Uczenie maszynowe w walce z cyberatakami

Inteligentne technologie to szansa na większe bezpieczeństwo sieci korporacyjnych.

Firmy są coraz bardziej przytłoczone rosnącą liczbą zagrożeń, co można wywnioskować z alarmującego wzrostu liczby udanych naruszeń danych w ostatnich kilku latach. Na rynku pojawiły się jednak nowe rozwiązania bezpieczeństwa oparte o uczenie maszynowe. Pozwalają one na ochronę użytkowników biznesowych poprzez analizowanie sieci, uczenie się występujących w niej prawidłowości, a następnie wykrywanie anomalii.

Pytanie brzmi: czy uczące się systemy to odpowiedź na współczesne wyzwania w obszarze bezpieczeństwa cybernetycznego? Warto się nad tym zastanowić, bo – obok pierwszych pozytywnych reakcji użytkowników – analitycy rynkowi i dostawcy tych rozwiązań odnotowują rosnący popyt na tego typu produkty.

Zobacz również:

„Uczenie maszynowe to najważniejszy trend na rynku narzędzi bezpieczeństwa w 2016 roku” – mówi EricOgren, starszy analityk ds. bezpieczeństwa w firmie 451 Research. „Każdy specjalista w tej dziedzinie doskonale wie, że produkty oparte na analizie zachowania stwarzają największą szansę na wykrycie ataków, którym zwykle udaje się ominąć statyczne, prewencyjne mechanizmy ochronne” – dodaje.

Uczenie maszynowe stanowi sedno koncepcji behawioralnej. „Nie wymyślono jeszcze niczego lepszego od obserwacji, umiejętności słuchania i uczenia się” – mówi Eric Ogren. „Maszyny uczą się poprzez obserwowania zachowania i definiowania profilu standardowej aktywności użytkownika, urządzenia bądź strony internetowej na podstawie wyników obserwacji. Takie działanie ma ogromne znaczenie, ponieważ dostarcza podstawowych informacji analitycznych, niezbędnych do ochrony przed szkodami wynikającymi z ataków polegających na pominięciu zabezpieczeń lub nadużyciu autoryzowanej operacji” – dodaje.

W perspektywie długoterminowej uczenie maszynowe przynosi korzyści w postaci nakierowania organizacji na odpowiednie tory prowadzące do upowszechnienia probabilistycznego i predyktywnego pojmowania kwestii bezpieczeństwa. Takie podejście płynnie wpisuje się w powszechnie akceptowane praktyki branży IT. „Wdrożenie takiego podejścia już procentuje w największych firmach świadczących usługi w zakresie chmury obliczeniowej i spółkach medialnych, w których kwestie bezpieczeństwa nie są traktowane zero jedynkowo, lecz obejmują wszelkie działania zmierzającego do ograniczenia ryzyka poważnego zakłócenia działalności biznesowej, które to zakłócenie może z kolei istotnie wpłynąć na wynik finansowy organizacji.

Potencjalne wyzwania

Jak każda nowa technologia, uczenie maszynowe niesie ze sobą potencjalne problemy. „Wyzwaniem dla firm może być odpowiednie różnicowanie jakości algorytmów uczenia maszyn dostarczanych przez różnych dostawców” – mówi Eric Ogren. „Ale jakość przełoży się na rezultaty końcowe. Dlatego zalecamy, by projekty typu proof of concept skupiały się na inkrementalnych przypadkach użycia w odniesieniu do użytkowników, urządzeń lub stron internetowych, tak aby móc uzyskać informację o wydajności produktu” – dodaje.

Chociaż uczenie maszynowe może doprowadzić do znacznej poprawy bezpieczeństwa, to jednak nie rozwiązuje wszystkich problemów. „Jak każda technologia, uczenie maszynowe ma swoje ograniczenia i obszary, w których sprawdza się najlepiej. Świetnie radzi sobie z większością problemów w obszarze bezpieczeństwa, szczególnie w zakresie identyfikowania ewentualnych nieprawidłowości, które należy ocenić lub zbadać” –wyjaśnia David Monahan, dyrektor ds. badań, bezpieczeństwa i zarządzania ryzykiem w firmie badawczej Enterprise Management Associates Inc.

