Prim Hírek

A vállalatokat számos támadás érheti a kibertérben, külső és belső rosszakarók oldaláról egyaránt. A támadók dolgát megkönnyíti, hogy egyszerre rengeteg folyamat zajlik a vállalatok informatikai rendszerében, és a járvány következtében megváltozott körülmények miatt minden eddiginél több teendő és munkafolyamat került át online felületekre. A sok esemény között pedig könnyen elsikkadhatnak a rosszindulatú aktivitások: miután már megtörtént a baj, csak akkor tűnik fel, hogy egy, a felmondási idejét töltő rendszergazda törölte a céges adatbázist, esetleg kiberbűnözők egy illegálisan megszerzett, kiemelt jogosultság birtokában ellopták a vállalat szellemi tulajdonát képező, értékes dokumentumokat.

Lehetetlen tehát folyamatosan szemmel tartani az infrastruktúrában zajló tevékenységeket. Szerencsére egyre több gyártó kínál különféle megoldást erre a problémára. Ezekkel az eszközökkel viszont hasonló a helyzet, mint az események tömkelegével: nem tudjuk, melyikre érdemes fókuszálni, vagyis melyik az igazán fontos. A Micro Focus szakértői szerint a felügyelet nélküli gépi tanulást alkalmazó technológiák kínálják az igazán hasznos segítséget.

Önállóan is ász

A gépi tanulásnak két fő típusa van, és mindkettőt használják a kibervédelemben különféle célokra. A felügyelt gépi tanulás (supervised machine learning) esetében a rendszert előzetesen betáplált példák segítik a hasonlóságok felismerésében. Ha adott mintákon keresztül megismertetik vele, hogyan működnek a rosszindulatú szoftverek, a felügyelt gépi tanulási rendszer a későbbiekben képes azonosítani az ilyen jellegű tevékenységeket a rendelkezésére bocsátott adatok között.

A felügyelet nélküli gépi tanulás (unsupervised machine learning) ugyanakkor ilyen előzetesen betáplált adatok nélkül is képes a mintafelismerésre. Magától fel tudja ugyanis térképezni az összefüggéseket, és megtanulja elkülöníteni a mindennapinak mondható tevékenységeket a rendellenesektől.

Az előbbi módszer rendkívül hatékony a már jól ismert fenyegetések, például malware-ek észlelésében. Az utóbbi pedig azért hasznos, mert nem lehet minden támadási lehetőséget előre leírni és betáplálni. A felügyelet nélküli gépi tanulást használó rendszer azonban képes olyan módszereket is azonosítani, amelyek még nem szerepelnek mintaként az adatbázisában. A biztonsági szakemberek jól hasznosíthatják ezeket a technológiákat a korábban észrevétlen és feltáratlan problémák felderítésére, különös tekintettel azokra a gyanús tevékenységekre, amelyek a belső fenyegetésekre utalnak. 

A szálkát is észreveszi

A felügyelet nélküli gépi tanulást alkalmazó megoldás – amely például a Micro Focus portfóliójában is elérhető – felméri, milyen tevékenységek számítanak megszokottnak. Majd a körülményeket elemezve hívja fel az informatikai szakemberek figyelmét azokra az eseményekre, amelyek gyanúra adnak okot, és amelyek elsikkadnának a rengeteg különféle aktivitás között. Ilyen lehet például az, ha egy alkalmazott elkezd késő éjjel dolgozni, pedig korábban csak reggel 9 és délután 5 előtt ült a gép előtt. Szintén furcsa lehet, ha valaki hirtelen 500 megabájtnyi céges fájt csatol egy e-mailhez, vagy a vállalat stratégiai dokumentumait, esetleg a szervezet által fejlesztett programok forráskódját böngészi. 

Ezek mind olyan tevékenységek, amelyek elvesznének a rengeteg információ között, ám a felügyelet nélküli gépi tanulásnak köszönhetően úgy kerülnek napvilágra, hogy még időben megakadályozhatók a károk, és mégsem terhelik túl az informatikai részleget fals pozitív találatokkal.

Jó példa erre az a tipikus eset, amelyet az Interset gépi tanulást alkalmazó eszköze derített fel. A megoldás azóta már a Micro Focus saját portfóliójában érhető el, kiegészítve az ArcSight biztonsági információ- és eseménykezelő rendszer képességeit. Egy nagy technológiai gyártótól érzékeny adatokat szivárogtattak ki, amit nem jelzett a biztonsági szoftverük. Ezért felügyelet nélküli gépi tanulási módszert alkalmaztak. Összesen 30 napnyi naplóadatot elemeztettek, így rövid idő alatt sikerült beazonosítani két mérnököt a húszezer fős állományból, akik forráskódot loptak a cégtől. A történet azonban nem ért itt véget, ugyanis a megoldás további 11 alkalmazottról rántotta le a leplet, akik titokban szintén adatokat tulajdonítottak el a cégtől. Közülük hárman Észak-Amerikában, nyolcan Kínában tevékenykedtek.