Video: Inilah Arti Gerak Ekor Kucing Anda (Oktober 2024)
Keamanan TI adalah lubang neraka yang berbahaya dan mahal. Sejumlah besar uang dihabiskan untuk melindungi data dan jaringan perusahaan. Gerombolan orang jahat termotivasi untuk masuk, dan konsekuensi untuk kegagalan lebih menyakitkan daripada biaya perlindungan.
Lebih buruk lagi, cara-cara saat ini yang dilakukan oleh Chief Security Officers (CSOs) dengan keamanan sangat mengganggu. Sementara alat-alat keamanan inti seperti perlindungan endpoint terkelola akan selalu diperlukan, setiap orang dari kita telah meratapi kesulitan mengelola kata sandi, mengutuk tentang hak akses ke perangkat lunak yang kita butuhkan, dan mengeluh tentang hambatan antara kita dan pekerjaan yang perlu kita lakukan. Jika prosedur keamanan bekerja 100 persen dari waktu, mungkin kita akan baik-baik saja dengan itu - tapi hei, sudahkah Anda memperhatikan berapa banyak pelanggaran yang masih dilaporkan? Saya juga. Lihat saja bagaimana jumlah pelanggaran data per tahun telah meledak dalam grafik di bawah ini (oleh analisis data dan visualisasi blog Sparkling Data). Grafik tersebut menunjukkan pelanggaran data sejak 2009, dipecah berdasarkan jenis industri dan berapa juta rekaman yang dikompromikan:
Sumber: 24 Juli 2016 ; Analisis Data Pelanggaran HIPAA ; Data Berkilau
Tapi ada kabar baik juga. Teknologi pembelajaran mesin (ML) yang sama dan algoritme analitik prediktif yang memberi Anda rekomendasi buku yang bermanfaat dan memperkuat kecerdasan bisnis mandiri (BI) dan visualisasi data Anda yang paling canggih alat sedang dimasukkan ke dalam alat keamanan TI. Para ahli melaporkan bahwa Anda mungkin tidak akan menghabiskan lebih sedikit uang untuk keamanan TI perusahaan Anda karena hal ini, tetapi setidaknya staf Anda akan bekerja lebih efisien dan memiliki peluang yang lebih baik untuk menemukan peretas dan malware sebelum kerusakan terjadi.
Kombinasi dari ML dan keamanan TI tentu dapat dilabeli sebagai "teknologi baru, " tetapi yang membuatnya keren adalah bahwa kita tidak berbicara hanya tentang satu teknologi. ML terdiri dari beberapa jenis teknologi, masing-masing diterapkan dalam berbagai cara. Dan, karena begitu banyak vendor yang bekerja di bidang ini, kami dapat menyaksikan seluruh kategori teknologi baru bersaing, berkembang, dan semoga memberikan manfaat bagi kita semua.
Jadi, Apa Pembelajaran Mesin?
ML memungkinkan komputer untuk mengajarkan sesuatu tanpa harus diprogram secara eksplisit. Itu dilakukan dengan mengakses kumpulan data besar - seringkali yang besar.
"Dengan pembelajaran mesin, kita dapat memberikan komputer 10.000 gambar kucing dan mengatakannya, 'Seperti inilah bentuk kucing.' Dan kemudian Anda bisa memberi komputer 10.000 gambar yang tidak berlabel dan memintanya untuk mencari tahu mana yang kucing, "jelas Adam Porter-Price, Associate Senior di Booz Allen. Model membaik saat Anda memberikan umpan balik sistem, apakah tebakannya benar atau salah. Seiring waktu, sistem menjadi lebih akurat dalam menentukan apakah foto tersebut termasuk kucing (seperti, tentu saja, semua foto harus).
