비디오: ì¸í -ëëìì¬ì°-ì½ë, ê±´ê° íìê¾¼ãí¬ì¤ì¼ì´PCãíë°° íë¤ (십월 2024)
IT 보안은 위험하고 값 비싼 지옥입니다. 회사 데이터 및 네트워크를 보호하기 위해 막대한 금액이 소비됩니다. 나쁜 사람들의 무리는 침입 동기를 부여하고 실패의 결과는 보호 비용보다 더 고통 스럽습니다.
최악의 경우, CSO (Chief Security Officer)가 보안을 처리하는 현재의 방식이 방해가됩니다. 관리되는 엔드 포인트 보호와 같은 핵심 보안 도구가 항상 필요하지만, 우리 모두는 암호를 관리하는 데 어려움을 겪고, 필요한 소프트웨어에 대한 액세스 권한에 대해 강조하고, 우리와 우리가해야 할 일 사이의 장벽에 대해 불평했습니다.. 보안 절차가 100 % 효과가 있었다면 아마도 우리는 괜찮을 것입니다. 그러나 여전히보고 된 위반이 몇 개인 지 알고 계십니까? 나도. 아래의이 그래픽에서 연간 데이터 침해 건수가 폭발적으로 어떻게 증가했는지 살펴보십시오 (데이터 분석 및 시각화 블로그 Sparkling Data). 이 그래픽은 2009 년 이후의 데이터 유출 사고를 산업 유형별로 분류하고 몇 백만 건의 레코드가 손상되었는지 보여줍니다.
출처: 2016 년 7 월 24 일 ; HIPAA 위반 데이터 분석 ; 스파클링 데이터
그러나 좋은 소식도 있습니다. 유용한 책 추천을 제공하고 가장 발전된 셀프 서비스 비즈니스 인텔리전스 (BI) 및 데이터 시각화를 지원하는 동일한 머신 러닝 (ML) 기술 및 예측 분석 알고리즘 도구는 IT 보안 도구에 통합되고 있습니다. 전문가들은 이로 인해 회사의 IT 보안에 적은 비용을 들이지 않을 것이지만, 최소한 직원은보다 효율적으로 작업하고 피해가 발생하기 전에 해커와 맬웨어를 찾을 가능성이 더 높다고보고합니다.
ML과 IT 보안의 조합은 확실히 "신흥 기술"이라고 표시 될 수 있지만, 멋진 점은 단지 하나의 기술에 대해서만 말하는 것이 아니라는 것입니다. ML은 여러 가지 기술로 구성되어 있으며 각 기술은 다양한 방식으로 적용됩니다. 그리고이 분야에서 많은 벤더들이 일하고 있기 때문에, 우리는 완전히 새로운 기술 범주가 경쟁하고 진화하며 희망적으로 우리 모두에게 혜택을 제공하는 것을 보게됩니다.
그렇다면 기계 학습이란 무엇입니까?
ML을 통해 컴퓨터는 명시 적으로 프로그래밍 할 필요없이 무언가를 스스로 가르 칠 수 있습니다. 큰 데이터 세트 (종종 큰 데이터 세트)에 액세스하여 그렇게합니다.
"기계 학습을 통해 컴퓨터에 고양이 사진 10, 000 장을주고 '이것은 고양이 모양입니다.'라고 말할 수 있습니다. 그리고 컴퓨터에 레이블이없는 10, 000 장의 사진을주고 고양이에게 어떤 사진이 있는지 물어볼 수 있습니다. "라고 Booz Allen의 선임 직원 인 Adam Porter-Price는 설명합니다. 추측이 정확하거나 부 정확한지 여부에 따라 시스템 피드백을 제공 할 때 모델이 향상됩니다. 시간이 지남에 따라 시스템에는 사진에 고양이가 포함되어 있는지 판단하는 데 더 정확 해집니다 (물론 모든 사진이 있어야 함).
