Një sistem për analizimin e trafikut pa e deshifruar atë. Kjo metodë quhet thjesht "mësimi me makinë". Doli që nëse një vëllim shumë i madh i trafikut të ndryshëm futet në hyrjen e një klasifikuesi të veçantë, sistemi mund të zbulojë veprimet e kodit me qëllim të keq brenda trafikut të koduar me një shkallë shumë të lartë probabiliteti.
Kërcënimet në internet kanë ndryshuar dhe janë bërë më të zgjuara. Kohët e fundit, vetë koncepti i sulmit dhe mbrojtjes ka ndryshuar. Numri i ngjarjeve në rrjet është rritur ndjeshëm. Sulmet janë bërë më të sofistikuara dhe hakerët kanë një shtrirje më të gjerë.
Sipas statistikave të Cisco-s, gjatë vitit të kaluar, sulmuesit kanë trefishuar numrin e malware që përdorin për aktivitetet e tyre, ose më mirë, enkriptimin për t'i fshehur ato. Dihet nga teoria se algoritmi i kriptimit "korrekt" nuk mund të prishet. Për të kuptuar se çfarë fshihet brenda trafikut të koduar, është e nevojshme ose ta deshifroni atë duke ditur çelësin, ose të përpiqeni ta deshifroni atë duke përdorur truke të ndryshme, ose duke hakuar drejtpërdrejt, ose duke përdorur një lloj dobësie në protokollet kriptografike.
Një foto e kërcënimeve të rrjetit të kohës sonë
Të mësuarit makinerik
Njihni personalisht teknologjinë! Para se të flasim për mënyrën se si funksionon vetë teknologjia e deshifrimit e bazuar në mësimin e makinerive, është e nevojshme të kuptojmë se si funksionon teknologjia e rrjetit nervor.
Mësimi i Makinerisë është një nënseksion i gjerë i inteligjencës artificiale që studion metodat për ndërtimin e algoritmeve që mund të mësojnë. Kjo shkencë synon krijimin e modeleve matematikore për "trajnimin" e një kompjuteri. Qëllimi i të mësuarit është të parashikosh diçka. Në kuptimin njerëzor, ne e quajmë këtë proces fjalë "mençuria". Mençuria shfaqet te njerëzit që kanë jetuar për një kohë mjaft të gjatë (një fëmijë 2-vjeçar nuk mund të jetë i mençur). Kur u drejtohemi shokëve të vjetër për këshilla, ne u japim atyre disa informacione për ngjarjen (të dhëna hyrëse) dhe u kërkojmë ndihmë. Ata, nga ana tjetër, kujtojnë të gjitha situatat nga jeta që lidhen disi me problemin tuaj (baza e njohurive) dhe, bazuar në këto njohuri (të dhëna), na japin një lloj parashikimi (këshille). Kjo lloj këshille filloi të quhet parashikim sepse personi që jep këshilla nuk e di me siguri se çfarë do të ndodhë, por vetëm supozon. Përvoja e jetës tregon se një person mund të ketë të drejtë, ose mund të ketë gabim.
Ju nuk duhet të krahasoni rrjetet nervore me algoritmin e degëzimit (nëse-tjetër). Këto janë gjëra të ndryshme dhe ka dallime kryesore. Algoritmi i degëzimit ka një "kuptim" të qartë se çfarë duhet bërë. Do ta demonstroj me shembuj.
Detyrë. Përcaktoni distancën e frenimit të një makine bazuar në markën e saj dhe vitin e prodhimit.
Një shembull i algoritmit të degëzimit. Nëse një makinë është e markës 1 dhe është lëshuar në vitin 2012, distanca e frenimit të saj është 10 metra, përndryshe, nëse makina është e markës 2 dhe është lëshuar në 2011, e kështu me radhë.