Ini bukan teknologi baru, meskipun kemajuan terbaru dalam komputer yang lebih cepat, algoritma yang lebih baik, dan alat Big Data tentu saja meningkatkan hal-hal. "Pembelajaran mesin (terutama yang diterapkan untuk memodelkan perilaku manusia) telah ada sejak lama, " kata Idan Tendler, CEO Fortscale. "Ini adalah komponen inti dari sisi kuantitatif berbagai disiplin ilmu, mulai dari harga tiket pesawat hingga jajak pendapat politik hingga pemasaran makanan cepat saji sejak 1960-an."
Penggunaan modern yang paling jelas dan dapat dikenali adalah dalam upaya pemasaran. Ketika Anda membeli buku di Amazon, misalnya, mesin rekomendasinya menambang penjualan sebelumnya dan menyarankan buku-buku tambahan yang mungkin akan Anda nikmati (misalnya, orang yang menyukai karya Steven Brust Yendi mungkin juga menyukai novel Jim Butcher), yang diterjemahkan menjadi lebih banyak penjualan buku. Itu diterapkan ML di sana. Contoh lain mungkin bisnis yang menggunakan data customer relationship management (CRM) untuk menganalisis churn pelanggan, atau maskapai penerbangan yang menggunakan ML untuk menganalisis berapa banyak poin hadiah yang memberi insentif pada frequent flyer untuk menerima penawaran tertentu.
Semakin banyak data yang dikumpulkan dan dianalisis oleh sistem komputer, semakin baik wawasannya (dan identifikasi foto kucingnya). Plus, dengan munculnya Big Data, sistem ML dapat mengumpulkan informasi dari berbagai sumber. Pengecer online dapat melihat di luar kumpulan data sendiri untuk memasukkan analisis data browser web pelanggan dan informasi dari situs mitranya, misalnya.
ML mengambil data yang terlalu banyak untuk dipahami manusia (seperti jutaan baris file log jaringan atau sejumlah besar transaksi e-commerce) dan mengubahnya menjadi sesuatu yang lebih mudah dipahami, kata Balázs Scheidler, CTO dari vendor alat keamanan IT Balabit.
"Sistem pembelajaran mesin mengenali pola dan menyoroti anomali, yang membantu manusia untuk memahami suatu situasi dan, jika perlu, mengambil tindakan atasnya, " kata Scheidler. "Dan pembelajaran mesin melakukan analisis ini dengan cara otomatis; Anda tidak dapat mempelajari hal-hal yang sama hanya dari melihat log transaksi saja."
Di mana ML Patches Kelemahan Keamanan
Untungnya, prinsip-prinsip ML yang sama yang dapat membantu Anda memutuskan pembelian buku baru dapat membuat jaringan perusahaan Anda lebih aman. Bahkan, kata Tendler dari Fortscale, para vendor IT agak terlambat ke pesta ML. Departemen pemasaran dapat melihat manfaat finansial dalam adopsi ML awal, terutama karena biaya yang salah sangat minim. Merekomendasikan buku yang salah tidak akan menghapus jaringan siapa pun. Spesialis keamanan membutuhkan lebih banyak kepastian tentang teknologi dan tampaknya mereka akhirnya memilikinya.
Terus terang, sudah waktunya. Karena cara-cara saat ini untuk menangani keamanan mengganggu dan reaktif. Lebih buruk: Volume alat keamanan baru dan alat pengumpulan data yang berbeda telah menghasilkan terlalu banyak input bahkan untuk pengamat.
"Sebagian besar perusahaan dibanjiri ribuan peringatan per hari, sebagian besar didominasi oleh positif palsu, " kata David Thompson, Direktur Senior Manajemen Produk di perusahaan keamanan IT LightCyber. "Bahkan jika peringatan itu terlihat, kemungkinan akan dilihat sebagai peristiwa tunggal dan tidak dipahami sebagai bagian dari serangan yang lebih besar dan diatur."
