Folosirea Machine Learning pentru a crea analiști virtuali de securitate

Folosirea Machine Learning pentru a crea analiști virtuali de securitate

2153
Uday Veeramachaneni

Societatea numită PatternEx, de pildă, lucrează pentru a le rezolva. Oameni și computere trebuie să colaboreze pentru a identifica modelele de cyber-atacuri în evoluţie, ascunse printre datele noastre. Secretul stă în a înţelege cum mașinile și oamenii pot să se educe reciproc pentru a combate ameninţări emergente.

Sectorul securității a investit mult pentru a atrage atenția asupra ascensiunii „Machine Learning” sau „Inteligenței Artificiale”. Specialiștii afirmă că problema cea mai mare o reprezintă regulile ecosistemului – prea multe atacuri neidentificate și prea multe alarme false.

Machine Learning este răspunsul potențial pentru toate aceste probleme.Machine Learning funcţionează fără reguli și interceptează atacuri neobservate înainte. Dar ce rezolvă? Care sunt compromisurile? Pentru a explica fenomenul în mod detaliat, este util să organizăm universul Machine Learning în trei tipologii distincte, folosite în sectorul securităţii:

  1. Unsupervised Machine Learning;
  2. Static Supervised Learning;
  3. Active Supervised Learning;
Unsupervised Machine Learning

Majoritatea a ceea ce citim sau auzim în promovări etichetate ca „depistarea automată a ameninţărilor” este o învăţare automată, fără supervizare sau, pur și simplu, o detectare a anomaliilor. Această abordare este amplu folosită în mai multe sectoare pentru a organiza datele și a găsi anomalii printre acestea. În domeniul cybersecurity, Unsupervised Machine Learning analizează log-uri sau pachete de date și încearcă să găsească în Sectorul securității a investit mult pentru a atrage atenția asupra ascensiunii „Machine Learning” sau „Inteligenței Artificiale”. Specialiștii afirmă că problema cea mai mare o reprezintă regulile ecosistemului – prea multe atacuri neidentificate și prea multe alarme false. Machine Learning este răspunsul potențial pentru toate aceste probleme. 19 ele valori anormale. Această tehnologie are sens pentru că marea majoritate a comportamentelor online este legitimă, pe când cele dăunătoare fiind considerate anormale.

Din păcate, relaţiile dintre companii și angajaţi, parteneri, furnizori și clienţi sunt extrem de complexe. Comportamentele sunt foarte variabile și ceea ce poate apărea ca fiind o anomalie este de fapt o realitate normală.De pildă, se putea revela că există un furt de date în Ucraina, pe când în realitate acestea erau folosite de către un subcontractant legitim care lucra în ţara împricinată pentru o divizie a firmei. Promisiunea Unsupervised Learning este slăbită de către o zonă de umbră importantă care ilustrează defectul logic al acestei abordări: definiţia «anomaliei» nu este decât cea de «răuvoitoare». Există atunci o confuzie între cele 2 și terminăm prin a fi obligaţi să tratăm o infinitate de falsuri.

Static Supervised Learning

Spre deosebire de Unsupervised Machine Learning, Static Supervised Learning primește input-uri generate de oameni pentru a crea modele. Putem să ne gândim la modelele făcute de către Supervised Learning ca la sisteme care «gândesc» ca oamenii și care învaţă pe parcursul timpului. Data scientists culeg un feedback de la oameni, apoi formează un model bazat pe acest feedback și aplică modelul generat în lanţul de producţie. Acest proces – a învaţa și a pune la zi pentru a fi de folos– necesită adesea luni sau chiar ani, în funcţie de când și unde noul feedback uman vine integrat. Acest tip de model funcţionează în ambientele statice unde ceea ce vrem să prevedem nu este în curs de schimbare. Dar «static» nu privește lumea securităţii informatice. Mai degrabă, lumea noastră este caracterizată de către dinamism, un factor fundamental contrazicător fiindcă agresorul este motivat să ne înșele pentru a avea succes în demersurile sale. Agresorii se transformă mai rapid decât pot fi pregătite modelele de învăţare. Așadar, cum putem să punem la zi un model în timp real?

Active Supervised Learning

Pentru a aduce Inteligenţa Artificială în domeniul cybersecurity, Active Supervised Learning este ceea mai bună abordare. Învăţământul activ este un mod de a forma modele de Supervised Learning într-o clipă, fără milioane de exemple pentru a îl crea. Active Supervised Learning oferă promisiunea unui învăţământ supravegheat cu o perioadă de training redusă în mod drastic. Acest sistem implică în mod continuu analiști umani, pentru a învaţa de la ei și a crea noi modele de Supervised Learning. Denumim aceste modele Virtual Analyst pentru că nu sunt capabile de a face distincţie între scheme de comportamente rău-intenţionate sau cele normale, cu mare grad de precizie, ceea ce poate face un analist. Denumirea de Virtual Analyst implică la fel că trebuie să gândim cum să integrăm procesul obţinut în aparatura noastră de securitate. Dacă sunt repartizaţi în mod corect, pot să aducă beneficii enorme unei organizaţii în cadrul ameliorării capacităţii sale de apărare împotriva atacurilor și pot acţiona exact ca un sistem de early warning.