkripsi di dalam paket itu sendiri. Dengan memeriksa paket pada lapisan fisik, kita mengetahui karakteristik paket tersebut (sebagian atau seluruhnya). Juga, jangan lupakan reputasi situs tersebut. Jika permintaan tersebut berasal dari sumber .onion, Anda tidak boleh mempercayainya. Untuk mempermudah pengerjaan data semacam ini, peta risiko telah dibuat.
Hasil kerja ETA
Dan semuanya tampak baik-baik saja, tapi mari kita bicara tentang penerapan jaringan.
Implementasi fisik ETA
Sejumlah nuansa dan kehalusan muncul di sini. Pertama, saat membuat semacam ini
jaringan dengan perangkat lunak tingkat tinggi, pengumpulan data diperlukan. Kumpulkan data secara manual secara lengkap
liar, namun menerapkan sistem respons sudah lebih menarik. Kedua, datanya
harusnya banyak, artinya sensor jaringan yang dipasang harus berfungsi
tidak hanya secara mandiri, tetapi juga dalam mode yang disetel dengan baik, yang menimbulkan sejumlah kesulitan.
Sensor dan sistem Stealthwatch
Memasang sensor adalah satu hal, tetapi menyiapkannya adalah tugas yang berbeda. Untuk mengkonfigurasi sensor, ada kompleks yang beroperasi sesuai dengan topologi berikut - ISR = Cisco Integrated Services Router; ASR = Router Layanan Agregasi Cisco; CSR = Router Layanan Cloud Cisco; WLC = Pengontrol LAN Nirkabel Cisco; IE = Saklar Ethernet Industri Cisco; ASA = Peralatan Keamanan Adaptif Cisco; FTD = Solusi Pertahanan Ancaman Cisco Firepower; WSA = Alat Keamanan Web; ISE = Mesin Layanan Identitas
Pemantauan komprehensif dengan mempertimbangkan data telemetri apa pun
Administrator jaringan mulai mengalami aritmia dari banyaknya kata “Cisco” di paragraf sebelumnya. Harga keajaiban ini tidaklah kecil, tetapi bukan itu yang kita bicarakan hari ini...
Perilaku peretas akan dimodelkan sebagai berikut. Stealthwatch secara cermat memonitor aktivitas setiap perangkat di jaringan dan mampu menciptakan pola perilaku normal. Selain itu, solusi ini memberikan wawasan mendalam tentang perilaku tidak pantas yang diketahui. Solusinya menggunakan sekitar 100 algoritme analisis atau heuristik berbeda yang menangani berbagai jenis perilaku lalu lintas seperti pemindaian, bingkai alarm host, login brute force, dugaan pengambilan data, dugaan kebocoran data, dll. Peristiwa keamanan yang tercantum termasuk dalam kategori alarm logis tingkat tinggi. Beberapa peristiwa keamanan juga dapat memicu alarm dengan sendirinya. Dengan demikian, sistem ini mampu mengkorelasikan beberapa insiden anomali yang terisolasi dan menggabungkannya untuk menentukan kemungkinan jenis serangan, serta menghubungkannya ke perangkat dan pengguna tertentu (Gambar 2). Di masa depan, kejadian tersebut dapat dipelajari dari waktu ke waktu dan dengan mempertimbangkan data telemetri terkait. Ini merupakan informasi kontekstual yang terbaik. Dokter yang memeriksa pasiennya untuk memahami apa yang salah tidak hanya melihat gejalanya saja. Mereka melihat gambaran besarnya untuk membuat diagnosis. Demikian pula, Stealthwatch menangkap setiap aktivitas anomali di jaringan dan memeriksanya secara holistik untuk mengirimkan alarm peka konteks, sehingga membantu profesional keamanan memprioritaskan risiko.
Deteksi anomali menggunakan pemodelan perilaku
Penyebaran fisik jaringan terlihat seperti ini:
Opsi penerapan jaringan cabang (disederhanakan)
Opsi penyebaran jaringan cabang
Jaringan telah dikerahkan, namun pertanyaan tentang neuron tetap terbuka. Mereka mengatur jaringan transmisi data, memasang sensor di ambang pintu dan meluncurkan sistem pengumpulan informasi, tetapi neuron tidak mengambil bagian dalam masalah tersebut. Selamat tinggal.
