Поиск по сайту:

Как пересекаются ИИ, машинное обучение и Endpoint Security


Каждый день появляются новые киберугрозы, поэтому системы безопасности, особенно используемые корпорациями, должны адаптироваться. Но вместо того, чтобы постоянно нуждаться в обновлениях от своих производителей, что, если программное обеспечение для защиты конечных точек может играть непосредственную роль в улучшении самого себя?

Что такое Endpoint Security и как это работает?

Безопасность конечных точек — это процесс защиты конечных точек сети, таких как пользовательские устройства и онлайн-аккаунты. Конечные точки — это входы в сеть, соединяющие ее с открытым Интернетом и другими устройствами. Теоретически, при адекватной защите физических и цифровых конечных точек вся ваша сеть должна быть защищена от внешних угроз.

Отслеживая данные, входящие и исходящие из сети через конечные точки в поисках угроз, программное обеспечение для обеспечения безопасности конечных точек может одновременно защищать множество точек доступа, перехватывая угрозы в режиме реального времени. Сам по себе он работает аналогично тому, как работает передовое антивирусное программное обеспечение. Но киберпреступники постоянно разрабатывают новые планы атак, как напрямую, так и через вредоносное ПО. И хотя традиционное антивирусное программное обеспечение основано на распознавании ранее идентифицированных вирусов, оно не может перехватывать нулевой день и предстоящие кибератаки.

Переход от предотвращения угроз к обнаружению и реагированию

Исследование Института Ponemon, опубликованное в начале 2020 года, показало, что около 42% всех кибератак в следующем году будут атаками нулевого дня. Отсутствие идентифицируемых методологий, стоящих за атаками, затрудняет их обнаружение и перехват на раннем этапе с помощью традиционного программного обеспечения для защиты конечных точек. Помимо поиска способа справиться почти с половиной будущих атак, предприятия начинают понимать, что кибератаки неизбежны. Это осознание создало коллективную потребность сместить типичную модель кибербезопасности с предотвращения угроз на обнаружение угроз и реагирование на них, что позволило бы уменьшить ущерб от кибератак, а не полностью остановить их.

Вместо программного обеспечения безопасности, которое сканирует входящие данные на наличие известных вредоносных программ, цель состоит в том, чтобы обнаружить признаки, которые часто соответствуют предстоящей атаке, будь то инсайдерская или нет. Вот где традиционное антивирусное программное обеспечение терпит неудачу, но в дело вступают искусственный интеллект и машинное обучение.

Данные, машинное обучение и ИИ

Используя мониторинг сети, каждый инцидент безопасности или уязвимость, вызванные ошибкой в системе или неправомерным поведением пользователя, записываются в файлы журнала. Со временем определенные точки данных в файлах журналов могут выявить явные тревожные флажки и тенденции в вашей безопасности, такие как необычное поведение, предшествующее атаке, например чрезмерный трафик и необоснованные изменения разрешений и настроек доступа. Однако такие обширные и сложные данные полезны только после того, как они будут полностью классифицированы и проанализированы, а также отфильтрованы фоновый шум и рутинные записи журнала, которые практически не имеют значения или отношения к кибербезопасности.

ИИ и машинное обучение не являются обязательными элементами функциональности программного обеспечения для обеспечения безопасности конечных точек, но они позволяют ему развиваться и адаптироваться к новым угрозам безопасности без необходимости прямого вмешательства человека. Поскольку человеческая ошибка играет важную роль в недостатках кибербезопасности, автоматизация тактики обучения и роста делает продукт более точным и безрисковым. В кибербезопасности данные, искусственный интеллект и машинное обучение дополняют друг друга.

Скармливая алгоритму машинного обучения помеченные объекты, система постепенно начинает распознавать различия между безопасной сетевой активностью и подозрительной сетевой активностью, а также признаки и поведение пользователя, приводящие к каждой из них. Кроме того, благодаря включению достаточного количества данных о прошлых мерах безопасности системы машинного обучения и искусственного интеллекта могут начать выявлять вероятные решения угроз и выполнять наиболее подходящее в рекордно короткие сроки.

