Automatizált mesterséges intelligencia a kibertámadások ellen

Interjú a Vectra biztonsági elemző csoportjának vezetőjével

Chris, a Vectrához való csatlakozás előtt az NSS Labs elemzője voltál. Ez utóbbi elég széles rálátást biztosíthatott neked az IT biztonsági piacról. Miért döntöttél a váltás mellett?

Sokan úgy ismerik az NSS Labs-et, mint akik különböző biztonsági eszközök hatékonyságát tesztelik, de mi nem csak ezt vizsgáltuk, hanem a felhasználhatóságukat is. Rengeteg kézzelfogható, használható tapasztalatot szereztünk. Jómagam rengeteg időt töltöttem biztonsági folyamatok és architektúrák fejlesztésével. Ez a tapasztalat tanított meg arra, hogy a 100%-os megelőzés eszméje nem valóságos, és a rugalmasságra kell fókuszálnunk. Ahogy én képzelem el a rugalmasságot, az alapján el kell fogadnunk, hogy beszivárognak a hálózatba, és ennek a hatását kell csökkentenünk.

Megtanultam, hogy az idő a legfontosabb tényező, ezért a kutatásaim hangsúlya két területen van: biztonsági architektúra tervezése a támadók lelassítására, a támadási felületek csökkentésére; valamint – ami még fontosabb – a fenyegetettségek felkutatására, és olyan incidens reagálási folyamatokra, amik úgy vannak tervezve, hogy az elemző minél gyorsabban megtalálja a hálózatot veszélyeztető fenyegetettségeket, és ezáltal gyorsabban tudjon reagálni azokra. Manapság egyre fontosabbá válik, hogy a támadókat lelassítsuk, és felgyorsítsuk a védekezőket. Ez egy verseny.

Nemrég publikáltál egy whitepaper-t „SOC automatizálás mesterséges intelligencia segítségével” címmel. Mi ösztönzött erre?

Az egyik döntő ok, és ezzel megválaszolom a kérdésed arra, miért csatlakoztam a Vectrához, hogy a Vectra mesterséges intelligenciája felgyorsítja az elemzési folyamatokat, még hatékonyabbá téve bárminél, amit akár a meglévő technológiákkal magam képes lettem volna megtervezni, megírni. Ez ösztönzött arra, hogy ide jöjjek, és ez vezetett a whitepaper-höz.

Ismét megerősítést nyertem abban, hogy a rugalmasság az IT biztonság területén a szervezetek elengedhetetlenül szükséges képessége a túléléshez; egyszerűen őrültség azt hinni, hogy megállíthatunk minden támadást, és ehelyett el kell fogadnunk a betöréseket, és csökkentenünk kell ezek hatását. Ahogy az előzőekben említettem ez egy filozófia, és ezzel a gondolattal az elmémben arra figyeltem fel, hogy a biztonsági intézkedéseknek, üzemeltetésnek 3 kulcs területre kell fókuszálniuk: felderítés, reagálás és előrejelzés.

A megelőzés az üzemeltetés, az IT (biztonsági) részét kell, hogy képezze, ez nem egy olyan terület, amivel egy jól képzett biztonsági elemzőnek kell az idejét töltenie. Nekik azokról a támadásokról kell gondoskodniuk, amik már bejutottak a hálózatba. Ez azt jelenti, hogy az elemzőknek folyamatosan olyan támadókra kell vadászniuk, akik már a rendszerükön belül vannak, ezekre a fenyegetettségekre kell, hogy válaszoljanak, legfőképpen azokra, amik igazi károkat tudnak okozni, amik célzottak, és igazán fájdalmasak a szervezetnek.

Végül, de nem utolsósorban, egy szervezet képes kell, hogy legyen tanulni ezekből a támadásokból, és ezt nem lehet elégszer megtenni. Meg kell érteniük, mik az aktuális támadási felületeik, mi a valós kitettségük, tudniuk kell, milyen típusú támadássokkal célozzák az iparágat, ahol működnek – egy felsőoktatási intézmény ellen más módszerekkel mennek, mint pl. a gyógyszeripar ellen. Ezeket az ismeretek kombinálniuk kell, és kell, hogy előre tudják jelezni, milyen támadások történhetnek a következőkben, és ez a fajta előrejelzés nagyon fontossá vált.

Összefoglalva, a szervezeteknek tudniuk kell, a hálózatuk mely része van kitéve egy támadónak, mely területekre összpontosítsák idejüket és erőforrásaikat, és ismerniük kell a támadójuk motivációját.