Thompson mengutip laporan Gartner yang mengatakan sebagian besar penyerang tidak terdeteksi selama rata-rata lima bulan . Positif palsu itu juga dapat mengakibatkan pengguna yang marah, kata Ting-Fang Yen, seorang ilmuwan riset di DataVisor, setiap kali karyawan diblokir atau ditandai karena kesalahan, belum lagi waktu yang dihabiskan oleh tim TI untuk menyelesaikan masalah.
Jadi taktik pertama dalam keamanan TI menggunakan ML adalah menganalisis aktivitas jaringan. Algoritma menilai pola aktivitas, membandingkannya dengan perilaku masa lalu, dan mereka menentukan apakah aktivitas saat ini menimbulkan ancaman. Untuk membantu, vendor seperti Core Security mengevaluasi data jaringan seperti perilaku pencarian DNS pengguna dan protokol komunikasi dalam permintaan
Beberapa analisis terjadi secara real time, dan solusi ML lainnya memeriksa catatan transaksi dan file log lainnya. Misalnya, produk Fortscale melihat ancaman orang dalam, termasuk ancaman yang melibatkan kredensial curian. "Kami fokus pada akses dan log otentikasi, tetapi log dapat berasal dari hampir di mana saja: Active Directory, Salesforce, Kerberos, 'aplikasi permata mahkota' Anda sendiri, '" kata Tendler dari Fortscale. "Semakin banyak variasi, semakin baik." Di mana ML membuat perbedaan utama di sini adalah bahwa hal itu dapat mengubah log rumah tangga yang sederhana dan sering diabaikan organisasi menjadi sumber intelijen ancaman yang berharga, sangat efektif, dan murah.
Dan strategi ini membuat perbedaan. Sebuah bank Italia dengan pengguna di bawah 100.000 mengalami ancaman orang dalam yang melibatkan pengusiran besar-besaran data sensitif ke sekelompok komputer yang tidak dikenal. Secara khusus, kredensial pengguna yang sah digunakan untuk mengirim volume data yang besar di luar organisasi melalui Facebook. Bank mengerahkan Darktrace Enterprise Immune System yang diberdayakan ML, yang mendeteksi perilaku aneh dalam tiga menit ketika server perusahaan terhubung ke Facebook - aktivitas yang tidak biasa, kata Dave Palmer, Direktur Teknologi di Darktrace.
Sistem segera mengeluarkan peringatan ancaman, yang memungkinkan tim keamanan bank untuk merespons. Akhirnya, penyelidikan mengarah ke administrator sistem yang secara tidak sengaja mengunduh malware yang menjebak server bank dalam botnet penambangan bitcoin - sekelompok mesin yang dikendalikan oleh peretas. Dalam waktu kurang dari tiga menit, perusahaan melakukan triase, menyelidiki secara real time, dan memulai tanggapannya - tanpa kehilangan data perusahaan atau kerusakan pada layanan operasional pelanggan, kata Palmer.
Memantau Pengguna, Bukan Kontrol Akses atau Perangkat
Tetapi sistem komputer dapat menyelidiki segala jenis jejak digital. Dan di situlah banyak perhatian vendor pergi hari ini: menuju menciptakan garis dasar perilaku "dikenal baik" oleh pengguna organisasi yang disebut User Behavior Analytics (UBA). Kontrol akses dan pemantauan perangkat hanya berjalan sejauh ini. Jauh lebih baik, kata beberapa pakar dan vendor, untuk menjadikan pengguna sebagai fokus utama keamanan, yang merupakan inti dari UBA.
"UBA adalah cara untuk mengawasi apa yang dilakukan orang dan memperhatikan jika mereka melakukan sesuatu yang tidak biasa, " kata Scheidler dari Balabit. Produk (dalam hal ini, Blindspotter dan Shell Control Box Balabit) membangun basis data digital dari perilaku khas setiap pengguna, suatu proses yang memakan waktu sekitar tiga bulan. Setelah itu, perangkat lunak mengenali anomali dari baseline itu. Sistem ML menciptakan skor tentang bagaimana "off" perilaku akun pengguna, bersama dengan kekritisan masalah tersebut. Lansiran dihasilkan setiap kali skor melebihi ambang batas.