Jaringan saraf multilayer
Sistem menganalisis perilaku pengguna dan perangkat untuk mendeteksi infeksi berbahaya, komunikasi dengan server perintah dan kontrol, kebocoran data, dan aplikasi yang mungkin tidak diinginkan yang berjalan di infrastruktur organisasi. Ada beberapa lapisan pemrosesan data di mana kombinasi kecerdasan buatan, pembelajaran mesin, dan teknik statistik matematika membantu jaringan mempelajari sendiri aktivitas normalnya sehingga dapat mendeteksi aktivitas berbahaya.
Saluran analisis keamanan jaringan, yang mengumpulkan data telemetri dari seluruh bagian jaringan yang diperluas, termasuk lalu lintas terenkripsi, adalah fitur unik Stealthwatch. Teknologi ini secara bertahap mengembangkan pemahaman tentang apa yang “anomali”, kemudian mengkategorikan masing-masing elemen “aktivitas ancaman”, dan akhirnya membuat penilaian akhir apakah perangkat atau pengguna benar-benar telah disusupi. Kemampuan untuk mengumpulkan potongan-potongan kecil yang bersama-sama membentuk bukti untuk membuat keputusan akhir mengenai apakah suatu aset telah disusupi terjadi melalui analisis dan korelasi yang sangat cermat.
Kemampuan ini penting karena suatu bisnis mungkin menerima sejumlah besar alarm setiap hari, dan tidak mungkin untuk menyelidiki setiap alarm karena profesional keamanan memiliki sumber daya yang terbatas. Modul pembelajaran mesin memproses sejumlah besar informasi hampir secara real-time untuk mengidentifikasi insiden kritis dengan tingkat keyakinan yang tinggi, dan juga mampu memberikan tindakan yang jelas untuk penyelesaian yang cepat.
Mari kita lihat lebih dekat berbagai teknik pembelajaran mesin yang digunakan oleh Stealthwatch. Saat sebuah insiden dikirimkan ke mesin pembelajaran mesin Stealthwatch, insiden tersebut melewati corong analisis keamanan yang menggunakan kombinasi teknik pembelajaran mesin yang diawasi dan tidak diawasi.
Kemampuan pembelajaran mesin multi-level
Tingkat 1. Deteksi anomali dan pemodelan kepercayaan
Pada tingkat ini, 99% lalu lintas dibuang menggunakan detektor anomali statistik. Sensor-sensor ini bersama-sama membentuk model kompleks tentang apa yang normal dan sebaliknya, tidak normal. Namun kelainan tersebut belum tentu berbahaya. Banyak hal yang terjadi di jaringan Anda tidak ada hubungannya dengan ancaman tersebut—hanya aneh. Penting untuk mengklasifikasikan proses-proses tersebut tanpa memperhatikan perilaku yang mengancam. Oleh karena itu, hasil pendeteksi tersebut dianalisis lebih lanjut untuk menangkap perilaku aneh yang dapat dijelaskan dan dipercaya. Pada akhirnya, hanya sebagian kecil dari thread dan permintaan terpenting yang berhasil mencapai lapisan 2 dan 3. Tanpa penggunaan teknik pembelajaran mesin seperti itu, biaya operasional untuk memisahkan sinyal dari noise akan terlalu tinggi.
Deteksi anomali. Langkah pertama dalam deteksi anomali menggunakan teknik pembelajaran mesin statistik untuk memisahkan lalu lintas normal secara statistik dari lalu lintas anomali. Lebih dari 70 detektor individu memproses data telemetri yang dikumpulkan Stealthwatch pada lalu lintas yang melewati perimeter jaringan Anda, memisahkan lalu lintas Sistem Nama Domain (DNS) internal dari data server proxy, jika ada. Setiap permintaan diproses oleh lebih dari 70 detektor, dengan masing-masing detektor menggunakan algoritma statistiknya sendiri untuk membentuk penilaian terhadap anomali yang terdeteksi. Skor ini digabungkan dan beberapa metode statistik digunakan untuk menghasilkan satu skor untuk setiap kueri individual. Skor agregat ini kemudian digunakan untuk memisahkan lalu lintas normal dan anomali.
