Analityka zamiast człowieka

Czy można wyeliminować ludzi z procesów decyzyjnych? Czy samobroniąca się sieć jest tylko marzeniem czy może rzeczywistością? Obecnie eksperci od zabezpieczeń są istotną częścią działań bezpieczeństwa, ale w ciągu kilku lat to może się zmienić. Jesteśmy w stanie zbudować technologie, które w czasie rzeczywistym automatycznie dostosują zabezpieczenia do bieżącej sytuacji.

Idea zunifikowanej, konwergentnej platformy bezpieczeństwa, która ma zarówno mechanizmy analityczne, jak i zwalczania zagrożeń, krąży w branży IT już od jakiegoś czasu. Najbliższe tej koncepcji są mechanizmy kontroli dostępu do sieci (NAC), które niestety okazały się wielką klapą. Stoi za tym niedostosowanie do dynamicznej natury współczesnych przedsiębiorstw. Włamywacze nie operują według zaplanowanego harmonogramu czy według sztywno ustalonych reguł. Wiele spośród spektakularnych włamań w ostatnich latach pokazało, że mimo posiadania dobrych technologii i doświadczonych pracowników odpowiedzialnych za bezpieczeństwo, można jednak przeoczyć atak. Aby więc zrealizować cel pełnej automatyzacji, branża bezpieczeństwa musi pokonać trzy wyzwania: znormalizować dane, udoskonalić algorytmy sztucznej inteligencji oraz wprowadzić mechanizmy współdzielenia. Analizy ekspertów wskazują, że są to przeszkody do pokonania.

Normalizacja danych

Mimo że technologie SIEM znacznie poprawiły budowanie elastycznych struktur, które mogą przechowywać duże ilości danych, normalizacja nadal pozostaje trudnym zadaniem. Różne technologie rejestrują dane w różnych formatach. Przekształcenie tych danych w uniwersalny format przyniosłoby ogromne korzyści.

Zobacz również:

Wiele produktów SIEM realizuje to w pewnym stopniu. Gdyby producenci podjęli ze sobą współpracę i zintegrowali swoje technologie, można by pokusić się o wypracowanie wspólnego standardu zapisywania danych w logach. Gdyby logi we wszystkich rozwiązaniach bezpieczeństwa były wystandaryzowane, znacznie poprawiłoby to możliwości w zakresie ochrony. Kilka lat temu podjęła to wyzwanie firma Symantec, ale nie osiągnęła zamierzonego celu. Gdyby jednak inicjatywę podjęli wszyscy główni producenci firewalli i rozwiązań UTM, szanse na realizację byłyby znacznie większe.

Sztuczna inteligencja

Kolejnym dużym wyzwaniem jest zbudowanie algorytmów sztucznej inteligencji, które potrafiłyby dynamicznie dostosowywać zabezpieczenia na podstawie analizy zebranych danych. Tutaj rozwiązań można poszukiwać wśród producentów gier komputerowych oraz prowadzących prace nad samochodami bez kierowcy. Inteligencja zaszyta we współczesnych grach wideo jest imponująca. Takie tytuły, jak World of Warcraft czy Halo analizują złożone zbiory zmiennych i na tej podstawie automatycznie podejmują decyzje. Zaczyna się również urzeczywistniać koncepcja samochodu bez kierowcy. Zastosowane w nich technologie precyzyjnie przetwarzają często chaotyczne dane płynące ze świata rzeczywistego. Jeśli jesteśmy w stanie stworzyć postacie w grach działające autonomicznie czy też samochód bez kierowcy, damy również radę dobudować inteligencję do platform bezpieczeństwa.

Prawdziwym problemem jest to, że większość dużych firm skupia się na sprzedaży urządzeń, a przegapia innowacyjne pomysły. Z kolei mniejsze firmy nie mają środki na inwestycje w sztuczną inteligencję. Tymczasem rozwiązanie tego problemu jest finansowym wyzwaniem. Branża gier komputerowych ma szeroką rzeszę wiernych klientów, którzy generują miliardowe przychody. Natomiast branża analityki bezpieczeństwa notuje roczną sprzedaż na poziomie 400-500 milionów dolarów. To sprawia, że producenci tracą zainteresowanie inwestowaniem w nową generację zabezpieczeń. Pracę nad tego rodzaju technologiami prowadzą instytucje rządowe, m.in. amerykański departament obrony, a także duzi operatorzy telekomunikacyjni. Jednak dopóki takie firmy, jak Google czy Microsoft nie podejmą zdecydowanych działań, nie doczekamy się przełomu.

Globalna platforma współpracy

Analityka bezpieczeństwa nie może funkcjonować w próżni. Zależy, m.in. od danych na temat zagrożeń. Obecnie w większości takie dane, jak definicje wirusów, są dostępne w ramach płatnych usług. Wymiana danych między potentatami z branży bezpieczeństwa jest bardzo skąpa. Nawet takie strony, jak VirusTotal, która zbiera i analizuje dane na temat wirusów, są nadal dość prymitywne. Cisco, Google, czy Symantec chronią swoje dane, traktując je jako przewagę konkurencyjną. Tymczasem mechanizmy analityki bezpieczeństwa potrzebują globalnej współpracy w zakresie zbierania danych, aby móc się rozwijać. Aby analityka była skuteczna, musi wykrywać ataki w czasie rzeczywistym. Jeśli określony atak zostanie wykryty po raz pierwszy, cała sieć powinna zostać poinformowana o tym fakcie automatycznie.

To może być najtrudniejszy aspekt zbudowania systemów bezpieczeństwa działających autonomicznie. Dopóki jednak klienci nie będą oczekiwać od dostawców, aby ci wymieniali się danymi, nie będą oni mieli motywacji do podjęcia takich działań. Ponadto wymiana danych powinna stać się obowiązującym standardem. W przedsięwzięciu nie może brać udziału tylko kilka firm, ponieważ klienci pozostałych nie będą mieli dostępu do udostępnianych informacji. Jedyną drogą skutecznego zbierania informacji o zagrożeniach jest szeroka współpraca. Tutaj istotną rolę mogą odebrać rządy.

Konwergentna, zunifikowana platforma analizująca firmową infrastrukturę i automatycznie broniąca ją przed zagrożeniami pewnego dnia stanie się rzeczywistością. Przyjdzie nam na to poczekać jeszcze co najmniej kilka lat lub dłużej. Pierwsze jaskółki już widać. Możemy trzymać kciuki, żeby Blue Coat dalej rozwijało swoje produkty Solera. Również platforma analityczna RSA ma spory potencjał, ponieważ stoi za nią potęga finansowa EMC.