(C) 2023 Digital Future
Применение силы Deep Learning в кибербезопасности
Автор: Тони Брэдли
Кибератаки не являются новой проблемой ни на одном участке воображения, но они представляют собой быстрорастущую угрозу. По мере того, как объем и типы технологий, используемых предприятиями и потребителями, продолжает расширяться, поверхность атаки - ошибки конфигурации, уязвимости, человеческие ошибки или другие слабые стороны, которые увеличивают потенциал успешной кибератаки - экспоненциально увеличивается. Чтобы идти в ногу с ландшафтом угроз, организациям необходимо переосмыслить свой подход к безопасности.
Растущая проблема кибербезопасности
По данным AVTest, каждый час выявляется более 18 000 новых вредоносных программ и/или потенциально нежелательных приложений. Это работает с более чем 400 000 новых угроз в день. Мне все равно, насколько велика организация или сколько людей входит в команду ИТ-безопасности, этот объем угроз просто слишком велик для любых ручных процессов или вмешательства человека. Компании должны иметь возможность автоматизировать как можно больше, чтобы идти в ногу со временем.
Однако проблема больше, чем просто масштабируемость. Что еще более важно, так это способность активно выявлять и останавливать атаки до их возникновения. Существует множество инструментов кибербезопасности, которые обещают помочь организациям масштабироваться для управления объемом угроз и помочь отделить сигнал от шума для выявления событий безопасности, которые должны быть эскалированы в команду ИТ-безопасности для реагирования. Тем не менее, эти инструменты часто генерируют подавляющий объем оповещений и ложных срабатываний, создавая больше работы для команды ИТ-безопасности, а не останавливая атаки.
Проблема, с которой сталкиваются организации, заключается в том, что большая часть кибербезопасности является реакционной. Инструменты, от которых они зависят для защиты своей среды, полагаются на подписи или показатели компромисса для обнаружения угроз. Это означает, что эти инструменты неэффективны против нулевого дня или других неизвестных угроз, потому что они хороши только в распознавании угроз, о которых они уже знают.
Однако проблема больше, чем просто масштабируемость. Что еще более важно, так это способность активно выявлять и останавливать атаки до их возникновения. Существует множество инструментов кибербезопасности, которые обещают помочь организациям масштабироваться для управления объемом угроз и помочь отделить сигнал от шума для выявления событий безопасности, которые должны быть эскалированы в команду ИТ-безопасности для реагирования. Тем не менее, эти инструменты часто генерируют подавляющий объем оповещений и ложных срабатываний, создавая больше работы для команды ИТ-безопасности, а не останавливая атаки.
Проблема, с которой сталкиваются организации, заключается в том, что большая часть кибербезопасности является реакционной. Инструменты, от которых они зависят для защиты своей среды, полагаются на подписи или показатели компромисса для обнаружения угроз. Это означает, что эти инструменты неэффективны против нулевого дня или других неизвестных угроз, потому что они хороши только в распознавании угроз, о которых они уже знают.
Масштабирование кибербезопасности с помощью глубокого обучения (Deep Learning)
Именно здесь глубокое обучение может изменить игру. Глубинное обучение является подобластью машинного обучения. Алгоритмы машинного обучения отлично подходят для анализа данных для решения проблем, но у них есть ограничения. В статье PC Magazine объясняется: «Алгоритмы глубокого обучения решают ту же проблему с помощью глубоких нейронных сетей, типа архитектуры программного обеспечения, вдохновленной человеческим мозгом (хотя нейронные сети отличаются от биологических нейронов). Нейронные сети - это слои за слоями переменных, которые приспосабливаются к свойствам данных, на которых они обучены, и становятся способными выполнять такие задачи, как классификация изображений и преобразование речи в текст».
Глубинное обучение - это более молодая область, и в этой области сосредоточено относительно мало игроков. Существует только несколько нейронных сетей глубокого обучения, и только одна используется для решения текущих проблем кибербезопасности. Эта основа глубокого обучения принадлежит Deep Instinct.
Я поговорил с Гаем Каспи, соучредителем и генеральным директором Deep Instinct, о текущем состоянии кибербезопасности и о том, как глубокое обучение может изменить игру. Caspi сочетает в себе опыт в области кибербезопасности национального государства со степенями в области математики и машинного обучения, чтобы привнести уникальную перспективу в задачи защиты от кибератак.
Каспи сказал мне: «То, что я видел за последние три года - изысканность, сложность, методы кибератак - это совершенно другая лига».
Он объяснил, что APT и сложные угрозы могут легко избежать большинства решений по безопасности на рынке. Он также подчеркнул, что большинство существующих инструментов кибербезопасности ждут атаки, прежде чем реагировать, заставляя организацию срочно реагировать на продолжающееся событие в области безопасности. Очевидно, что это проблема.
Deep Instinct недавно опубликовала двухгодичный отчет Voice of SecOps, в котором было обнаружено, что командам ИТ-безопасности обычно требуется около 24 часов, чтобы ответить на киберсобытие после его обнаружения. Это целый день вредоносной деятельности, продолжающейся после того, как она уже была идентифицирована как вредоносная.
«Вся идея Deep Instinct, — сказал Каспи, — заключается в том, чтобы предсказать и предотвратить, прежде чем что-то заразит вас, прежде чем что-то произойдет на вашем ПК, мобильном устройстве, планшете, сервере или чем-то в этом роде».
Глубокий инстинкт применяет глубокое обучение для упреждающей работы. Caspi описал, как их решение анализирует файлы и векторы перед выполнением, обеспечивая защиту клиентов в «нулевое время». Он объяснил, что скорость имеет решающее значение в нынешнем ландшафте угроз и что многие решения обещают в режиме реального времени, но в режиме реального времени слишком поздно.