빠른 컴퓨터, 더 나은 알고리즘 및 빅 데이터 도구의 최근 발전으로 인해 확실히 개선되었지만 새로운 기술은 아닙니다. Fortscale의 CEO 인 Idan Tendler는“기계 학습 (특히 인간 행동 모델링에 적용되는 경우)은 오랫동안 사용되어 왔습니다. "그것은 항공료 가격 책정에서 정치 여론 조사, 패스트 푸드 마케팅에 이르기까지 1960 년대까지 많은 분야의 양적 측면의 핵심 구성 요소입니다."
가장 분명하고 인식 가능한 현대적인 용도는 마케팅 노력에 있습니다. 예를 들어 아마존에서 책을 구매할 때 추천 엔진은 이전 판매를 채굴하고 즐길 수있는 추가 책을 제안합니다 (예: Steven Brust의 Yendi 를 좋아하는 사람들은 Jim Butcher의 소설을 좋아할 수도 있음). 이는 더 많은 책 판매로 이어집니다. ML이 바로 적용됩니다. 다른 예로는 CRM (고객 관계 관리) 데이터를 사용하여 고객 이탈을 분석하는 비즈니스 또는 ML을 사용하여 특정 오퍼를 수락하기 위해 상용 고객에게 인센티브를 제공하는 보상 포인트 수를 분석하는 항공사가 있습니다.
컴퓨터 시스템이 수집하고 분석하는 데이터가 많을수록 통찰력 (및 고양이 사진 식별)이 향상됩니다. 또한 빅 데이터의 출현으로 ML 시스템은 여러 소스의 정보를 풀링 할 수 있습니다. 온라인 소매 업체는 자체 데이터 세트를 넘어 고객의 웹 브라우저 데이터 및 파트너 사이트의 정보 분석을 포함 할 수 있습니다.
IT 보안 툴 벤더 인 Balabit의 CTO 인 Balázs Scheidler는 ML은 인간이 이해하기에는 너무 많은 데이터 (예: 수백만 줄의 네트워크 로그 파일 또는 수많은 전자 상거래 트랜잭션)를 이해하기 쉬운 것으로 바꾼다고 말했다..
"기계 학습 시스템은 패턴을 인식하고 이방성을 강조하여 인간이 상황을 파악하고 적절한 경우 조치를 취할 수 있도록 도와줍니다"라고 Scheidler는 말했습니다. "그리고 머신 러닝은이 분석을 자동화 된 방식으로 수행합니다. 트랜잭션 로그 만 보는 것만으로는 같은 것을 배울 수 없습니다."
ML이 보안 취약점을 패치하는 곳
다행히도, 새로운 책 구매를 결정하는 데 도움이되는 동일한 ML 원칙이 회사 네트워크를보다 안전하게 만들 수 있습니다. 실제로 Fortscale의 Tendler는 IT 벤더가 ML 파티에 약간 늦었다 고 말했다. 마케팅 부서는 특히 ML 비용이 최소화되어 ML 도입 초기에 재정적 이점을 볼 수있었습니다. 잘못된 책을 추천해도 다른 사람의 네트워크는 중단되지 않습니다. 보안 전문가는이 기술에 대해 더 확실해야했으며 마침내 기술을 보유한 것으로 보입니다.
솔직히 시간이 다되었습니다. 보안을 다루는 현재의 방법은 방해적이고 반응하기 때문입니다. 나쁘다: 엄청난 양의 새로운 보안 도구와 서로 다른 데이터 수집 도구로 인해 감시자에게도 너무 많은 입력이 발생했습니다.
IT 보안 회사 LightCyber의 제품 관리 담당 이사 인 데이비드 톰슨 (David Thompson)은 "대부분의 회사는 하루에 수천 건의 경고로 넘쳐나고 있습니다. "알림이 표시 되더라도 단일 이벤트로 간주 될 수 있으며 더 크고 조정 된 공격의 일부로 이해되지 않을 것입니다."