Memodelkan kepercayaan. Selanjutnya, permintaan serupa dikelompokkan, dan skor anomali agregat untuk kelompok tersebut ditentukan sebagai rata-rata jangka panjang. Seiring waktu, lebih banyak kueri dianalisis untuk menentukan rata-rata jangka panjang, sehingga mengurangi positif palsu dan negatif palsu. Hasil pemodelan kepercayaan digunakan untuk memilih subkumpulan lalu lintas yang skor anomalinya melebihi ambang batas yang ditentukan secara dinamis untuk berpindah ke tingkat pemrosesan berikutnya.
Level 2. Klasifikasi peristiwa dan pemodelan objek
Pada tingkat ini, hasil yang diperoleh pada tahap sebelumnya diklasifikasikan dan ditetapkan ke peristiwa berbahaya tertentu. Peristiwa diklasifikasikan berdasarkan nilai yang ditetapkan oleh pengklasifikasi pembelajaran mesin untuk memastikan tingkat akurasi yang konsisten di atas 90%. Diantara mereka:
- model linier berdasarkan lemma Neyman-Pearson (hukum distribusi normal dari grafik di awal artikel)
- mendukung mesin vektor menggunakan pembelajaran multivariat
- jaringan saraf dan algoritma hutan acak.
Peristiwa keamanan yang terisolasi ini kemudian dikaitkan dengan satu titik akhir dari waktu ke waktu. Pada tahap inilah deskripsi ancaman terbentuk, berdasarkan gambaran lengkap tentang bagaimana penyerang terkait berhasil mencapai hasil tertentu.
Klasifikasi peristiwa. Subset yang anomali secara statistik dari level sebelumnya didistribusikan ke dalam 100 kategori atau lebih menggunakan pengklasifikasi. Kebanyakan pengklasifikasi didasarkan pada perilaku individu, hubungan kelompok, atau perilaku dalam skala global atau lokal, sementara yang lain mungkin cukup spesifik. Misalnya, pengklasifikasi dapat menunjukkan lalu lintas C&C, ekstensi yang mencurigakan, atau pembaruan perangkat lunak yang tidak sah. Berdasarkan hasil tahapan ini maka terbentuklah sekumpulan kejadian anomali pada sistem keamanan yang diklasifikasikan ke dalam kategori tertentu.
Pemodelan objek. Jika jumlah bukti yang mendukung hipotesis bahwa suatu objek tertentu berbahaya melebihi ambang batas materialitas, maka ancaman ditentukan. Peristiwa relevan yang memengaruhi definisi ancaman dikaitkan dengan ancaman tersebut dan menjadi bagian dari model objek jangka panjang yang terpisah. Ketika bukti terakumulasi dari waktu ke waktu, sistem mengidentifikasi ancaman baru ketika ambang batas materialitas tercapai. Nilai ambang batas ini bersifat dinamis dan disesuaikan secara cerdas berdasarkan tingkat risiko ancaman dan faktor lainnya. Setelah ini, ancaman muncul di panel informasi antarmuka web dan dipindahkan ke tingkat berikutnya.
Tingkat 3. Pemodelan Hubungan
Tujuan dari pemodelan hubungan adalah untuk mensintesis hasil yang diperoleh pada tingkat sebelumnya dari perspektif global, dengan mempertimbangkan tidak hanya konteks lokal tetapi juga konteks global dari kejadian yang relevan. Pada tahap inilah Anda dapat menentukan berapa banyak organisasi yang mengalami serangan semacam itu untuk memahami apakah serangan tersebut ditujukan khusus kepada Anda atau merupakan bagian dari kampanye global, dan Anda baru saja ketahuan.