Një shembull i një rrjeti nervor. Ne mbledhim të dhëna për distancat e frenimit të makinave gjatë 20 viteve të fundit. Sipas markës dhe vitit, ne përpilojmë një tabelë të formës "viti i prodhimit-distanca e frenimit". Ne e lëshojmë këtë tabelë në rrjetin nervor dhe fillojmë ta mësojmë atë. Trajnimi kryhet si më poshtë: ne ushqejmë të dhëna në rrjetin nervor, por pa një rrugë frenimi. Neuroni përpiqet të parashikojë se cila do të jetë distanca e frenimit bazuar në tabelën e ngarkuar në të. Parashikon diçka dhe pyet përdoruesin "A kam të drejtë?" Para pyetjes, ajo krijon një kolonë të katërt, kolonën e hamendësimit. Nëse ajo ka të drejtë, atëherë ajo shkruan 1 në kolonën e katërt, nëse gabon, shkruan 0. Rrjeti nervor kalon në ngjarjen tjetër (edhe nëse ka bërë një gabim). Kështu mëson rrjeti dhe kur të përfundojë trajnimi (është arritur një kriter i caktuar konvergjence), ne dërgojmë të dhëna për makinën që na intereson dhe në fund marrim një përgjigje.
Për të hequr pyetjen në lidhje me kriterin e konvergjencës, do të shpjegoj se kjo është një formulë e nxjerrë matematikisht për statistikat. Një shembull i mrekullueshëm i dy formulave të ndryshme të konvergjencës. E kuqe - konvergjencë binare, blu - konvergjencë normale.
Shpërndarjet binomiale dhe normale të probabilitetit
Për ta bërë më të qartë, bëni pyetjen "Sa është probabiliteti për të takuar një dinosaur?" Këtu janë 2 përgjigje të mundshme. Opsioni 1 - shumë i vogël (grafiku blu). Opsioni 2 - ose një takim ose jo (grafiku i kuq).
Sigurisht, një kompjuter nuk është një person dhe ai mëson ndryshe. Ekzistojnë 2 lloje të stërvitjes së kuajve të hekurt: mësimi i bazuar në raste и të mësuarit deduktiv.
Mësimdhënia sipas precedentit është një mënyrë e mësimdhënies duke përdorur ligjet matematikore. Matematikanët mbledhin tabela statistikore, nxjerrin përfundime dhe ngarkojnë rezultatin në rrjetin nervor - një formulë për llogaritjen.
Të mësuarit deduktiv - të mësuarit ndodh tërësisht në neuron (nga mbledhja e të dhënave deri në analizën e tij). Këtu formohet një tabelë pa formulë, por me statistika.
Një pasqyrë e gjerë e teknologjisë do të kërkonte disa duzina artikujsh të tjerë. Për momentin, kjo do të mjaftojë për mirëkuptimin tonë të përgjithshëm.
Neuroplasticiteti
Në biologji ekziston një koncept i tillë - neuroplasticiteti. Neuroplasticiteti është aftësia e neuroneve (qelizave të trurit) për të vepruar "sipas situatës". Për shembull, një person që ka humbur shikimin i dëgjon tingujt, nuhat dhe i ndjen më mirë objektet. Kjo ndodh për shkak të faktit se pjesa e trurit (pjesë e neuroneve) përgjegjëse për shikimin e rishpërndan punën e saj në funksione të tjera.
Një shembull i mrekullueshëm i neuroplasticitetit në jetë është gjel sheqeri BrainPort.
Në vitin 2009, Universiteti i Wisconsin në Madison njoftoi lëshimin e një pajisjeje të re që zhvilloi idetë e një "ekrani gjuhësor" - u quajt BrainPort. BrainPort funksionon sipas algoritmit të mëposhtëm: sinjali video dërgohet nga kamera te procesori, i cili kontrollon zmadhimin, ndriçimin dhe parametrat e tjerë të figurës. Ai gjithashtu konverton sinjalet dixhitale në impulse elektrike, duke marrë në thelb funksionet e retinës.