Wyróżniamy dwa rodzaje systemów uczących się stosowanych w dziedzinie bezpieczeństwa: nadzorowane i nienadzorowane. „Mimo że systemy te znajdują zastosowanie w odmiennych obszarach, ostatecznie oba sprowadzają się do wyszukiwania anomalii w dostarczanych zbiorach danych. Dlatego są tak dobre, jak dostarczane do nich dane. Oznacza to, że uczenie maszynowe to technologia inkrementalna, nie fundamentalna” – mówi David Monahan.

Kluczowe korzyści

Według Monahana, najważniejszą zaletą uczenia maszynowego jest możliwość wykrywania trendów, schematów i nieprawidłowości w obrębie dużych i zróżnicowanych zbiorów danych, a także szybkość wykonywania takiej operacji.

„Technologie te działają szybciej niż większość rozwiązań do analizy Big Data, ponieważ mogą pracować w czasie rzeczywistym lub niemal rzeczywistym – analizować dane w ciągu kilku sekund lub minut – i nie wymagają uprzedniego zakończenia procesów wsadowych”. Potrzebę stosowania technologii uczenia maszynowego warunkują dwie kwestie: czas potrzebny na wykrycie naruszenia oraz fakt, że w większości przypadków firmy są o nim informowane przez strony trzecie.

„Firmy potrzebują rozwiązań, które pozwalają im na wyprzedzanie zagrożeń, ich wyszukiwanie i usuwanie zanim zostaną wyrządzone jakiekolwiek szkody” – mówi Kris Lovejoy, prezes i dyrektor wykonawczy firmy BluVector, która dostarcza technologie bezpieczeństwa bazujące na Machine Learning.

Mike Paquette, wiceprezes ds. produktów w firmie Prelert, kolejnego dostawcy takich rozwiązań, twierdzi natomiast, że „firmy zorientowały się, że nie są w stanie przewidzieć każdego możliwego wektora ataku i każdorazowo ręcznie tworzyć reguł identyfikujących te, które udało im się przewidzieć. Dlatego szukają możliwości automatyzacji czynności polegających na analizowaniu logów w taki sposób, by podstawowe zachowania zwiastujące atak były wykrywane na bieżąco”.

Oto krótka lista dostępnych rozwiązań bezpieczeństwa bazujących na technologii uczenia się maszyn:

BluVector od Acuity Solutions – narzędzie do wykrywania złośliwego oprogramowania i wyszukiwania zagrożeń cybernetycznych, bazujące na uczeniu maszynowym jako mechanizmie identyfikacji potencjalnych zagrożeń i nadawania im priorytetów. Wraz z wykrywaniem kolejnych zagrożeń tworzone są pakiety analityczne dla osób odpowiedzialnych za ich badania i sortowanie.

DgSecure Monitor od Dataguise to narzędzie do wykrywania naruszeń danych, które wykorzystuje uczenie maszynowe i analizę behawioralną do generowania alertów za każdym razem, gdy operacje wykonywane przez użytkownika odbiegają od jego typowego profilu zachowania. Niezależnie od tego, czy dane wrażliwe są chronione czy nie, DgSecure Monitor ułatwia tworzenie polityk zarządzania bezpieczeństwem danych poprzez wykorzystywanie powyższej umiejętności w połączeniu z politykami zdefiniowanymi przez użytkownika.

Deep Instinct oferuje produkt o nazwie Deep Learning inspirowany możliwościami ludzkiego mózgu w zakresie identyfikacji obiektów i ich wielorakiej interpretacji. Poprzez stosowanie umiejętności głębokiego uczenia w obszarze bezpieczeństwa cybernetycznego, Deep Instinct realizuje działania na dwóch etapach: uczenia się i przewidywania. Wynikiem tego procesu jest instynktowna ochrona cybernetyczna przed nawet najbardziej wyrafinowanymi atakami pochodzącymi z dowolnego źródła.

Distil Networks oferuje rozwiązania technologiczne chroniące aplikacje webowe przed złośliwymi botami, nadużyciami API i oszustwami. Każdy klient Distil wynosi korzyści z globalnej infrastruktury systemów uczących się, które analizują schematy ataków w czasie rzeczywistym. Przykładowo, rozwiązania Distil proaktywnie wykrywają bota w oparciu o korelację ponad 100 dynamicznych klasyfikacji i wskazują odchylenia od unikalnych schematów zachowania ruchu na stronie.

