Immagina di avere uno strumento di sicurezza che pensa nel modo in cui gli hai insegnato a pensare, che agisce quando e come gli hai insegnato ad agire. Non dovrai più adattare le tue abitudini di lavoro a regole generiche scritte da terzi e chiederti come colmare le lacune di sicurezza che le regole non ti hanno segnalato.
Il machine learning, pietra miliare della Network Traffic Analytics (NTA), è la tecnologia che agisce per conto dell'utente per aumentare la visibilità dell'infrastruttura, migliorare il rilevamento delle minacce attive e semplificare il ripristino dalle minacce realmente rilevanti.
Siamo stati talmente indottrinati dall'orientamento deterministico delle regole che spesso ne trascuriamo i limiti. Pensate alle regole come a una cascata di istruzioni IF...THEN...ELSE create da un analista per seguire un percorso noto. Qualsiasi modifica alle regole, ad esempio l'inclusione di nuovi dati operativi o la codifica di una nuova logica di rilevamento delle minacce, comporta oneri amministrativi indesiderati.
Ancora peggio, la discrepanza tra regole rigidamente codificate, processi IT in continua evoluzione e minacce sempre più creative costringe le operazioni di sicurezza a gestire livelli elevati di falsi positivi e profili di sicurezza imprecisi. Con le regole che generano allarmi a destra e a manca, è assurdo pensare che le operazioni di sicurezza possano individuare e risolvere i problemi più critici.
L'apprendimento automatico, sia supervisionato che non supervisionato, potenzia il lavoro degli analisti umani automatizzando le parti manuali e ripetitive del loro lavoro, come il rilevamento delle minacce, la selezione, la correlazione e la valutazione. Tuttavia, non può essere efficace senza l'intervento umano. Gli analisti umani applicano le loro conoscenze contestuali e il loro pensiero critico per capire se un rilevamento è un problema reale grazie alle loro intuizioni. Il tuo lavoro sarebbe molto più facile se solo gli strumenti di sicurezza ti ascoltassero!
I data scientist che sviluppano algoritmi di machine learning partono dai risultati ottenuti dagli analisti umani che determinano "questa è una minaccia, questa va bene, questa richiede ulteriori studi". Il data scientist lavora quindi a ritroso dai risultati forniti per scoprire le relazioni nei dati, in modo che un algoritmo possa automatizzare il vostro approccio di ricerca delle minacce per raccogliere dati, rilevare minacce e risolvere il problema.
L'apprendimento automatico automatizza ciò che tu, analista della sicurezza, gli hai insegnato, consentendoti di passare alla risoluzione di altri problemi. Hai sempre il controllo, correggendo e guidando lo strumento di apprendimento automatico per renderti più efficace nel tuo lavoro.
NTA applica l'apprendimento automatico ai dati di rete per offrirti funzionalità avanzate di visibilità, rilevamento e correzione. Ti aiuta a vedere esattamente cosa sta succedendo nel tuo ambiente, quali rilevamenti richiedono attenzione immediata e quali misure correttive sono più accettabili per gli utenti. Non è magia: sei tu a insegnare allo strumento come valutare la sicurezza in ogni fase del processo. Ad esempio, le regole statiche potrebbero attivare avvisi quando rilevano un aumento dell'attività di beaconing e DNS seguito da grandi scambi di dati verso nuovi server in un nuovo cloud . Sai che questi avvisi sono falsi positivi perché la tua azienda sta distribuendo nuovi carichi di lavoro applicativi a un cloud secondario.
Oppure forse sai che si tratta di un attacco, ma questo è qualcosa che solo tu puoi sapere. Vuoi dedicare tempo alla riscrittura e al debug delle regole o preferisci semplicemente dire al tuo strumento NTA di "imparare subito"? Il machine learning ti offre l'opportunità di monitorare continuamente il tuo ambiente operativo. Mette la tecnologia al lavoro per segnalarti azioni sospette senza il sovraccarico di lavoro derivante dall'amministrazione delle regole.
Ad esempio, non è opportuno imporre agli utenti privilegiati regole rigide che ostacolano la loro capacità di svolgere il proprio lavoro. Tuttavia, è possibile chiedere a NTA di individuare quali utenti privilegiati accedono a quali server, quando, da dove e quali protocolli vengono utilizzati. Inoltre, è possibile guidare il proprio strumento di sicurezza su come agire quando vengono rilevate delle deviazioni. Forse si desidera che l'utente confermi di voler procedere, forse si desidera abilitare la registrazione granulare delle attività, forse il nuovo protocollo non è sicuro e dovrebbe essere bloccato per le azioni amministrative.
Il machine learning raccoglie dati operativi nel vostro ambiente per aiutarvi a capire quando sorgono dei problemi e vi aiuta a prendere decisioni rapide su cosa fare al riguardo. E lo fa senza richiedervi di correggere continuamente le regole o di definirle in modo così generico da fornire solo una falsa sicurezza. Alcuni temono che il machine learning, l'intelligenza artificiale e il deep learning siano destinati a sostituire gli analisti di sicurezza umani. La nostra esperienza dimostra che il machine learning ha solo potenziato il lavoro degli analisti di sicurezza.
Hanno aumentato la produttività e la soddisfazione professionale degli analisti della sicurezza umana, proprio come le nostre vite sono migliorate grazie alle app che imparano cosa ci piace cercare, a chi inviare messaggi e come ci piace viaggiare. Osserviamo tendenze simili anche nella nostra vita professionale. In qualità di analista della sicurezza, scoprirai un mondo di nuove possibilità, poiché l'apprendimento automatico ti offre un'opportunità unica per mettere in mostra la tua creatività, la tua capacità decisionale e la tua abilità di sfruttare al massimo la tecnologia.