عملیات امنیت

Machine Learning چیست؟ - بخش دوم

Machine Learning چیست؟ - بخش دوم

به کارگیری یادگیری ماشین در یک محیط امنیتی: یک رویکرد علوم داده محور-بخش دوم

کاربرد یادگیری ماشین در تجزیه و تحلیل رفتار کاربران و موجودیت‌ها[1] (UEBA)

 

تشخیص و پیش‌بینی تهدید بخشی حیاتی از امینت است که از یادگیری ماشین سود می‌برد. چالش‌های موجود در انجام UEBA را در نظر بگیرید. Gartner تجزیه و تحلیل رفتار کاربران و موجودیت‌ها را به صورت زیر تعریف می‌کند:

تجزیه و تحلیل رفتار کاربران و موجودیت‌ها

پروفایل‌سازی و تشخیص ناهنجاری بر اساس مجموعه‌ای از رویکردهای تحلیلی. در این راستا، به طور معمول از ترکیبی از روش‌های تحلیلی پایه (مانند قواعد به کارگیرنده امضاها، تطبیق الگو و آمارهای ساده) و روش‌های تحلیلی پیشرفته (مانند یادگیری ماشین با نظارت و فاقد نظارت) استفاده می‌شود. ارائه‌دهندگان از مجموعه‌ی تحلیل‌ها برای ارزیابی فعالیت کاربران و دیگر موجودیت‌ها (مانند Hostها، Applicationها، ترافیک شبکه و مخازن داده) برای کشف رویدادهای بالقوه استفاده می‌کنند.

UEBA یک کاربرد عالی برای یادگیری ماشین است. به دلایل زیر، یادگیری ماشین قادر است به طور ویژه UEBA را موثرتر کند:

  • یادگیری ماشین قادر است به حجم زیاد داده‌هایی که باید تجزیه و تحلیل شوند، رسیدگی کند. این مهم شامل توانایی ترکیب انواع مختلفی از داده‌ها (از الگوهای ترافیک شبکه و داده‌های Application تا رکوردهای مربوط به تلاش‌های احراز هویت کاربر و دسترسی کاربر به داده‌های حساس) است.
  • UEBA مبتنی بر یادگیری ماشین برای شناسایی تهدیدهای حائز شرایط (یعنی، تهدیدهای مشروع نیازمند اقدام) بسیار مناسب است. روش‌های یادگیری ماشین می‌توانند فاکتورهای بسیار بیشتری نسبت به آنچه قابل درنظر گرفتن توسط انسان‌ها در زمان نگاه به تهدیدهای بالقوه است، را تقریبا به صورت بلادرنگ در نظر بگیرند.
  • UEBA مبتنی بر یادگیری ماشین قادر به شناسایی تهدیدهایی است که به سختی قابل یافتن هستند. از جمله این تهدیدات می‌توان به تهدیدات داخلی، تصرف حساب‌های کاربری ممتاز و تهدیدهای ناشناخته با تشخیص تغییر رفتار اشاره کرد. یک سازمان می‌تواند از یادگیری ماشین برای شناسایی پویای دارایی‌های ارزشمند استفاده کند. UEBA ارتقایافته با یادگیری ماشین قادر است اطلاعات خطر را برای شناسایی فعالیت‌های جدیدی که با الگوهای موردانتظار در تضاد هستند (مانند اتصال ناگهانی یک کاربر سطح پایین به یک سیستم سطح بالا و انتقال حجم زیادی داده از آن به یک لپ‌تاپ)، به کار گیرد.