Lollipop BrainPort me syze dhe kamerë
BrainPort në punë
E njëjta gjë me një kompjuter. Nëse rrjeti nervor ndjen një ndryshim në proces, ai përshtatet me të. Ky është avantazhi kryesor i rrjeteve nervore në krahasim me algoritmet e tjera - autonomia. Një lloj njerëzimi.
Analiza e koduar e trafikut
Analiza e koduar e trafikut është pjesë e sistemit Stealthwatch. Stealthwatch është hyrja e Cisco-s në zgjidhjet e monitorimit të sigurisë dhe analitikës që shfrytëzon të dhënat e telemetrisë së ndërmarrjeve nga infrastruktura ekzistuese e rrjetit.
Stealthwatch Enterprise bazohet në licencën e shpejtësisë së rrjedhës, koleksionistin e rrjedhës, panelin e menaxhimit dhe mjetet e sensorit të rrjedhës.
Ndërfaqja Cisco Stealthwatch
Problemi me kriptimin u bë shumë i mprehtë për shkak të faktit se shumë më tepër trafik filloi të kodohej. Më parë, vetëm kodi ishte i koduar (kryesisht), por tani i gjithë trafiku është i koduar dhe ndarja e të dhënave "të pastra" nga viruset është bërë shumë më e vështirë. Një shembull i mrekullueshëm është WannaCry, i cili përdori Tor për të fshehur praninë e tij në internet.
Vizualizimi i rritjes së kriptimit të trafikut në rrjet
Kriptimi në makroekonomi
Sistemi i analitikës së trafikut të koduar (ETA) është i nevojshëm pikërisht për të punuar me trafikun e koduar pa e deshifruar atë. Sulmuesit janë të zgjuar dhe përdorin algoritme kriptimi rezistente ndaj kriptove, dhe thyerja e tyre nuk është vetëm një problem, por edhe jashtëzakonisht i kushtueshëm për organizatat.
Sistemi funksionon si më poshtë. Një pjesë e trafikut vjen në kompani. Ai bie në TLS (siguria e shtresës së transportit). Le të themi se trafiku është i koduar. Ne po përpiqemi t'i përgjigjemi një sërë pyetjesh se çfarë lloj lidhjeje është bërë.
Si funksionon sistemi i analitikës së trafikut të koduar (ETA).
Për t'iu përgjigjur këtyre pyetjeve ne përdorim mësimin e makinerive në këtë sistem. Kërkimet nga Cisco janë marrë dhe bazuar në këto studime krijohet një tabelë nga 2 rezultate - trafiku keqdashës dhe "i mirë". Sigurisht, ne nuk e dimë me siguri se çfarë lloj trafiku ka hyrë në sistem drejtpërdrejt në momentin aktual, por ne mund të gjurmojmë historinë e trafikut brenda dhe jashtë kompanisë duke përdorur të dhëna nga skena botërore. Në fund të kësaj faze, marrim një tabelë të madhe me të dhëna.
Bazuar në rezultatet e studimit, identifikohen tipare karakteristike - rregulla të caktuara që mund të shkruhen në formë matematikore. Këto rregulla do të ndryshojnë shumë në varësi të kritereve të ndryshme - madhësia e skedarëve të transferuar, lloji i lidhjes, vendi nga vjen ky trafik, etj. Si rezultat i punës, tavolina e madhe u shndërrua në një grup formulash. Ka më pak prej tyre, por kjo nuk mjafton për punë të rehatshme.
Më pas, aplikohet teknologjia e mësimit të makinerisë - konvergjenca e formulës dhe në bazë të rezultatit të konvergjencës marrim një shkas - një ndërprerës, ku kur dalin të dhënat marrim një çelës (flamur) në pozicionin e ngritur ose të ulur.
Faza që rezulton është marrja e një grupi shkasash që mbuluan 99% të trafikut.
