Folosirea Machine Learning pentru a crea analiști virtuali de securitate

Focus (de , January 12, 2018)

Sectorul securității a investit mult pentru a atrage atenția asupra ascensiunii „Machine Learning” sau „Inteligenței Artificiale”. Specialiștii afirmă că problema cea mai mare o reprezintă regulile ecosistemului – prea multe atacuri neidentificate și prea multe alarme false. Machine Learning este răspunsul potențial pentru toate aceste probleme.

Societatea numită PatternEx, de pildă, lucrează pentru a le rezolva. Oameni și computere trebuie să colaboreze pentru a identifica modelele de cyber-atacuri în evoluție, ascunse printre datele noastre. Secretul stă în a înțelege cum mașinile și oamenii pot să se educe reciproc pentru a combate amenințări emergente.

Machine Learning funcționează fără reguli și interceptează atacuri neobservate înainte. Dar ce rezolvă? Care sunt compromisurile?

Pentru a explica fenomenul în mod detaliat, este util să organizăm universul Machine Learning în trei tipologii distincte, folosite în sectorul securității:

  1. Unsupervised Machine Learning;
  2. Static Supervised Learning;
  3. Active Supervised Learning.

Unsupervised Machine Learning

Majoritatea a ceea ce citim sau auzim în promovări etichetate ca „depistarea automată a amenințărilor” este o învățare automată, fără super­vizare sau, pur și simplu, o detectare a anomaliilor. Această abordare este amplu folosită în mai multe sectoare pentru a organiza datele și a găsi anomalii printre acestea. În domeniul cybersecurity, Unsupervised Machine Learning analizează log-uri sau pachete de date și încearcă să găsească în ele valori anormale. Această tehnologie are sens pentru că marea majoritate a comportamentelor online este legitimă, pe când cele dăunătoare fiind considerate anormale.

Din păcate, relațiile dintre companii și angajați, parteneri, furnizori și clienți sunt extrem de complexe. Comportamentele sunt foarte variabile și ceea ce poate apărea ca fiind o anomalie este de fapt o realitate normală. De pildă, se putea revela că există un furt de date în Ucraina, pe când în realitate acestea erau folosite de către un subcontractant legitim care lucra în țara împricinată pentru o divizie a firmei. Promisiunea Unsupervised Learning este slăbită de către o zonă de umbră importantă care ilustrează defectul logic al acestei abordări: definiția «anomaliei» nu este decât cea de «răuvoitoare». Există atunci o confuzie între cele 2 și terminăm prin a fi obligați să tratăm o infinitate de falsuri.

Static Supervised Learning

motivat să ne înșele pentru a avea succes în demersurile sale. Agresorii se transformă mai rapid decât pot fi pregătite modelele de învățare. Așadar, cum putem să punem la zi un model în timp real?

Spre deosebire de Unsupervised Machine Learning, Static Supervised Learning primește input-uri generate de oameni pentru a crea modele. Putem să ne gândim la modelele făcute de către Supervised Learning ca la sisteme care «gândesc» ca oamenii și care învață pe parcursul timpului. Data scientists culeg un feedback de la oameni, apoi formează un model bazat pe acest feedback și aplică modelul generat în lanțul de producție. Acest proces – a învața și a pune la zi pentru a fi de folos – necesită adesea luni sau chiar ani, în funcție de când și unde noul feedback uman vine integrat.

Active Supervised Learning

Acest tip de model funcționează în ambientele statice unde ceea ce vrem să prevedem nu este în curs de schimbare. Dar «static» nu privește lumea securității informatice. Mai degrabă, lumea noastră este caracterizată de către dinamism, un factor fundamental contrazicător fiindcă agresorul este

Pentru a aduce Inteligența Artificială în domeniul cybersecurity, Active Supervised Learning este ceea mai bună abordare. Învățământul activ este un mod de a forma modele de Supervised Learning într-o clipă, fără milioane de exemple pentru a îl crea. Active Supervised Learning oferă promisiunea unui învățământ supravegheat cu o perioadă de training redusă în mod drastic.

Acest sistem implică în mod continuu analiști umani, pentru a învața de la ei și a crea noi modele de Supervised Learning. Denumim aceste modele Virtual Analyst pentru că nu sunt capabile de a face distincție între scheme de comportamente rău-intenționate sau cele normale, cu mare grad de precizie, ceea ce poate face un analist.

Denumirea de Virtual Analyst implică la fel că trebuie să gândim cum să integrăm procesul obținut în aparatura noastră de securitate. Dacă sunt repartizați în mod corect, pot să aducă beneficii enorme unei organizații în cadrul ameliorării capacității sale de apărare împo­triva atacurilor și pot acționa exact ca un sistem de early warning.

Autor: Uday Veeramachaneni

Material publicat în Cybersecurity Trends, nr. 4/2017

Tags: , ,

Trackbacks

Leave a Trackback