موارد کاربری UEBA برای یادگیری ماشین

بر اساس یک گزارش اخیر[2]، در 63 درصد از Data breachهای تایید شده، حمله‌کنندگان در پوشش کاربر قانونی (با استفاده از Credentialهای به سرقت رفته یا سوءاستفاده کاربران قانونی از دسترسی خود) بوده‌اند. برای تشخیص چنین تهدیدهایی، تکنولوژی شما باید ابتدا قادر به درک و ایجاد خط مبنای رفتار کاربران باشد و باید این کار را همزمان با کاهش هشدارهای اشتباه برای شناسایی موثر تهدیدات انجام دهد. این همان جایی است که یادگیری ماشین ارزش واقعی خود را با ایجاد الگو و رفتارهای خط مبدا[3] و در ادامه تشخیص ناهنجاری‌ها با ترکیب مدل‌های آماری، الگوریتم‌های یادگیری ماشین و مجموعه‌ای از قواعد ارائه می‌کند. یک راه‌کار UEBA می‌تواند تبادلات  ورودی را با پروفایل‌های خط مبدا موجود مقایسه کند. یادگیری ماشین می‌تواند در ادامه نتایجی تحلیلی برای برجسته کردن الگوهای دسترسی و کاربران نامجاز ارائه داده و به تیم اجازه دهد تا در صورت وجود نقض از طریق تصمیم‌گیری دستی یا فعالیت‌های خودکار اقدام کند.

مهم‌ترین موارد کاربری UEBA برای یادگیری ماشین عبارتند از:

  •         Compromise شدن حساب کاربری

  •         تهدیدات داخلی

  •         سوءاستفاده از حساب‌های کاربری ممتاز

  •         انتقال غیر مجاز داده

مشکلات احتمالی یادگیری ماشین

استفاده از یادگیری ماشین برای بهبود امنیت سازمان ایده بسیار خوبی است؛ اما برخی مشکلات احتمالی در این راستا وجود دارد که باید از آن‌ها آگاه بود. نحوه استفاده محصولات مختلف از یادگیری ماشین متفاوت بوده و همه به طور مناسب از این ابزارها استفاده نمی‌کنند. یک مصرف‌کننده آینده‌نگر، باید از مشکلات احتمالی آگاه بوده تا بتواند با پرسیدن سوالات مناسب از ارائه‌دهندگان قادر به تشخیص محصولاتی که به طور موثر از یادگیری ماشین استفاده می‌کنند، باشد.

برخی از مشکلات احتمالی عبارتند از:

  • داده‌های با کیفیت پایین: روش‌های یادگیری ماشین قادر به تبدیل ورودی‌های بد به خروجی‌های خوب نیستند. در نتیجه، راهکارهای امنیتی باید قادر به تبدیل سطح گسترده‌ای از داده‌های امنیتی به یک فرمت استاندارد باشد. علاوه‌براین، حتی یک فعالیت مشخص مشاهده شده توسط چندین سیستم (در برخی موارد سیستم‌های ارائه شده توسط یک ارائه‌کننده) می‌تواند توسط هر یک از آن‌ها به روشی کاملا متفاوت ثبت و جزئیات‌نگاری شده باشد. به همین دلیل وجود داده‌هایی با جزئیات کافی و نامتناقض برای تجزیه و تحلیل بسیار مهم است. در صورت عدم دسترسی به داده‌های غنی و ساختاریافته، نتایج استفاده از روش‌های یادگیری ماشین غیرقابل پیش‌بینی بوده و دستیابی به هوش مصنوعی ناممکن خواهد بود.
  • فقدان اطلاعات مفهومی[5]: استفاده نکردن از اطلاعات مفهومی مناسب و تنها تکیه بر روش‌های یادگیری ماشین برای رصد رویدادهای امنیتی منجر به دستیابی به نتایجی ناصحیح و نامفید خواهد شد. با در نظر گرفتن اطلاعات مفهومی، درک خطر تغییر یافته و شفافیت بیشتری در ماهیت و شدت فعالیت‌ها به دست خواهد آمد. مثال‌هایی ساده از اطلاعات مفهومی مناسب عبارت است از:
    • هدف یک سرور Application مورد هدف واقع شده.
    • هویت کاربری که فعالیت مخرب انجام می‌دهد.
    • اعتبار یک آدرس IP خارجی متصل شده به یکی از لپ‌تاپ‌های سازمان.