Hapat e inspektimit të trafikut në ETA
Si rezultat i punës, zgjidhet një problem tjetër - një sulm nga brenda. Nuk ka më nevojë për njerëz në mes duke filtruar trafikun manualisht (po mbyt veten në këtë pikë). Së pari, nuk keni më nevojë të shpenzoni shumë para për një administrator kompetent të sistemit (Unë vazhdoj të mbyt veten). Së dyti, nuk ka rrezik të hakimit nga brenda (të paktën pjesërisht).
Koncepti i vjetëruar Man-in-the-Middle
Tani, le të kuptojmë se në çfarë bazohet sistemi.
Sistemi funksionon në 4 protokolle komunikimi: TCP/IP – Protokolli i transferimit të të dhënave në Internet, DNS – server emri i domain-it, TLS – protokolli i sigurisë së shtresës së transportit, SPLT (SpaceWire Physical Layer Tester) – testues i shtresës fizike të komunikimit.
Protokollet që punojnë me ETA
Krahasimi bëhet duke krahasuar të dhënat. Duke përdorur protokollet TCP/IP, kontrollohet reputacioni i faqeve (historia e vizitave, qëllimi i krijimit të faqes, etj.), Falë protokollit DNS, ne mund të hedhim poshtë adresat e faqeve "të këqija". Protokolli TLS funksionon me gjurmën e gishtit të një siti dhe verifikon sitin kundrejt një ekipi kompjuterik të reagimit ndaj urgjencës (cert). Hapi i fundit në kontrollimin e lidhjes është kontrolli në nivel fizik. Detajet e kësaj faze nuk janë të specifikuara, por çështja është si vijon: kontrollimi i kurbave të sinusit dhe kosinusit të kurbave të transmetimit të të dhënave në instalimet oscilografike, d.m.th. Falë strukturës së kërkesës në shtresën fizike, ne përcaktojmë qëllimin e lidhjes.
Si rezultat i funksionimit të sistemit, ne mund të marrim të dhëna nga trafiku i koduar. Duke ekzaminuar paketat, ne mund të lexojmë sa më shumë informacion të jetë e mundur nga fushat e pakriptuara në vetë paketën. Duke inspektuar paketën në shtresën fizike, ne zbulojmë karakteristikat e paketës (pjesërisht ose plotësisht). Gjithashtu, mos harroni për reputacionin e faqeve. Nëse kërkesa erdhi nga ndonjë burim .qepë, nuk duhet t'i besoni asaj. Për ta bërë më të lehtë punën me këto lloj të dhënash, është krijuar një hartë rreziku.
Rezultati i punës së ETA-s
Dhe gjithçka duket se është në rregull, por le të flasim për vendosjen e rrjetit.
Zbatimi fizik i ETA
Këtu lindin një numër nuancash dhe hollësish. Së pari, kur krijoni këtë lloj
rrjete me softuer të nivelit të lartë, kërkohet mbledhja e të dhënave. Mblidhni plotësisht të dhëna manualisht
i egër, por zbatimi i një sistemi reagimi është tashmë më interesant. Së dyti, të dhënat
duhet të ketë shumë, që do të thotë se sensorët e instaluar të rrjetit duhet të funksionojnë
jo vetëm në mënyrë autonome, por edhe në një mënyrë të akorduar mirë, gjë që krijon një sërë vështirësish.