톰슨은 대부분의 공격자들이 평균 5 개월 동안 탐지되지 않았다고 가트너 보고서를 인용했다. 이러한 잘못된 긍정은 또한 화가 난 사용자를 초래할 수 있으며, IT 팀이 문제를 해결하는 데 소비 한 시간은 말할 것도없고 직원이 오류나 오류로 표시 될 때마다 DataVisor의 연구 과학자 인 Ting-Fang Yen이 지적했습니다.
ML을 사용한 IT 보안의 첫 번째 방법은 네트워크 활동을 분석하는 것입니다. 알고리즘은 활동 패턴을 평가하고이를 과거의 행동과 비교하여 현재 활동이 위협이되는지 여부를 판별합니다. Core Security와 같은 공급 업체는 HTTP 요청 내에서 사용자의 DNS 조회 동작 및 통신 프로토콜과 같은 네트워크 데이터를 평가합니다.
일부 분석은 실시간으로 수행되며 다른 ML 솔루션은 트랜잭션 레코드 및 기타 로그 파일을 검사합니다. 예를 들어 Fortscale의 제품은 자격 증명 도난과 관련된 위협을 포함하여 내부자 위협을 찾아냅니다. Fortscale의 Tendler는“우리는 액세스 및 인증 로그에 중점을 두지 만 로그는 거의 모든 곳에서 나올 수 있습니다. Active Directory, Salesforce, Kerberos, 고유 한 '크라운 보석 애플리케이션'입니다. "다양할수록 좋습니다." ML이 여기서 중요한 차이점은 조직의 겸손하고 자주 무시되는 하우스 키핑 로그를 매우 효과적이고 저렴한 위협 인텔리전스 소스로 전환 할 수 있다는 것입니다.
그리고 이러한 전략은 차이를 만들고 있습니다. 사용자가 100, 000 명 미만인 이탈리아 은행은 식별되지 않은 컴퓨터 그룹에 민감한 데이터를 대량으로 유출하는 내부자 위협을 경험했습니다. 특히 합법적 인 사용자 자격 증명을 사용하여 Facebook 외부로 대량의 데이터를 조직 외부로 보냅니다. 이 회사는 ML 기반의 Darktrace Enterprise Immune System을 구축했으며, 회사 서버가 특징적이지 않은 활동 인 Facebook에 연결된 경우 3 분 이내에 비정상적인 동작을 감지했다고 Darktrace의 기술 이사 인 Dave Palmer는 말했습니다.
이 시스템은 즉시 위협 경고를 발행하여 은행의 보안 팀이 대응할 수있었습니다. 결국, 한 조사 결과 시스템 관리자가 실수로 은행 서버를 비트 코인 채굴 봇넷 (해커가 제어하는 컴퓨터 그룹)에 갇힌 악성 코드를 다운로드 한 것으로 나타났습니다. 팔머는 3 분 안에 회사 데이터 손실이나 고객 운영 서비스 손상없이 실시간으로 조사, 조사 및 대응을 시작했다고 밝혔다.
액세스 제어 또는 장치가 아닌 사용자 모니터링
그러나 컴퓨터 시스템은 모든 종류의 디지털 공간을 조사 할 수 있습니다. 그리고 오늘날에는 벤더의 관심이 높아지고 있습니다. UBA (User Behavior Analytics)라는 조직의 사용자가 "알려진 양호한"동작의 기준선을 만드는 데 있습니다. 액세스 제어 및 장치 모니터링은 지금까지만 진행되었습니다. 여러 전문가 및 공급 업체에 따르면 사용자 를 보안의 중심에 두는 것이 훨씬 좋습니다. 이것이 바로 UBA입니다.