با استفاده مناسب از یادگیری ماشین، قادر به تزریق شکل‌های زیادی از اطلاعات مفهومی و استفاده از این اطلاعات در فرایند تجزیه و تحلیل و تصمیم‌گیری خواهیم بود. بصری‌سازی نیز لایه‌ای حیاتی در یادگیری ماشین است. یک رویکرد امنیتی مبتنی بر یادگیری ماشین باید قادر به بازنمایی صحیح تهدیدها بوده تا تحلیل‌گران ابزارها و دید لازم برای بررسی و پاسخ‌گویی به وقایع را در اختیار داشته باشند.

  • داده آموزش ناکافی: الگوریتم‌های یادگیری ماشینی نیازمند مقدار مناسبی از داده آموزش با کیفیت هستند. این داده‌ها نقشی کلیدی برای تشخیص دقیق تهدیدات ایفا می‌کنند و بدون آن‌ها، الگوریتم‌ها لزوما قادر به تمایز بین موارد خوب و بد و همچنین تشخیص اهمیت ناهنجاری‌ها نیستند.
  • شکست در تولید اطلاعات مفید: کیفیت یادگیری راهکار در درازمدت فاکتور مهم دیگری است که باید در نظر گرفت. آیا قابلیت یادگیری راهکار ادامه‌دار خواهد بود؟ آیا راهکار قابلیت سازگاری با تغییرات در محیط را داشته و پس از انجام تغییرات همچنان اطلاعات مفید و با کیفیت بالا در زمینه امنیت را تولید خواهد کرد؟ تنها استفاده یک محصول از یادگیری ماشین به معنی ارزش امنیتی آن محصول نبوده و تاثیرگذاری SOC را افزایش نمی‌دهد.
  • فقدان تمرکز بر ارزش یادگیری ماشین: در مواجهه با ارائه‌دهندگان محصولات امنیتی مبتنی بر یادگیری ماشین، اغلب آن‌ها به شدت در مورد الگوریتم‌های یادگیری ماشین مورد استفاده در محصول خود صحبت می‌کنند. اما این اطلاعات، علی‌رغم شگفت‌انگیز بودن، نشانه‌ای از عملکرد مناسب تکنولوژی نیستند. در حقیقت، الگوریتم‌ها مولفه نسبتا آسانی از یادگیری ماشین هستند. یک مصرف‌کننده آینده‌نگر باید بر ارزشی که محصول ارائه می‌کند، تمرکز کند. این ارزش با توجه به میزان بهبود زمان‌های تشخیص و پاسخ‌گویی سازمان پس از استفاده از این ابزارها اندازه‌گیری شود. 

در صورت استفاده موثر، یادگیری ماشین به تیم شما در دستیابی به موارد زیر کمک می‌کند:

  • تشخیص تهدیدهای پنهان و هشدارهای اشتباه
  • سرعت‌بخشی به فرایند پاسخ‌گویی به وقایع
  • ساده کردن عملیات‌های SOC برای کاهش میانگین زمان تشخیص و پاسخ‌گویی به تهدیدات
 
quz0 

نتیجه‌گیری: یادگیری ماشین می‌تواند سرعت، هوشمندی و کیفیت بالاتری را در دستیابی به امنیت ارائه کند.

با کاهش تلاش‌های انسانی و کاستن از زمان تشخیص، پاسخ‌گویی و بازیابی از وقایع، یادگیری ماشین نوید‌دهنده بهبودی چشم‌گیر در امنیت است. مهم‌ترین چالش‌ها در استفاده موفق از یادگیری ماشین برای امنیت عبارت است از:

  • دسترسی بلادرنگ روش‌های یادگیری ماشین به مجموعه داده‌هایی ساختاریافته و با کیفیت بالا از تمام رویدادهای مرتبط با امنیت در سراسر شرکت.
  • ارائه اطلاعات مفهومی لازم به یادگیری ماشین برای درک معنا و اهمیت هر فعالیت مشاهده شده و ناهنجاری تشخیص داده شده.
  • تهیه مجموعه‌هایی گسترده از داده‌های آموزش با کیفیت بسیار بالا برای آموزش فعالیت‌های خوب و بد به ماشین.