Sensorët dhe sistemi i orës së fshehtë
Instalimi i një sensori është një gjë, por vendosja e tij është një detyrë krejtësisht e ndryshme. Për të konfiguruar sensorët, ekziston një kompleks që funksionon sipas topologjisë së mëposhtme - ISR = Cisco Integrated Services Router; ASR = Cisco Aggregation Services Router; CSR = Cisco Cloud Services Router; WLC = Cisco Wireless LAN Controller; IE = Cisco Industrial Ethernet Switch; ASA = Cisco Adaptive Security Appliance; FTD = Cisco Firepower Threat Defense Solution; WSA = Web Security Appliance; ISE = Motori i Shërbimeve të Identitetit
Monitorim gjithëpërfshirës duke marrë parasysh çdo të dhënë telemetrike
Administratorët e rrjetit fillojnë të përjetojnë aritmi nga numri i fjalëve "Cisco" në paragrafin e mëparshëm. Çmimi i kësaj mrekullie nuk është i vogël, por për këtë nuk po flasim sot...
Sjellja e hakerit do të modelohet si më poshtë. Stealthwatch monitoron me kujdes aktivitetin e çdo pajisjeje në rrjet dhe është në gjendje të krijojë një model sjelljeje normale. Për më tepër, kjo zgjidhje ofron një pasqyrë të thellë në sjelljen e njohur të papërshtatshme. Zgjidhja përdor afërsisht 100 algoritme të ndryshme analize ose heuristika që trajtojnë lloje të ndryshme të sjelljes së trafikut si skanimi, kornizat e alarmit të hostit, hyrjet me forcë brutale, kapja e dyshuar e të dhënave, rrjedhja e dyshuar e të dhënave, etj. Ngjarjet e sigurisë të listuara bien nën kategorinë e alarmeve logjike të nivelit të lartë. Disa ngjarje sigurie gjithashtu mund të shkaktojnë vetë një alarm. Kështu, sistemi është në gjendje të ndërlidhë incidente të shumta anormale të izoluara dhe t'i bashkojë ato për të përcaktuar llojin e mundshëm të sulmit, si dhe ta lidhë atë me një pajisje dhe përdorues të caktuar (Figura 2). Në të ardhmen, incidenti mund të studiohet me kalimin e kohës dhe duke marrë parasysh të dhënat e telemetrisë shoqëruese. Ky përbën informacion kontekstual në rastin më të mirë. Mjekët që ekzaminojnë një pacient për të kuptuar se çfarë nuk shkon, nuk i shikojnë simptomat në izolim. Ata shikojnë pamjen e madhe për të bërë një diagnozë. Po kështu, Stealthwatch kap çdo aktivitet anormal në rrjet dhe e shqyrton atë në mënyrë holistike për të dërguar alarme të vetëdijshëm për kontekstin, duke ndihmuar kështu profesionistët e sigurisë t'u japin përparësi rreziqeve.
Zbulimi i anomalive duke përdorur modelimin e sjelljes
Shpërndarja fizike e rrjetit duket si kjo:
Opsioni i vendosjes së rrjetit të degëve (i thjeshtuar)
Opsioni i vendosjes së rrjetit të degëve
Rrjeti është vendosur, por pyetja në lidhje me neuronin mbetet e hapur. Ata organizuan një rrjet transmetimi të të dhënave, instaluan sensorë në pragjet dhe nisën një sistem të mbledhjes së informacionit, por neuroni nuk mori pjesë në këtë çështje. Mirupafshim.
Rrjeti nervor me shumë shtresa
Sistemi analizon sjelljen e përdoruesit dhe pajisjes për të zbuluar infeksione me qëllim të keq, komunikime me serverët e komandës dhe kontrollit, rrjedhjet e të dhënave dhe aplikacionet potencialisht të padëshiruara që ekzekutohen në infrastrukturën e organizatës. Ka shumë shtresa të përpunimit të të dhënave ku një kombinim i teknikave të inteligjencës artificiale, mësimit të makinerive dhe statistikave matematikore e ndihmojnë rrjetin të mësojë vetë aktivitetin e tij normal në mënyrë që të mund të zbulojë aktivitetin keqdashës.