Balabit의 Scheidler는 "UBA는 사람들이하고있는 일을 관찰하고 그들이 평범하지 않은 일을하고 있는지 알아볼 수있는 방법"이라고 말했다. 이 제품 (이 경우 Balabit 's Blindspotter and Shell Control Box)은 각 사용자의 일반적인 행동에 대한 디지털 데이터베이스를 구축하는데 약 3 개월이 소요됩니다. 그 후, 소프트웨어는 해당 기준선에서 이상을 인식합니다. ML 시스템은 문제의 중요성과 함께 사용자 계정의 "off"동작 점수를 생성합니다. 점수가 임계 값을 초과 할 때마다 경고가 생성됩니다.
"분석가는 당신이 당신 자신인지 결정하려고 노력한다"고 Scheidler는 말했다. 예를 들어 데이터베이스 분석가는 정기적으로 특정 도구를 사용합니다. 따라서 비정상적인 시간에 비정상적인 위치에서 로그인하여 비정상적인 응용 프로그램에 액세스하면 시스템이 계정이 손상되었다고 결론을 내립니다.
Balabit가 추적하는 UBA 특성에는 사용자의 과거 습관 (로그인 시간, 일반적으로 사용되는 응용 프로그램 및 명령), 소유 (화면 해상도, 트랙 패드 사용, 운영 체제 버전), 컨텍스트 (ISP, GPS 데이터, 위치, 네트워크 트래픽 카운터)가 포함됩니다., 그리고 내 재성 (당신이 무엇인가). 후자의 범주에는 마우스 움직임 분석 및 키 입력 역학이 있으며, 이로 인해 시스템은 사용자의 손가락이 키보드를 얼마나 강하고 빠르게 두드리는 지 매핑합니다.
Scheidler는 괴짜 용어로 매력적이지만 마우스 및 키보드 측정은 아직 완벽하지 않다고 경고합니다. 예를 들어, 누군가의 키 입력을 식별하는 것은 약 90 % 신뢰할 수 있으므로 회사의 툴은 해당 영역의 예외에 크게 의존하지 않습니다. 게다가, 사용자 행동은 항상 약간 다릅니다. 스트레스가 많은 날이나 손에 통증이 있으면 마우스 움직임이 다릅니다.
Scheidler는“우리는 사용자 행동의 여러 측면을 다루면서 집계 된 가치가 기준 프로필과 비교할 가치가 있기 때문에 100 %로 수렴되는 매우 높은 신뢰성을 가지고 있습니다.
Balabit은 UBA를 사용하여 보안 이벤트를 식별하는 제품을 공급하는 유일한 업체는 아닙니다. 예를 들어 사이버 이성은 유사한 방법론을 사용하여 세심한 사람들이 "웃음"이라고 말하는 행동을 식별합니다.
Cybereason의 CTO 인 Yonatan Streim Amit은 다음과 같이 설명합니다. "플랫폼에서 이상이 발생하면 (제임스 늦게 작업하는 제임스) 다른 알려진 동작 및 관련 데이터와 연관시킬 수 있습니다. 동일한 응용 프로그램 및 액세스 패턴을 사용하고 있습니까? 답장을 보내려는 관리자와 모든 커뮤니케이션이 진행되고 있습니까? " 사이버 이슈는 경보가 오 탐지인지 또는 합법적 우려인지를 판단하기위한 컨텍스트를 제공하기 위해 다른 관측 된 데이터의 긴 목록으로 비정상적으로 늦게 작동하는 James의 예외를 분석합니다.
답을 찾는 것이 IT의 일이지만 올바른 질문을 제기 할 수있는 소프트웨어를 갖추는 데 도움이됩니다. 예를 들어, 의료 기관의 두 사용자가 사망 한 환자의 기록에 액세스하고있었습니다. "당신은 어떤 종류의 신분이나 의학적 사기를 원하지 않는다면 왜 누군가 2 ~ 3 년 전에 세상을 떠난 환자들을보고있을 것입니까?" Cognetyx의 CEO 인 Amit Kulkarni에게 문의합니다. 이 보안 위험을 식별 할 때 Cognetyx 시스템은 해당 부서의 정상적인 활동을 기반으로 부적절한 액세스를 식별하고 두 사용자의 행동을 동료의 액세스 패턴의 행동과 자신의 정상적인 행동과 비교했습니다.
