Immaginate di avere uno strumento di sicurezza che pensa nel modo in cui gli insegnate a pensare, che agisce quando e come lo avete addestrato ad agire. Non dovrete più adattare le vostre abitudini di lavoro a regole generiche scritte da terzi e chiedervi come colmare le lacune di sicurezza che le regole non vi hanno indicato.
L'apprendimento automatico, la pietra angolare della Network Traffic Analytics (NTA), è la tecnologia che agisce per conto del cliente per aumentare la visibilità sull'infrastruttura, migliorare il rilevamento delle minacce attive e semplificare il recupero dalle minacce che contano davvero.
Siamo talmente indottrinati dall'orientamento deterministico delle regole che spesso ne trascuriamo i limiti. Pensate alle regole come a una cascata di istruzioni IF... THEN... ELSE che un analista crea per seguire un percorso noto. Qualsiasi modifica alle regole, ad esempio per l'inserimento di nuovi dati operativi o per la codifica di una nuova logica di rilevamento delle minacce, comporta oneri amministrativi indesiderati.
Ancora peggio, le disconnessioni tra le regole codificate, i processi IT in evoluzione e le nuove minacce sempre più creative costringono le operazioni di sicurezza ad affrontare livelli elevati di falsi positivi e profili di sicurezza imprecisi. Con regole che lanciano avvisi a destra e a manca, è assurdo pensare che le operazioni di sicurezza possano trovare e risolvere i problemi più critici.
L'apprendimento automatico, sia supervisionato che non supervisionato, consente agli analisti umani di automatizzare le parti manuali e banali del loro lavoro, come il rilevamento delle minacce, il triage, la correlazione e il punteggio. Tuttavia, non può essere efficace senza la collaborazione di un essere umano. Gli analisti umani applicano le conoscenze contestuali e il pensiero critico per capire se un rilevamento è un vero problema grazie alle loro intuizioni. Il vostro lavoro sarebbe molto più semplice se solo gli strumenti di sicurezza vi ascoltassero!
I data scientist che costruiscono algoritmi di apprendimento automatico partono dai risultati degli analisti umani che stabiliscono "questa è una minaccia, questa è ok, questa merita un ulteriore studio". Lo scienziato dei dati lavora quindi a ritroso dai risultati ottenuti per scoprire le relazioni nei dati, in modo che un algoritmo possa automatizzare l'approccio alla caccia alle minacce per raccogliere i dati, rilevare le minacce e risolvere il problema.
L'apprendimento automatico automatizza ciò che voi, analisti della sicurezza, gli avete insegnato, consentendovi di passare alla risoluzione di altri problemi. L'utente ha sempre il controllo, correggendo e guidando lo strumento di apprendimento automatico per rendere più efficace il suo lavoro.
NTA applica l'apprendimento automatico ai dati di rete per offrire una visibilità, un rilevamento e un rimedio avanzati. Vi aiuta a vedere esattamente cosa sta accadendo nel vostro ambiente, quali rilevamenti richiedono un'attenzione immediata e quali sono i passaggi di rimedio più accettabili per gli utenti. Non si tratta di magia, ma di insegnare allo strumento come considerare la sicurezza in ogni fase del processo. Ad esempio, le regole statiche potrebbero attivare avvisi quando vedono un aumento dell'attività di beaconing e DNS seguito da grandi scambi di dati verso nuovi server in un nuovo dominio cloud . Sapete che questi avvisi sono falsi positivi perché la vostra azienda sta distribuendo nuovi carichi di lavoro applicativi su un provider cloud secondario.
O forse sapete che si tratta di un attacco, ma questo lo potete sapere solo voi. Volete passare il tempo a riscrivere e debuggare le regole o preferite semplicemente dire al vostro strumento NTA di "imparare questo adesso"? L'apprendimento automatico vi offre l'opportunità di monitorare continuamente il vostro ambiente operativo. La tecnologia è in grado di portare all'attenzione le azioni sospette senza dover gestire le regole.
Ad esempio, non si vuole gravare gli utenti privilegiati con regole rigide che impediscono loro di svolgere il proprio lavoro. Tuttavia, si può chiedere all'NTA di sapere quali utenti privilegiati accedono a quali server, quando, da dove e quali protocolli vengono utilizzati. Inoltre, potete guidare il vostro strumento di sicurezza su come agire quando vengono rilevate delle deviazioni. Forse volete che l'utente confermi di voler procedere, forse volete che venga attivato un registro granulare delle attività, forse il nuovo protocollo non è sicuro e deve essere bloccato per le azioni amministrative.
L'apprendimento automatico raccoglie dati operativi nel vostro ambiente per aiutarvi a capire quando sorgono i problemi e a prendere decisioni rapide su cosa fare. E questo senza richiedere di correggere continuamente le regole o di definirle in modo così ampio da fornire solo una falsa sicurezza. Alcuni temono che l'apprendimento automatico, l'intelligenza artificiale e l'apprendimento profondo siano destinati a sostituire gli analisti di sicurezza umani. La nostra esperienza dimostra che l'apprendimento automatico ha solo potenziato gli analisti della sicurezza.
Hanno aumentato la produttività degli analisti della sicurezza umana e la soddisfazione sul lavoro, proprio come le nostre vite sono migliorate grazie alle app che imparano a conoscere le nostre preferenze di ricerca, di invio di messaggi e di viaggio. Osserviamo tendenze simili anche nella nostra vita professionale. In qualità di analista della sicurezza, scoprirete un mondo di nuove possibilità, poiché l'apprendimento automatico vi offre un'opportunità unica di mettere in mostra la vostra creatività, il vostro processo decisionale e la vostra capacità di ottenere il massimo dalla tecnologia.