Prelert oferuje trzy zaawansowane narzędzia do wykrywania zagrożeń, bazujące na maszynowym uczeniu się w celu zapewnienia bezpieczeństwa. Wszystkie trzy produkty stworzono w oparciu o autorski silnik analityki behawioralnej firmy Prelert, wykorzystujący nienadzorowane technologie uczenia maszynowego do tworzenia wzorów normalnego zachowania oraz identyfikacji wszelkich nieprawidłowości lub niestandardowych schematów danych powiązanych z atakami cybernetycznymi.

Skuteczne „na bank”

Firmy wykorzystujące technologię uczenia maszynowego odnotowują pierwsze sukcesy. Orrstown Bank, dostawca społecznych usług bankowych, zaczął korzystać z systemów uczących się w odpowiedzi na znaczny wzrost liczby oszustw związanych z kartami kredytowymi i debetowymi.

„Co prawda istnieje kilka powodów wzrostu liczby oszustw związanych z kartami płatniczymi, ale najważniejszy z nich to naruszenia w małych i dużych punktach handlowych. Rozwiązania do wykrywania takich oszustw albo mają ograniczony zakres stosowania albo są zbyt drogie, by mogły zostać wdrożone przez przeciętnej wielkości bank społeczny” – mówi Andrew Linn, starszy wiceprezes i główny inspektor bezpieczeństwa teleinformatycznego w Orrstown Bank.

Bank nawiązał współpracę partnerską z Prelert, by wykorzystać oferowaną przez tę firmę technologię uczenia maszynowego do walki z oszustwami w obszarze kart płatniczych. Mimo, że narzędzie opracowano z myślą o wykrywaniu nieprawidłowości w zasobach technologicznych, Orrstown Bank odkrył, że produkt oferowany przez firmę Prelert jest również w stanie wykrywać anomalie w ludzkim zachowaniu, w tym zachowaniu użytkowników kart płatniczych.

„Sprawcy nadużyć często dokonują zakupów według określonego wzorca, gdy posługują się skradzionymi kartami” – mówi Andrew Linn. W pierwszej kolejności dokonują zwykle drobnego zakupu, by sprawdzić, czy karta jest nadal aktywna i działa. Jeśli taka próbna transakcja się powiedzie, szybko wykonują całą serię transakcji na wyższe kwoty.

Oferowane przez Prelert rozwiązanie do obliczania prawdopodobieństwa oszustw oparte na technologii uczenia maszynowego pomaga bankowi w wykrywaniu pierwszej oszukańczej transakcji, dzięki czemu bank może zapobiec kolejnym, na dużo wyższe kwoty.

„Narzędzie wykrywa oszustwo poprzez identyfikację nieprawidłowości w użytkowaniu kart płatniczych w wielu różnych wymiarach – pora dnia, kwota transakcji, lokalizacja, typ punktu handlowego itd. – w połączeniu z ekspercką wiedzą na temat schematów znanych transakcji oszukańczych dostarczanych przez bank. Mimo, że dopiero niedawno wdrożyliśmy to rozwiązanie, wczesne rezultaty pokazują, że możemy obniżyć straty spowodowane oszustwami o nawet 50%” – mówi Andrew Linn.

Czy to na pewno ten bilet?

Kolejnym użytkownikiem technologii uczenia maszynowego jest firma StubHub świadcząca usługi odsprzedaży biletów, która wdrożyła technologię Distilokoło 18 miesięcy temu. „Wraz z pojawieniem się nowych zagrożeń bezpieczeństwa, narzędzia Distil stały się nieodłączną częścią szerszej strategii bezpieczeństwa firmy StubHub, szczególnie w zakresie walki z atakami polegającymi na przejmowaniu kont klientów” – zdradza Marty Boos, starszy dyrektor ds. operacji technicznych w firmie StubHub.

Oferowane przez Distil technologie uczenia maszynowego zapamiętują schematy zachowania, które same wykrywają w obrębie ruchu przychodzącego do Stubhub. Dzięki temu są w stanie rozpoznawać symptomy pojawienia się złych botówi innych problemów z bezpieczeństwem.