A fent felsoroltakat véghez vinni nem könnyű, csak emberi erővel majdhogynem lehetetlen pláne, ha ezeket gyorsan akarjuk megtenni, az észvesztően nehéz. Amit megtanultam, hogy a vállalatoknak 3 válasza lehet erre a helyzetre: az egyik, hogy felvehetnek sok magasan képzett szakembert – egy jó kiberbiztonsági műveleti központhoz legalább tíz-tizenöt ember kell, de láttam már 20 fős SOC-okat is – és itt most igazán jól képzett szakemberekről, a szakma krémjéről van szó, de őket nehéz megtalálni és megtartani. Még úgy is, hogy csak az USA-ban egymillió ilyen állás betöltetlen ebben a pillanatban. A másik lehetőség, hogy bizonyos szintű automatizáltságot biztosítanak mesterséges intelligencián keresztül, hogy fokozzák, kiterjesszék a meglévő biztonsági elemzőik képességeit, hogy még hatékonyabbak és még gyorsabbak legyenek, akár kisebb létszámú kiberbiztonsági csoportok esetében is. Vagy a harmadik lehetőség, hogy hagyják az egészet a francba, és nem foglalkoznak ezzel a problémakörrel – sajnos sokszor ez történik.

Én hiszem, hogy ezek közül a lehetőségek közül a legjobb megközelítés a képességek fejlesztése mesterséges intelligencia segítségével, és ez okból is csatlakoztam a Vectrához. Ez a gondolatmenet az alapja a SOC automatizálásról szóló whitepaper-nek. A való világ tapasztalatai alapján lett megírva, amit meglévő Vectra ügyfelek szolgáltattak, akik nagyon sikeres biztonsági műveleti csoportokat működtetnek a Vectra segítségével.

Szóval meg tudnád határozni a mesterséges intelligencia szerepét, különös tekintettel a detektálásra/felderítésre?

A felderítés a legkézenfekvőbb terület, ahol a mesterséges intelligencia segíthet, és feltehetően a legfontosabb is. A fenyegetettségek felderítése már most is nehéz feladat, 24/7-ben pedig nem realisztikus, és a jelenleg elérhető felderítési módszerek arra koncentrálnak, hogy a malware-eket a periméteren fogják meg. Megpróbálnak megfogni dolgokat, amik kívülről bejöhetnek a hálózatba, de nem töltenek időt azzal hogy megkeressék azokat a rosszfiúkat, akik már rég benn vannak.

A támadások felderítése megköveteli, hogy értsük a támadások valódi működését, a malware-en túl. Sokszor a malware nem is képezi részét folyamatoknak. Továbbá szükséges egy ösztönös tudás a szervezet saját környezetéről; amely olyan alapvető tényezőket foglal magában, mint hogy ki milyen szervereket kezel, hol vannak a munkaállomások, stb. A felderítések során figyelembe kell venni a teljes támadási felületet – felhasználók, adatközpontok, cloud környezet, és az IoT-k. Ez egy elég nagy falat az emberi munkaerőnek. Nem számít, mennyire jók, ez rengeteg feladat egy ember számára. Ugyanakkor a gépek rendkívül jók ebben a sokszor unalmas és fárasztó munkában. A gépek abban is nagyon hatékonyak, hogy emlékezzenek az általuk tanultakra, amikor megadják nekik, hogy mit kell megtanulniuk.

A Vectra nem tesz mást, mint kombinálja a biztonsági kutató csoportja tudását és intelligenciáját/tapasztalatát, amit több tíz – a hálózati támadások területén eltöltött – év alatt szereztek meg. Ezt, valamint adattudósai tapasztalatát a gépi tanulási algoritmusok területén kamatoztatja. Együtt dolgozva nem csak azt tudják megtanítani a gépeknek, hogy felismerjék, milyen folyamatok különböznek a normál hálózati működéstől, de a leghangsúlyosabban azt, hogy mit is csinál valójában egy támadó, és hogyan viselkedik maga a támadás. A gépek 24/7-ben képesek figyelni a hálózatot, és értesíteni az elemzőket nemcsak akkor, ha történik valami, hanem leginkább akkor, amikor olyasvalami történik, amivel komolyan foglalkozni kell – pl., ha ransomware-rel célozzák a hálózatot, vagy valaki éppen adatokat lop.

Sokan beszélnek arról, hogy a vendorok túlhype-olják a mesterséges intelligencia képességeit. Nektek vannak adataitok arról, ami bizonyítja a Vectra eredményeit?

Abszolút, mi ebből a szempontból könnyű helyzetben vagyunk. Egy cégnek, aki rendelkezik igazi adattudósokkal, először is igazi adatokkal kell rendelkeznie; ez az adattudomány természete. Sokszor van, hogy valaki rendelkezik egy gépi tanulási algoritmussal, hogy fejlessze a detektációs képességeit, de nem rendelkezik valódi adattal, hogy táplálja a gépi tanulást.

Mi arra fókuszálunk, hogy az elemzők magukat fejlesszék, én személy szerint úgy tartom, hogy a munkaköröm egyik legjobb része itt a Vectránál, mint a biztonsági elemzők vezetője az, hogy állandóan elemeznem kell ezeket az adatokat, a támadók viselkedését, számos iparágon belül. Több száz féle alkalmazási módot, többmillió hostot látok nap mint nap, és ezek alapján a következőt tanultuk.

