Stávají se pokročilé útoky skutečně novou „normou“, jak se nás snaží přesvědčit někteří výrobci bezpečnostního softwaru či hardwaru? „Je to nesmysl, kdyby byly normou, říkali bychom jim normální, a nikoliv pokročilé,“ poznamenal jízlivě v úvodu své první přednášky na State of the art security analytics brífinku v Praze analytik Gartneru Anton Chuvakin.
To však neznamená, že se svět bezpečnostních řešení nemění. Jedním z významných trendů je podle Chuvakina využívání analytických funkcí při ochraně před kybernetickými hrozbami. „Řada řešení je stále ve velké míře závislá na detekci hrozeb založené na pravidlech a signaturách – dokonce i těch, o nichž jejich výrobci tvrdí, že stavějí na strojovém učení,“ konstatoval Chuvakin a pokračoval: „většina z přibližně tisícovky dodavatelů v oblasti bezpečnosti nicméně s pokročilou analytikou experimentuje a je tu také velmi dynamický trh UEBA řešení.“
Důvod, proč se o strojovém učení a dalších „inteligentních“ či „chytrých“ metodách v oblasti kybernetické bezpečnosti začíná v poslední době hodně mluvit, je v podstatě týž jako příčiny sílícího hype kolem umělé inteligence, strojového učení a řady souvisejících technik (rozpoznávání řeči, obrazu apod.) – je to důsledek značného pokroku, který posledních v pěti letech učinily technologie a postupy v oblasti hlubokého učení (a jenž je z nemalé části poháněn extrémním výkonem GPU). Pojem „hype“ je ale namístě i v případě analytických, chytrých či inteligentních postupů v oblasti kybernetické či informační bezpečnosti. Chuvakin upozorňuje na řadu potíží, problémů a překážek, kterým budou organizace toužící po špičkovém „analytickém“ bezpečnostním řešení čelit.
První je nedostatek vhodných specialistů. Většina organizací má velké potíže sehnat odborníky na oblast pokročilé analytiky či datové vědy, v oblasti bezpečnostní analytiky je situace ještě horší. „Špičkoví datoví vědci se specializací na oblast informační bezpečnosti jsou jako jednorožci. Před pěti lety jich na světě bylo asi pět a všechny jsem znal osobně,“ zavtipkoval Anton Chuvakin, „dnes jich je určitě víc, najít a najmout byť jen jediného je ale stále prakticky nemožné. A pokud firma či organizace vhodné datové vědce či specialisty na pokročilou analytiku má, nejspíš je raději uplatní někde, kde jí pomohou vydělat spoustu peněz,“ dodal Chuvakin.
Pokračování z INSIDE Observer:
Problémem jsou podle Chuvakina i bezpečnostní datová jezera. „Viděli jsme v téhle oblasti už spoustu neúspěšných implementací. Postavit datové jezero není obtížné, ale dostat z něj nějaké pro bezpečnost relevantní informace je velmi těžké,“ poznamenal Chuvakin. Problémem podle něj je i prostý fakt, že prosadit jakékoliv řešení, jež má v názvu slova jako „monitorování“, nebo dokonce „sledování“, ve vztahu k uživatelům je velmi problematické.
V případě bezpečnostní analytiky tak není nutné za každou cenu spěchat – pokud má podnik nakoupené například řešení typu SIEM (správa bezpečnostních informací a událostí), nemusí ihned nutně investovat do UEBA (analýza chování uživatelů a entit) – většina dodavatelů totiž svá řešení o funkce postavené na analytice během roku až dvou doplní. Pokud ale podnik plánuje vytvoření tzv. SOC (Security Operations Center), bude podle Chuvakina UEBA nebo jiné vhodné řešení založené na analytice potřebovat. Základní filozofií, která by přitom podniky k vytvoření SOC měla vést, je, že chtějí-li odolat současným útokům, musejí mít na paměti tři důležité pravdy:
- Před 10–15 lety byly incidenty a útoky spíše vzácné a měly jasné ohraničení (konec)
- Pokud je na vás veden cílený útok, musíte být přinejmenším stejně dobří jako útočník, nestačí mít stejně „dobrou“ ochranu jako ostatní potenciální cíle
- Ti „dobří“ nevyhrávají zdaleka vždy, musíte být připraveni a umět se vyrovnat s kybernetickými prohrami (a poučit se z nich).
Tématu SoC se budeme podrobněji věnovat v Reportu č. 3.