StubHub i Distil codziennie wspólnie analizują bieżącą sytuację i ewentualne przyszłe problemy. Ze względu na coraz szybszy rozwój botów i innych rodzajów złośliwego oprogramowania, właściciele sieci i platform muszą przykładać coraz większą wagę do tego, wyprzedać nowe taktyki stosowane przez atakujących.

W przypadku firmy StubHub transakcja zakupu często wiąże się z natychmiastowym transferem produktu cyfrowego, dlatego tak istotne jest zapobieganie naruszeniom sieci przez boty i inne zagrożenia. Zdaniem Marty’ego Bootsa, to część ryzyka biznesowego ponoszonego przez firmę. Rozwiązania Distil pomagają jej w bardziej inteligentnym radzeniu sobie z bieżącymi problemami i przygotowaniu się na ewentualne przyszłe zagrożenia.

Firma Human Longevity Inc., dostawca technologii do tworzenia największej na świecie i najbardziej kompleksowej bazy danych na temat całego genomu, fenotypu i informacji klinicznych, zaczęła korzystać z narzędzia Enterprise Immune System od Darktrace we wrześniu 2015 roku, by określić, co stanowi prawidłową aktywność sieciową w obrębie jej platform biznesowych i korporacyjnych.

„Naszym celem była identyfikacja wszelkich nieprawidłowych aktywności w obrębie sieci i doprowadzenie do tego, by nasze zespoły skoncentrowały się na analizowaniu tych nieprawidłowości pod kątem oceny ich poziomu zagrożenia” – wyjaśnia Tom Brandl, dyrektor ds. bezpieczeństwa IT w Human Longevity Inc.

„Rozwiązania oferowane przez Darktrace uczą się schematów życia w naszym środowisku – dążą do osiągnięcia jak najlepszego zrozumienia tego, co jest standardem w naszej sieci, by móc identyfikować wszelkie nieprawidłowości” – mówi Tom Brandl. „Pozwala to programistom i specjalistom na robienie tego, co wychodzi im najlepiej: badanie nieprawidłowości wykrywanych przez Enterprise Immune System i określanie poziomu zagrożeń, a także identyfikowanie działań, które należy podjąć” – dodaje.

Największą korzyścią płynącą z tej technologii jest to, że gwarantuje ona firmie dużo szersze pole widzenia i lepsze zrozumienie tego, co dzieje się w jej środowisku. Uczestnicy rynku mówią, że przyszłość przyniesie całkowicie nowe możliwości w zakresie zwiększenia bezpieczeństwa informacji.

„Nie ma teoretycznie żadnych ograniczeń w tworzeniu sztucznej wersji ludzkiego mózgu” – twierdzi Guy Caspi, prezes Deep Instinct. „Głębokie uczenie przybliża nas do tego celu w coraz szybszym tempie. W nadchodzących latach możemy spodziewać się wielu ekscytujących przełomowych rozwiązań, szczególnie w obszarze nienadzorowanego uczenia” – dodaje.

O ile głębokie uczenie stosuje się z powodzeniem w obszarze komputerowego przetwarzania obrazu i mowy oraz rozumienia tekstu, to istnieje wiele innych obszarów, które mogłyby zostać zrewolucjonizowane dzięki tej technologii. Jako centrum sztucznej inteligencji i nauki opartej na danych, uczenie maszynowe będzie w dalszym ciągu napędzać innowacje w zakresie opracowywania i uczenia się algorytmów przez maszyny.

„Technologia uczenia maszynowego jest obecnie wdrażana we wszystkich branżach, w których analizuje się masowe ilości danych. Powszechna adopcja rozwiązań Big Data przyspiesza tylko integrację tego typu rozwiązań w systemach analitycznych” – mówi Venkat Subramanian, dyrektor ds. technicznych w Dataguise.

W przyszłości uczenie maszynowe będzie obejmować wszystkie obszary technologii komputerowej. Szczególnie przydatne może okazać się w zakresie wykrywania naruszeń bezpieczeństwa sieci korporacyjnych i ochrony przed takimi naruszeniami, a także w zakresie nieuprawnionego dostępu do wrażliwych danych.