در صورتی که سازمان شما در حال تلاش برای حل مشکلات امنیتی موجود به واسطه کمبود منابع و هزینه‌های جریان کاری دستی و ناکارا است، یادگیری ماشین می‌تواند یک تکنولوژی مفید برای شما باشد. یادگیری ماشین می‌تواند به تحلیل‌گران شما اجازه دهد تا بر روی مسائلی که نیازمند بینش و خلاقیت هستند، تمرکز کنند. علاوه‌براین، به مقیاس‌پذیری عملیات‌های امنیت همانطور که تهدیدات تکامل می‌یابند کمک می‌کند.

در صورت استفاده موثر، یادگیری ماشین به تیم شما کمک می‌کند تا:

  • تهدیدات مخفی را تشخیص داده و از هشدارهای اشتباه بکاهید.
  • به فرایند پاسخ‌گویی به وقایع سرعت بخشید.
  • در راستای کاهش میانگین زمان تشخیص و پاسخ‌گویی به تهدیدات، به ساده‌سازی عملیات‌های امنیت بپردازید.

با این همه، یادگیری ماشین یک ابزار جادویی نیست و استفاده از آن منجر به حل همه مشکلات شما نخواهد شد. محدودیت‌ها و مشکلاتی در این زمینه وجود دارند که باید در زمان تحقیق در مورد یک راهکار امنیتی مبتنی بر یادگیری ماشین، از آن‌ها آگاه باشید.

 

[1] User and Entity Behavior Analytics

[2] Verizon Data Breach Incident Report

[3] Baseline

[4] Data exfiltration

[5] Contextual information

محصولات و خدمات حوزه امنیت اطلاعات و امنیت شبکه

دارای تاییدیه از مراجع معتبر داخلی و خارجی | نصب در مراکز معتبر | با افتخار تولید ایران


مشاوره با کارشناسان امنیت اطلاعات و امنیت شبکه

شرکت APK (امن پردازان کویر) در راستای اهداف خود آماده است تا به سازمانها ، شرکتها و واحدهای صنعتی مشاوره تخصصی در حوزه امنیت اطلاعات و امنیت شبکه را بصورت رایگان ارایه نماید

نظرات (0)

هیچ نظری در اینجا وجود ندارد

نظر خود را اضافه کنید.

  1. ارسال نظر بعنوان یک مهمان ثبت نام یا ورود به حساب کاربری خود.
0 کاراکتر ها
پیوست ها (0 / 3)
مکان خود را به اشتراک بگذارید

شبکه‌های اجتماعی

عضویت در خبرنامه

مطالب شگفت انگیز ، در صندوق ورودی شما

بروزترین مقالات در زمینه های :امنیت اطلاعاتامنیت شبکهعملیات امنیت
عملیات امنیت

شرکت امن‌پردازان کویر (APK) از شرکت‌های پیشگام کشور در حوزه‌ی ارائه خدمات امنیت س

عملیات امنیت

انتخاب یکی از گزینه‌های "همکاری با یک MSSP برای مدیریت امنیت" یا "خر

عملیات امنیت

امروزه به هر قسمت از امنیت که نگاه کنیم با اصطلاحات یادگیری ماشین

عملیات امنیت

کاربرد یادگیری ماشین در تجزیه و تحلیل رفتار کاربران و موجودیت‌ه

تهران - بلوار كشاورز، خيابان شهيد نادري پائين تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵
۷۳ ۴۲۲ (۰۲۱)
۴۲۲۳۸۰۰۰ (۰۲۱)
۱۴۱۶۶۱۳۶۶۹
info{at}apk-group.net
یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان
۳۶۲۹۰۹۹۰ (۰۳۵)
۸۹۱۶۷۱۵۹۵۷

 امن پردازان کویر

Search