포트 스케일의 텐 들러는“정의에 따르면 머신 러닝 시스템은 반복적이고 자동화되어있다. "그들은 새로운 데이터를 이전에 본 것과 '일치'시키려고하지만, 손에 든 물건을 '실격'시키거나 예상치 못한 또는 범위를 벗어난 결과를 자동으로 '버릴'것입니다."
따라서 Fortscale의 알고리즘은 구조가 어떻게 보이는지 모르더라도 데이터 세트에서 숨겨진 구조를 찾습니다. "예기치 않은 점을 발견하더라도 잠재적으로 새로운 패턴 맵을 구축 할 수있는 사료를 제공합니다. 이것이 머신 러닝을 결정 론적 규칙 세트보다 훨씬 강력하게 만드는 이유입니다. 머신 러닝 시스템은 이전에는 볼 수 없었던 보안 문제를 찾을 수 있습니다."
ML 시스템이 이상을 발견하면 어떻게됩니까? 일반적으로 이러한 도구는 오탐 (false positive)의 부작용이 회사와 고객에게 해를 끼치기 때문에 어떤 식 으로든 최종 전화를 걸도록 경보를 인간에게 전달합니다. Balabit의 Scheidler는“문제 해결 및 법의학에는 인간의 전문 지식이 필요합니다. 이상적으로는 생성 된 경고가 정확하고 자동화되어 있으며 대시 보드는 "이봐 이상한"동작을 드릴 수있는 기능을 통해 시스템 상태에 대한 유용한 개요를 제공합니다.
출처: Balabit.com (전체 화면을 보려면 위의 그래픽을 클릭하십시오.)
시작일뿐입니다
ML 및 IT 보안이 초콜릿 및 땅콩 버터 또는 고양이와 인터넷과 완벽하게 일치한다고 가정하지 마십시오. 제품이 더 많은 기능, 응용 프로그램 통합 및 기술 향상을 얻음에 따라 더 많은 기능과 유용성을 얻을 수 있지만 이것은 진행중인 작업입니다.
단기적으로 보안 및 운영 팀이 사람의 개입없이 새로운 데이터 통찰력을 더 빨리 얻을 수 있도록 자동화 개선 사항을 찾으십시오. Prelert의 제품 부사장 인 Mike Paquette는 향후 2 년 또는 3 년 내에 공격의 행동을 식별하는 사전 구성된 사용 사례의 확장 된 라이브러리와 자동화 된 기능 선택 및 구성의 발전이라는 두 가지 형태로 발전 할 것으로 예상합니다. 컨설팅 계약의 필요성."
다크 트레이스의 팔머는 다음 단계는 자체 공격에 맞서 싸울 수있는 자체 학습 시스템이라고 말했다. "전통적인 방어와 같은 개별 이진 결정을 내리기보다는 개별 장치 및 전체 비즈니스 프로세스의 일반적인 동작에 대한 전체적인 상황을 이해하는 방식으로 맬웨어, 해커 또는 영향을받지 않는 직원의 새로운 위험에 대응할 것입니다. 이는 매우 중요합니다. 파일 기반 시스템뿐만 아니라 모든 귀중한 자산을 공격 할 수있는 착취 기반 공격과 같이 빠르게 움직이는 공격에 대응하고 인간이 할 수있는 것보다 빠르게 반응하도록 설계되었습니다."
이것은 약속이 많은 흥미로운 지역입니다. ML과 고급 보안 도구를 함께 사용하면 IT 전문가에게 새로운 도구를 사용할 수있을뿐만 아니라 이전보다 더 빠르고 정확하게 작업을 수행 할 수있는 도구가 제공됩니다. 총알은 아니지만 나쁜 사람들이 너무 오랫동안 모든 장점을 가지고있는 시나리오에서 중요한 발전입니다.