Глубинное обучение - это более молодая область, и в этой области сосредоточено относительно мало игроков. Существует только несколько нейронных сетей глубокого обучения, и только одна используется для решения текущих проблем кибербезопасности. Эта основа глубокого обучения принадлежит Deep Instinct.
Я поговорил с Гаем Каспи, соучредителем и генеральным директором Deep Instinct, о текущем состоянии кибербезопасности и о том, как глубокое обучение может изменить игру. Caspi сочетает в себе опыт в области кибербезопасности национального государства со степенями в области математики и машинного обучения, чтобы привнести уникальную перспективу в задачи защиты от кибератак.
Каспи сказал мне: «То, что я видел за последние три года - изысканность, сложность, методы кибератак - это совершенно другая лига».
Он объяснил, что APT и сложные угрозы могут легко избежать большинства решений по безопасности на рынке. Он также подчеркнул, что большинство существующих инструментов кибербезопасности ждут атаки, прежде чем реагировать, заставляя организацию срочно реагировать на продолжающееся событие в области безопасности. Очевидно, что это проблема.
Deep Instinct недавно опубликовала двухгодичный отчет Voice of SecOps, в котором было обнаружено, что командам ИТ-безопасности обычно требуется около 24 часов, чтобы ответить на киберсобытие после его обнаружения. Это целый день вредоносной деятельности, продолжающейся после того, как она уже была идентифицирована как вредоносная.
«Вся идея Deep Instinct, — сказал Каспи, — заключается в том, чтобы предсказать и предотвратить, прежде чем что-то заразит вас, прежде чем что-то произойдет на вашем ПК, мобильном устройстве, планшете, сервере или чем-то в этом роде».
Глубокий инстинкт применяет глубокое обучение для упреждающей работы. Caspi описал, как их решение анализирует файлы и векторы перед выполнением, обеспечивая защиту клиентов в «нулевое время». Он объяснил, что скорость имеет решающее значение в нынешнем ландшафте угроз и что многие решения обещают в режиме реального времени, но в режиме реального времени слишком поздно.
Сила Deep Learning
Хорошо, но что такое глубокое обучение на самом деле? Как это лучше, чем стандартное машинное обучение, и как оно улучшает кибербезопасность?
Каспи поделился примером, чтобы пролить на это свет. «Если я дам вам 100 фотографий кошки и собаки, вы, вероятно, узнаете, что такое кошка, а что собака со 100% точностью. Причина этого в том, что вы учитесь и перевариваете такое огромное количество данных в своей жизни, что знаете и понимаете, что такое кошка, а что такое собака».
Но как? Он отметил, что, хотя люди очень хорошо идентифицируют, какая кошка, а какая собака, если вы попросите их описать три особенности, определяющие различие между кошкой и собакой, мало кто может придумать хотя бы тот, который понятен и будет работать каждый раз.
Все сводится к способности распознавать тонкие различия и выносить суждение, чтобы точно определить возраст на основе того, что вы узнали из прошлой информации на протяжении всей жизни.
«Это именно то, что мы делаем. Мы имитируем мозг и то, как мы думаем, подвергая глубокую нейронную сеть огромному объему данных - объему данных, которые никакое другое машинное обучение в мире не может обрабатывать, переваривать и хрустеть эти данные, чтобы учиться и быть лучше каждый день".
Продолжая аналогию, представьте, что идентификация кошки или собаки была реакционной, как кибербезопасность. Что, если бы вы могли распознать серых кошек, но потом появилась коричневая кошка, и у вас просто не было системы отсчета для понимания того, что это кошка, пока кто-то сначала не проанализировал ее и не предоставит подпись или индикатор, который позволяет распознать ее как кошку? Это кажется крайне неэффективным и неэффективным.
Каспи поделился примером, чтобы пролить на это свет. «Если я дам вам 100 фотографий кошки и собаки, вы, вероятно, узнаете, что такое кошка, а что собака со 100% точностью. Причина этого в том, что вы учитесь и перевариваете такое огромное количество данных в своей жизни, что знаете и понимаете, что такое кошка, а что такое собака».
Но как? Он отметил, что, хотя люди очень хорошо идентифицируют, какая кошка, а какая собака, если вы попросите их описать три особенности, определяющие различие между кошкой и собакой, мало кто может придумать хотя бы тот, который понятен и будет работать каждый раз.
Все сводится к способности распознавать тонкие различия и выносить суждение, чтобы точно определить возраст на основе того, что вы узнали из прошлой информации на протяжении всей жизни.
«Это именно то, что мы делаем. Мы имитируем мозг и то, как мы думаем, подвергая глубокую нейронную сеть огромному объему данных - объему данных, которые никакое другое машинное обучение в мире не может обрабатывать, переваривать и хрустеть эти данные, чтобы учиться и быть лучше каждый день".
Продолжая аналогию, представьте, что идентификация кошки или собаки была реакционной, как кибербезопасность. Что, если бы вы могли распознать серых кошек, но потом появилась коричневая кошка, и у вас просто не было системы отсчета для понимания того, что это кошка, пока кто-то сначала не проанализировал ее и не предоставит подпись или индикатор, который позволяет распознать ее как кошку? Это кажется крайне неэффективным и неэффективным.
Упреждающая кибербезопасность с Deep Learning
Автоматизация имеет решающее значение для защиты от огромного количества угроз, с которыми сталкиваются организации, но стандартное машинное обучение слишком ограничено и все еще требует слишком большой настройки и вмешательства человека, чтобы дать желаемые результаты. Глубинное обучение делает дополнительный шаг, чтобы продолжать развиваться и учиться с течением времени, чтобы оно могло упреждающе распознавать и блокировать угрозы, которых оно раньше не видело.
DIGITAL FUTURE
2021 (C)