Tubacioni i analizës së sigurisë së rrjetit, i cili mbledh të dhëna telemetrike nga të gjitha pjesët e rrjetit të zgjeruar, duke përfshirë trafikun e koduar, është një veçori unike e Stealthwatch. Ai zhvillon në mënyrë graduale një kuptim të asaj që është "anormale", më pas kategorizon elementet aktuale individuale të "aktivitetit të kërcënimit" dhe më në fund bën një gjykim përfundimtar nëse pajisja ose përdoruesi është komprometuar në të vërtetë. Aftësia për të bashkuar pjesë të vogla që së bashku formojnë provat për të marrë një vendim përfundimtar nëse një aktiv është komprometuar vjen përmes analizës dhe korrelacionit shumë të kujdesshëm.
Kjo aftësi është e rëndësishme sepse një biznes tipik mund të marrë një numër të madh alarmesh çdo ditë, dhe është e pamundur të hetohet secili, sepse profesionistët e sigurisë kanë burime të kufizuara. Moduli i mësimit të makinerive përpunon sasi të mëdha informacioni pothuajse në kohë reale për të identifikuar incidentet kritike me një nivel të lartë besimi, dhe është gjithashtu në gjendje të sigurojë drejtime të qarta veprimi për zgjidhje të shpejtë.
Le të hedhim një vështrim më të afërt në teknikat e shumta të mësimit të makinerive të përdorura nga Stealthwatch. Kur një incident i paraqitet motorit të mësimit të makinerive të Stealthwatch, ai kalon përmes një gypi analize sigurie që përdor një kombinim të teknikave të mësimit të makinerive të mbikëqyrura dhe të pambikëqyrura.
Aftësitë e të mësuarit të makinerive me shumë nivele
Niveli 1. Zbulimi i anomalive dhe modelimi i besimit
Në këtë nivel, 99% e trafikut hidhet poshtë duke përdorur detektorë të anomalive statistikore. Këta sensorë së bashku formojnë modele komplekse të asaj që është normale dhe çfarë, përkundrazi, është jonormale. Megjithatë, jonormalja nuk është domosdoshmërisht e dëmshme. Shumë nga ato që po ndodhin në rrjetin tuaj nuk kanë të bëjnë me kërcënimin - është thjesht e çuditshme. Është e rëndësishme të klasifikohen procese të tilla pa marrë parasysh sjelljen kërcënuese. Për këtë arsye, rezultatet e detektorëve të tillë analizohen më tej për të kapur sjellje të çuditshme që mund të shpjegohen dhe besohen. Në fund të fundit, vetëm një pjesë e vogël e temave dhe kërkesave më të rëndësishme arrijnë në shtresat 2 dhe 3. Pa përdorimin e teknikave të tilla të mësimit të makinerive, kostot operacionale të ndarjes së sinjalit nga zhurma do të ishin shumë të larta.
Zbulimi i anomalive. Hapi i parë në zbulimin e anomalive përdor teknika statistikore të mësimit të makinerive për të ndarë trafikun statistikisht normal nga trafiku anormal. Më shumë se 70 detektorë individualë përpunojnë të dhënat e telemetrisë që mbledh Stealthwatch në trafikun që kalon nëpër perimetrin e rrjetit tuaj, duke ndarë trafikun e brendshëm të Sistemit të Emrave të Domainit (DNS) nga të dhënat e serverit proxy, nëse ka. Çdo kërkesë përpunohet nga më shumë se 70 detektorë, ku secili detektor përdor algoritmin e tij statistikor për të formuar një vlerësim të anomalive të zbuluara. Këto rezultate janë të kombinuara dhe përdoren metoda të shumta statistikore për të prodhuar një pikë të vetme për çdo pyetje individuale. Ky rezultat i përgjithshëm përdoret më pas për të ndarë trafikun normal dhe atë anomal.