"Analytics mencoba memutuskan apakah Anda sendiri, " kata Scheidler. Sebagai contoh, seorang analis basis data secara teratur menggunakan alat-alat tertentu. Jadi, jika dia masuk dari lokasi yang tidak biasa pada waktu yang tidak biasa dan mengakses aplikasi yang tidak biasa, maka sistem menyimpulkan bahwa akunnya dapat dikompromikan.
Karakteristik UBA yang dilacak oleh Balabit termasuk kebiasaan historis pengguna (waktu login, aplikasi yang umum digunakan, dan perintah), barang (resolusi layar, penggunaan trackpad, versi sistem operasi), konteks (ISP, data GPS, lokasi, penghitung lalu lintas jaringan), dan bawaan (sesuatu dirimu). Dalam kategori terakhir adalah analisis gerakan mouse dan dinamika tombol, di mana sistem memetakan seberapa keras dan cepat jari pengguna memukul keyboard.
Sementara menarik dalam hal geek, Scheidler memperingatkan bahwa pengukuran mouse dan keyboard belum aman. Sebagai contoh, katanya, mengidentifikasi penekanan tombol seseorang adalah sekitar 90 persen dapat diandalkan, sehingga alat perusahaan tidak sangat bergantung pada anomali di daerah itu. Selain itu, perilaku pengguna sedikit berbeda sepanjang waktu; jika Anda mengalami hari yang penuh tekanan atau rasa sakit di tangan Anda, gerakan mouse berbeda.
"Karena kami bekerja dengan banyak aspek dari perilaku pengguna dan nilai agregat adalah yang harus dibandingkan dengan profil dasar, semuanya memiliki keandalan yang sangat tinggi yang menyatu hingga 100 persen, " kata Scheidler.
Balabit tentu bukan satu-satunya vendor yang produknya menggunakan UBA untuk mengidentifikasi peristiwa keamanan. Cybereason, misalnya, menggunakan metodologi serupa untuk mengidentifikasi perilaku yang membuat manusia yang penuh perhatian berkata, "Hmm, itu lucu."
Menjelaskan CTe Cybereason, Yonatan Streim Amit: "Ketika platform kami melihat anomali - James bekerja lembur - kita dapat menghubungkannya dengan perilaku lain yang diketahui dan data yang relevan. Apakah dia menggunakan aplikasi dan pola akses yang sama? Apakah dia mengirim data ke seseorang yang tidak pernah dia komunikasikan? dengan atau semua komunikasi dialihkan ke manajernya, siapa yang membalas? " Cybereason menganalisis anomali James yang bekerja secara abnormal terlambat dengan daftar panjang data yang diobservasi lainnya untuk memberikan konteks untuk menentukan apakah lansiran itu positif palsu atau kekhawatiran yang sah.
Adalah tugas IT untuk menemukan jawaban tetapi tentu saja membantu memiliki perangkat lunak yang dapat menimbulkan pertanyaan yang tepat. Sebagai contoh, dua pengguna dalam organisasi perawatan kesehatan sedang mengakses catatan pasien yang sudah meninggal. "Mengapa seseorang melihat pasien yang meninggal dua atau tiga tahun yang lalu, kecuali jika Anda ingin melakukan semacam identitas atau penipuan medis?" tanya Amit Kulkarni, CEO Cognetyx. Dalam mengidentifikasi risiko keamanan ini, sistem Cognetyx mengidentifikasi akses yang tidak pantas berdasarkan aktivitas normal untuk departemen itu, dan membandingkan perilaku kedua pengguna dengan pola akses rekan-rekan mereka dan terhadap perilaku normal mereka sendiri.