Azt láttuk, hogy egy szervezetnél minden ezer IP címből 841-en tapasztalható valamilyen biztonsági esemény, amelyek különböző anomáliák lehetnek, a legelhanyagolhatóbbaktól a legsúlyosabbakig. Ezekből kb. 65-re tudjuk redukálni azokat, amikkel foglalkozni kell, amiből 29 az, amin többféle támadási viselkedés fedezhető fel, és az ezerből 5 host olyan, ami kritikus vagy magas kockázatú, amivel igazán foglalkozni kell. Ezekre kell összpontosítani az időnket és energiánkat.

A Vectrán nem megy keresztül a forgalom, így nem tudja a blokkolni kártevőket. Le tudnád vezetni, hogyan segíti a Vectra a biztonsági műveleti központ tagjait, hogy reagáljanak arra, amit ti felderítetek?

Ahogy az előbb említettem, a probléma az, hogy egy támadásra adott reakció függ a szervezettől és a támadás típusától. A biztonsági műveleteknek tucatnyi playbook-kal kellene rendelkeznie minden elképzelhető szcenárióra. Az elképzelés, hogy a malware-t megfogja egy anti-vírus, idejét múlt és nem realisztikus. Ehhez rendelkezned kellene a hálózati hozzáférést kontrolláló rendszerrel, vagy egyenként blokkolnod a folyamatokat.

A Vectránál mi ezt figyelembe vettük, és úgy fejlesztettük a mesterséges intelligenciánkat, hogy iparági standard API-knak nyújtson adatokat, amik bárhol bármilyen körülmények között használhatók. Ez lehetővé teszi, hogy a Vectra mesterséges intelligenciáját integrálják bármilyen reagálási módba, eszközbe, ami a helyzetnek megfelelő. Fontos, hogy ezek az eszközök együtt tudjanak működni; ezek az eszközök a szegmensük legjobbjai, így arra koncentrálhatnak, hogy a lehető legjobb módon működjenek együtt.

Ezek az együttműködések egyre kritikusabbá válnak napjainkban. Tudnál példát mondani a partneri együttműködéseitekre?

Hogyne. Végpontvédelem tekintetében olyan gyártókkal társultunk, akik detektálni és reagálni is képesek, mint a Carbon Black, Tanium vagy Crowdstrike. Ezek az eszközök nagy hangsúlyt fektetnek a hostok elszigetelésére és így a támadási folyamatok megsemmisítésére. Hálózati hozzáférési menedzsment eszközök területén a Cisco és Forescout a partnerünk, ezek teljes eszközöket tudnak leválasztani a hálózatról. Tűzfalak tekintetében pedig a Ciscoval, Palo Altoval és Juniperrel léptünk partnerségre.

Sokan arra koncentrálnak, hogy az elsődleges command and control forgalmat vagy adatszivárogtatási csatornát blokkolják, azokat a módokat, amiken keresztül a támadók megpróbálnak adatokhoz hozzáférni. Az ügyfeleink túlnyomó többsége alkalmaz erre SIEM rendszereket, ezek közül a legnagyobbakkal, az Arcsite-tal, Qradarral és a Splunkkal társultunk.

A mesterséges intelligencia fogalma, az előrejelzés egy kicsit sci-fi szerű számomra. Hogy magyaráznád el a használatát a valóságban, egy hozzám hasonló átlagos embernek?

Tudod, mikor a mesterséges intelligenciáról beszélünk valakinek, egyből a Terminátor szerű, önállóan gondolkodó mesterséges intelligenciára gondolnak. Amit mi csinálunk az fókuszált mesterséges intelligencia, amely arra lett képezve, hogy megértse a támadások sajátosságait és viselkedését. Szóval amit észrevettünk, hogy amikor támadási viselkedések után kutatunk, olyan kockázati tényezőkre bukkanunk, mint alkalmazások, amikbe SQL injection van építve, és ez az alkalmazás viselkedik kártékonyan; vagy adminok csinálnak olyanokat, amiket nem lenne szabad csinálniuk.

A hálózat kitettsége kezd átlátható lenni, és olyan rejtett fenyegetettségek kerülnek felfedezésre, amiket mások elől ténylegesen rejtve maradtak, például „ OK, ez a srác Solarwindset használ a WiFi hálozaton kívülről, vagy RDP-t otthonról, mert onnan akar dolgozni, és ezzel backdoort létesített a VPN-edre. Felfedezel olyan dolgokat, amik konkrét, valós idejű fenyegetettségnek, sérülékenységeknek teszik ki a hálózatodat. Amint elkezdjük használni a prediktív elemzéseket, elkezdjük megtanulni ezeket a hálózati viselkedéseket, amiknek nem szabadna megtörténniük, és jelentenünk kell ezeket. Ez nem egy támadás, de nem szabadna megtörténnie, mert nyitva hagyja az ajtót a lehetséges támadók, támadások előtt.

September 12th, 2017

Top