Modelimi i besimit. Më pas, kërkesa të ngjashme grupohen dhe rezultati i përgjithshëm i anomalive për grupe të tilla përcaktohet si një mesatare afatgjatë. Me kalimin e kohës, analizohen më shumë pyetje për të përcaktuar mesataren afatgjatë, duke reduktuar në këtë mënyrë pozitive false dhe negative false. Rezultatet e modelimit të besimit përdoren për të zgjedhur një nëngrup trafiku, rezultati i anomalisë së të cilit tejkalon një prag të përcaktuar dinamikisht për të kaluar në nivelin tjetër të përpunimit.
Niveli 2. Klasifikimi i ngjarjeve dhe modelimi i objekteve
Në këtë nivel, rezultatet e marra në fazat e mëparshme klasifikohen dhe u caktohen ngjarjeve specifike me qëllim të keq. Ngjarjet klasifikohen bazuar në vlerën e caktuar nga klasifikuesit e mësimit të makinerive për të siguruar një shkallë të qëndrueshme saktësie mbi 90%. Midis tyre:
- modele lineare të bazuara në lemën Neyman-Pearson (ligji i shpërndarjes normale nga grafiku në fillim të artikullit)
- mbështesin makinat vektoriale që përdorin të mësuarit me shumë variacione
- rrjetet nervore dhe algoritmi i rastësishëm i pyjeve.
Këto ngjarje të izoluara sigurie shoqërohen më pas me një pikë përfundimtare të vetme me kalimin e kohës. Është në këtë fazë që formohet një përshkrim i kërcënimit, në bazë të të cilit krijohet një pamje e plotë se si sulmuesi përkatës ka arritur të arrijë rezultate të caktuara.
Klasifikimi i ngjarjeve. Nëngrupi statistikisht anormal nga niveli i mëparshëm shpërndahet në 100 ose më shumë kategori duke përdorur klasifikues. Shumica e klasifikuesve bazohen në sjelljen individuale, marrëdhëniet në grup ose sjelljen në shkallë globale ose lokale, ndërsa të tjerët mund të jenë mjaft specifik. Për shembull, klasifikuesi mund të tregojë trafikun C&C, një shtesë të dyshimtë ose një përditësim të paautorizuar të softuerit. Në bazë të rezultateve të kësaj faze, formohet një grup ngjarjesh anormale në sistemin e sigurisë, të klasifikuara në kategori të caktuara.
Modelimi i objekteve. Nëse sasia e provave që mbështesin hipotezën se një objekt i caktuar është i dëmshëm tejkalon pragun e materialitetit, përcaktohet një kërcënim. Ngjarjet përkatëse që ndikuan në përkufizimin e një kërcënimi shoqërohen me një kërcënim të tillë dhe bëhen pjesë e një modeli diskret afatgjatë të objektit. Ndërsa provat grumbullohen me kalimin e kohës, sistemi identifikon kërcënime të reja kur arrihet pragu i materialitetit. Kjo vlerë e pragut është dinamike dhe rregullohet në mënyrë inteligjente bazuar në nivelin e rrezikut të kërcënimit dhe faktorë të tjerë. Pas kësaj, kërcënimi shfaqet në panelin e informacionit të ndërfaqes në internet dhe transferohet në nivelin tjetër.
Niveli 3. Modelimi i Marrëdhënieve
Qëllimi i modelimit të marrëdhënieve është të sintetizojë rezultatet e marra në nivelet e mëparshme nga një perspektivë globale, duke marrë parasysh jo vetëm kontekstin lokal, por edhe global të incidentit përkatës. Është në këtë fazë që ju mund të përcaktoni se sa organizata kanë hasur në një sulm të tillë në mënyrë që të kuptoni nëse ai ishte drejtuar posaçërisht ndaj jush apo është pjesë e një fushate globale, dhe ju sapo u kapët.