Эта тщательная интеграция данных, искусственного интеллекта и машинного обучения с безопасностью конечных точек приводит к созданию системы обнаружения и реагирования на конечных точках (EDR). Вместо того, чтобы несколько частей работали независимо друг от друга, EDR объединяет различные типы технологий для обеспечения комплексного подхода к обеспечению безопасности с автоматическим обнаружением угроз и реагированием на них.

ЭДР в действии

Использование EDR не ограничивается мониторингом точек доступа вашей сети на наличие входящих вирусов или утечек данных. Его возможности мониторинга и обнаружения могут проникать глубоко в сеть, выявляя основные угрозы и уязвимости в системе безопасности.

Внутренние угрозы

Внутренние угрозы — это вредоносные угрозы безопасности для организации, которые исходят изнутри. Преступником может быть кто угодно, от нынешних и бывших сотрудников до деловых партнеров и независимых подрядчиков. Поскольку у этих людей часто есть инсайдерский доступ и информация об организации, программное обеспечение безопасности, которое защищает только точки доступа, не очень полезно. Но, используя поведенческий анализ и данные журналов, EDR может обнаруживать злонамеренное поведение внутри сети. Он может реагировать соответствующим образом и отправлять предупреждения в отделы ИТ и безопасности.

Бесфайловое вредоносное ПО

В то время как традиционное антивирусное программное обеспечение и программное обеспечение для обеспечения безопасности конечных точек могут перехватывать известные вирусы, они терпят неудачу, когда угроза не является файлом, который нужно сканировать на наличие вредоносных программ. Бесфайловое вредоносное ПО — это вредоносное ПО, которое не использует и не содержит исполняемых файлов, а представляет собой фрагмент кода, который прячется непосредственно в памяти устройства. И вместо того, чтобы иметь все необходимое для запуска атаки, как большинство вирусов, бесфайловое вредоносное ПО использует против него ипподромы и компоненты системы, работая с законными скриптами вместе с безопасными программами, чтобы замаскировать свое существование.

EDR может останавливать бесфайловые атаки вредоносных программ, обнаруживая мельчайшие изменения в журналах данных и поведении конечных точек или устройств, полагаясь на постоянный мониторинг и способность распознавать такие шаблоны.

Человеческая ошибка

Подавляющее большинство утечек данных и успешных кибератак происходит из-за человеческой ошибки, когда сотрудники или подрядчики не соблюдают надлежащую кибербезопасность при использовании своих рабочих устройств, что приводит к пробелам в безопасности, которыми хакеры могут легко воспользоваться. Но благодаря возможностям мониторинга сети, распознавания образов и поведенческого анализа EDR на основе ИИ может помочь обнаружить уязвимости в системе безопасности, неосознанно вызванные сотрудниками, почти сразу, а не через несколько недель. Не говоря уже о том, что EDR сокращает время для обнаружения сложных постоянных угроз (ADT), нацеленных на ничего не подозревающих сотрудников в течение длительного периода времени.

Незащищенные по своей сути конечные точки

Устройства Интернета вещей (IoT) как никогда важны для большинства организаций и офисов, но зачастую они являются самым слабым звеном в их безопасности. Хотя неудобно держать устройства IoT в автономном режиме в беспокойной и быстро меняющейся рабочей среде, подключение их к Интернету представляет угрозу безопасности. В конце концов, отчет NETSCOUT Threat Intelligence за 2018 год показал, что устройства IoT подвергаются атаке всего через пять минут после подключения к Интернету.

При изначально незащищенных конечных точках важно полагаться на обнаружение угроз в реальном времени и мониторинг, которые предлагает EDR. Это особенно верно, поскольку большинство устройств IoT создаются не для обеспечения безопасности, а для удобства и простоты использования.