"Menurut definisi, sistem pembelajaran mesin iteratif dan otomatis, " kata Fortscale's Tendler. "Mereka berupaya 'mencocokkan' data baru dengan apa yang telah mereka lihat sebelumnya, tetapi tidak akan 'mendiskualifikasi' apa pun yang ada di tangan atau secara otomatis 'membuang' hasil yang tidak terduga atau di luar batas."
Jadi algoritma Fortscale mencari struktur tersembunyi dalam kumpulan data, bahkan ketika mereka tidak tahu seperti apa struktur itu. "Bahkan jika kita menemukan yang tidak terduga, itu menyediakan makanan yang berpotensi untuk membangun peta pola baru. Itulah yang membuat pembelajaran mesin jauh lebih kuat daripada perangkat aturan deterministik: Sistem pembelajaran mesin dapat menemukan masalah keamanan yang belum pernah terlihat sebelumnya."
Apa yang terjadi ketika sistem ML menemukan anomali? Secara umum, alat-alat ini memberikan peringatan kepada manusia untuk melakukan panggilan terakhir dalam beberapa cara karena efek samping dari false positive merusak bagi perusahaan dan pelanggannya. "Pemecahan masalah dan forensik membutuhkan keahlian manusia, " tegas Scheidler dari Balabit. Yang ideal adalah bahwa peringatan yang dihasilkan akurat dan otomatis, dan dasbor memberikan ikhtisar status sistem yang berguna dengan kemampuan untuk menelusuri perilaku "hei, itu aneh".
Sumber: Balabit.com (Klik pada gambar di atas untuk melihat tampilan penuh.)
Ini hanya permulaan
Jangan berasumsi bahwa keamanan ML dan TI adalah pasangan yang sempurna seperti cokelat dan selai kacang atau kucing dan internet. Ini adalah pekerjaan yang sedang berjalan, meskipun akan mendapatkan lebih banyak kekuatan dan kegunaan karena produk mendapatkan lebih banyak fitur, integrasi aplikasi, dan peningkatan teknologi.
Dalam jangka pendek, cari kemajuan otomatisasi sehingga tim keamanan dan operasi dapat memperoleh wawasan data baru dengan lebih cepat dan dengan sedikit intervensi manusia. Dalam dua atau tiga tahun ke depan, kata Mike Paquette, VP produk di Prelert, "kami berharap kemajuan akan datang dalam dua bentuk: perpustakaan yang diperluas dari kasus penggunaan yang telah dikonfigurasi sebelumnya yang mengidentifikasi perilaku serangan, dan kemajuan dalam pemilihan dan konfigurasi fitur otomatis, mengurangi kebutuhan untuk keterlibatan konsultasi."
Langkah selanjutnya adalah sistem belajar mandiri yang dapat melawan serangan sendiri, kata Palmer Darktrace. "Mereka akan merespons risiko yang muncul dari malware, peretas, atau karyawan yang tidak puas dengan cara yang memahami konteks penuh perilaku normal masing-masing perangkat dan proses bisnis secara keseluruhan, daripada membuat keputusan biner individual seperti pertahanan tradisional. Ini akan sangat penting untuk menanggapi serangan yang bergerak lebih cepat, seperti serangan berbasis pemerasan, yang akan berubah menjadi menyerang aset berharga apa pun (bukan hanya sistem file) dan akan dirancang untuk bereaksi lebih cepat daripada yang dimungkinkan oleh manusia."
Ini adalah area yang menarik dengan banyak janji. Kombinasi ML dan alat keamanan canggih tidak hanya memberi para profesional TI alat baru untuk digunakan, tetapi yang lebih penting, ini memberi mereka alat yang memungkinkan mereka melakukan pekerjaan mereka lebih akurat, namun masih lebih cepat dari sebelumnya. Meskipun bukan peluru perak, ini adalah langkah maju yang signifikan dalam skenario di mana orang jahat memiliki semua kelebihan untuk waktu yang terlalu lama.