Incidentet konfirmohen ose zbulohen. Një incident i verifikuar nënkupton 99 deri në 100% besim, sepse teknikat dhe mjetet e lidhura më parë janë vëzhguar në veprim në një shkallë më të madhe (globale). Incidentet e zbuluara janë unike për ju dhe janë pjesë e një fushate shumë të shënjestruar. Gjetjet e kaluara ndahen me një kurs veprimi të njohur, duke ju kursyer kohë dhe burime si përgjigje. Ato vijnë me mjetet hetimore që ju nevojiten për të kuptuar se kush ju sulmoi dhe shkallën në të cilën fushata synonte biznesin tuaj dixhital. Siç mund ta imagjinoni, numri i incidenteve të konfirmuara e kalon shumë numrin e atyre të zbuluara për arsyen e thjeshtë se incidentet e konfirmuara nuk përfshijnë shumë kosto për sulmuesit, ndërsa incidentet e zbuluara bëjnë.
të shtrenjta sepse duhet të jenë të reja dhe të personalizuara. Duke krijuar aftësinë për të identifikuar incidentet e konfirmuara, ekonomia e lojës më në fund është zhvendosur në favor të mbrojtësve, duke u dhënë atyre një avantazh të dukshëm.
Trajnim me shumë nivele i një sistemi lidhjeje nervore bazuar në ETA
Harta e rrezikut global
Harta globale e rrezikut krijohet përmes analizës së aplikuar nga algoritmet e mësimit të makinerive në një nga grupet më të mëdha të të dhënave të këtij lloji në industri. Ai siguron statistika të gjera të sjelljes në lidhje me serverët në internet, edhe nëse ata janë të panjohur. Serverë të tillë janë të lidhur me sulme dhe mund të përfshihen ose përdoren si pjesë e një sulmi në të ardhmen. Kjo nuk është një "listë e zezë", por një pamje gjithëpërfshirëse e serverit në fjalë nga pikëpamja e sigurisë. Ky informacion kontekstual në lidhje me aktivitetin e këtyre serverëve lejon detektorët dhe klasifikuesit e mësimit të makinerisë të Stealthwatch të parashikojnë me saktësi nivelin e rrezikut që lidhet me komunikimet me serverë të tillë.
Ju mund të shikoni kartat e disponueshme .
Harta botërore që tregon 460 milionë adresa IP
Tani rrjeti mëson dhe ngrihet për të mbrojtur rrjetin tuaj.
Më në fund, a është gjetur një ilaç?
Për fat të keq, jo. Nga përvoja e punës me sistemin, mund të them se ka 2 probleme globale.
Problemi 1. Çmimi. I gjithë rrjeti është i vendosur në një sistem Cisco. Kjo është edhe e mirë edhe e keqe. Ana e mirë është se nuk duhet të shqetësoheni dhe të instaloni një mori prizash si D-Link, MikroTik, etj. Ana negative është kostoja e madhe e sistemit. Duke marrë parasysh gjendjen ekonomike të biznesit rus, për momentin vetëm një pronar i pasur i një kompanie ose banke të madhe mund ta përballojë këtë mrekulli.
Problemi 2: Trajnimi. Nuk kam shkruar në artikull periudhën e trajnimit për rrjetin nervor, por jo sepse nuk ekziston, por sepse po mëson gjatë gjithë kohës dhe nuk mund të parashikojmë se kur do të mësojë. Sigurisht, ka mjete të statistikave matematikore (merrni të njëjtin formulim të kriterit të konvergjencës Pearson), por këto janë gjysmë masa. Ne marrim mundësinë e filtrimit të trafikut, dhe madje edhe atëherë vetëm me kushtin që sulmi të jetë zotëruar dhe njohur tashmë.
Pavarësisht këtyre 2 problemeve, ne kemi bërë një hap të madh në zhvillimin e sigurisë së informacionit në përgjithësi dhe mbrojtjes së rrjetit në veçanti. Ky fakt mund të jetë motivues për studimin e teknologjive të rrjeteve dhe rrjeteve nervore, të cilat tani janë një drejtim shumë premtues.
Burimi: www.habr.com