Insiden dikonfirmasi atau ditemukan. Sebuah insiden yang terverifikasi menyiratkan tingkat kepercayaan 99 hingga 100% karena teknik dan alat yang terkait sebelumnya telah diamati dalam skala yang lebih besar (global). Insiden yang terdeteksi bersifat unik bagi Anda dan merupakan bagian dari kampanye yang sangat bertarget. Temuan sebelumnya dibagikan dengan tindakan yang diketahui, sehingga menghemat waktu dan sumber daya Anda sebagai respons. Mereka dilengkapi dengan alat investigasi yang Anda perlukan untuk memahami siapa yang menyerang Anda dan sejauh mana kampanye tersebut menargetkan bisnis digital Anda. Seperti yang dapat Anda bayangkan, jumlah insiden yang terkonfirmasi jauh melebihi jumlah insiden yang terdeteksi karena alasan sederhana bahwa insiden yang terkonfirmasi tidak menimbulkan banyak kerugian bagi penyerang, sedangkan insiden yang terdeteksi memerlukan banyak biaya.
mahal karena harus baru dan disesuaikan. Dengan menciptakan kemampuan untuk mengidentifikasi insiden yang terkonfirmasi, kondisi ekonomi permainan akhirnya bergeser ke arah pemain bertahan, sehingga memberi mereka keuntungan tersendiri.
Pelatihan multi-level sistem koneksi saraf berdasarkan ETA
Peta risiko global
Peta risiko global dibuat melalui analisis yang diterapkan oleh algoritma pembelajaran mesin pada salah satu kumpulan data terbesar di industri. Ini memberikan statistik ekstensif tentang perilaku server di Internet, meskipun server tersebut tidak diketahui. Server tersebut dikaitkan dengan serangan dan mungkin terlibat atau digunakan sebagai bagian dari serangan di masa depan. Ini bukan “daftar hitam”, tetapi gambaran menyeluruh tentang server yang bersangkutan dari sudut pandang keamanan. Informasi kontekstual tentang aktivitas server ini memungkinkan detektor dan pengklasifikasi pembelajaran mesin Stealthwatch memprediksi secara akurat tingkat risiko yang terkait dengan komunikasi dengan server tersebut.
Anda dapat melihat kartu yang tersedia .
Peta dunia menunjukkan 460 juta alamat IP
Sekarang jaringan belajar dan berdiri untuk melindungi jaringan Anda.
Akhirnya obat mujarab ditemukan?
Sayangnya, tidak. Dari pengalaman bekerja dengan sistem, saya dapat mengatakan bahwa ada 2 masalah global.
Masalah 1. Harga. Seluruh jaringan dikerahkan pada sistem Cisco. Ini baik dan buruk. Sisi baiknya adalah Anda tidak perlu repot dan memasang banyak colokan seperti D-Link, MikroTik, dll. Sisi negatifnya adalah biaya sistem yang besar. Mengingat keadaan ekonomi bisnis Rusia, saat ini hanya pemilik kaya dari sebuah perusahaan besar atau bank yang mampu melakukan keajaiban ini.
Masalah 2: Pelatihan. Saya tidak menulis di artikel tentang masa pelatihan jaringan saraf, tetapi bukan karena tidak ada, tetapi karena jaringan tersebut belajar sepanjang waktu dan kita tidak dapat memprediksi kapan akan belajar. Tentu saja, ada alat statistik matematika (ambil rumusan yang sama dari kriteria konvergensi Pearson), tetapi ini hanya setengah-setengah. Kami mendapatkan kemungkinan memfilter lalu lintas, itupun hanya dengan syarat serangan telah dikuasai dan diketahui.
Terlepas dari 2 masalah ini, kami telah membuat lompatan besar dalam pengembangan keamanan informasi secara umum dan perlindungan jaringan pada khususnya. Fakta ini dapat menjadi motivasi untuk mempelajari teknologi jaringan dan jaringan syaraf tiruan yang kini menjadi arah yang sangat menjanjikan.
Sumber: www.habr.com