Ежедневно появляются новые киберугрозы, и системы безопасности, особенно те, которые используются корпорациями, нуждаются в адаптации. Но вместо того, чтобы постоянно нуждаться в обновлениях от своих производителей, что, если программное обеспечение безопасности конечных точек может сыграть непосредственную роль в самосовершенствовании?
Что такое Endpoint Security и как это работает?
Безопасность конечных точек — это процесс защиты конечных точек сети, таких как пользовательские устройства и онлайн-учетные записи. Конечные точки — это входы в сеть, соединяющие её с открытым Интернетом и другими устройствами. Теоретически, адекватно защищая физические и цифровые конечные точки, вся ваша сеть должна быть защищена от внешних угроз.
Контролируя входящие и исходящие данные из сети через конечные точки в поисках угроз, программное обеспечение безопасности конечных точек может одновременно защищать множество точек доступа, перехватывая угрозы в режиме реального времени. Сам по себе это работает аналогично тому, как работает продвинутое антивирусное программное обеспечение. Но киберпреступники постоянно придумывают новые планы атак, как напрямую, так и с помощью вредоносного ПО. И хотя традиционное антивирусное программное обеспечение полагается на распознавание ранее идентифицированных вирусов, оно не может перехватывать кибератаки нулевого дня и предстоящие кибератаки.
Переход от предотвращения угроз к обнаружению и реагированию
По оценкам исследования Ponemon Institute, опубликованного в начале 2020 года, около 42% всех кибератак в следующем году будут атаками нулевого дня. Отсутствие идентифицируемых методологий, стоящих за атаками, затрудняет их обнаружение и перехват на раннем этапе традиционным программным обеспечением безопасности конечных точек. Компании не только ищут способ справиться почти с половиной будущих атак, но и начинают понимать, что кибератаки неизбежны. Осознание этого создало коллективную потребность в переходе типичной модели кибербезопасности от предотвращения угроз к обнаружению угроз и реагированию на них, что позволило им уменьшить ущерб от кибератак, но не полностью их остановить.
Вместо программного обеспечения безопасности, которое сканирует входящие данные на предмет известных вредоносных программ, цель состоит в том, чтобы обнаружить признаки, которые часто соответствуют предстоящей атаке, будь то инсайдерская или нет. Вот где традиционные антивирусные программы терпят неудачу, но на помощь приходят искусственный интеллект и машинное обучение.
Данные, машинное обучение и искусственный интеллект
При использовании сетевого мониторинга каждый инцидент безопасности или уязвимость, вызванная ошибкой в системе или неправомерным поведением пользователя, записывается в файлы журнала. Со временем определённые точки данных в файлах журналов могут выявить явные красные флажки и тенденции в вашей безопасности, такие как необычное поведение, предшествующее атаке, например чрезмерный трафик и необоснованные изменения разрешений и настроек доступа. Однако такие обширные и сложные данные будут полезны только после того, как они будут полностью классифицированы и проанализированы, а также отфильтрованы фоновый шум и обычные записи журнала, практически не имеющие отношения к кибербезопасности.
Искусственный интеллект и машинное обучение не являются необходимыми элементами в функциональности программного обеспечения для обеспечения безопасности конечных точек, но они позволяют ему развиваться и адаптироваться к новым угрозам безопасности без прямого вмешательства человека. Поскольку человеческий фактор играет важную роль в недостатках кибербезопасности, автоматизация тактики обучения и роста делает продукт более точным и надёжным. В кибербезопасности данные, искусственный интеллект и машинное обучение дополняют друг друга.
Подавая алгоритм машинного обучения помеченным объектам, система постепенно начинает распознавать различия между безопасной сетевой активностью и подозрительной сетевой активностью, а также признаки и поведение пользователя, ведущие к каждому из них. Кроме того, путём включения достаточного количества данных о прошлых ответных мерах безопасности системы машинного обучения и искусственного интеллекта могут начать выявлять вероятные решения для угроз и выполнять наиболее подходящее действие для защиты в рекордно короткие сроки.
Эта тщательная интеграция данных, искусственного интеллекта и машинного обучения с безопасностью конечных точек приводит к созданию системы обнаружения и реагирования конечных точек (EDR). Вместо того, чтобы несколько частей работали независимо, EDR сочетает в себе различные типы технологий для создания комплексного подхода к обеспечению безопасности, заключающегося в обнаружении угроз и автоматическом реагировании на них.
EDR в действии
Использование EDR не ограничивается мониторингом точек доступа вашей сети на предмет входящих вирусов или утечек данных. Его возможности мониторинга и обнаружения могут проникать вглубь сети для поиска основных угроз и уязвимостей безопасности.
Внутренние угрозы
Внутренние угрозы — это злонамеренные угрозы безопасности организации, исходящие изнутри. Преступником может быть кто угодно, от нынешних и бывших сотрудников до деловых партнёров и независимых подрядчиков. Поскольку эти люди часто имеют доступ к инсайдерам и информацию об организации, программное обеспечение безопасности, которое защищает только точки доступа, не имеет особого смысла. Но с помощью поведенческого анализа и данных журнала EDR может обнаруживать вредоносное поведение изнутри сети. Он может реагировать соответствующим образом и рассылать предупреждения в отделы ИТ и безопасности.
Бесфайловое вредоносное ПО
Хотя традиционные антивирусные программы и ПО для обеспечения безопасности конечных точек могут перехватывать известные вирусы, они не справляются, когда угроза — это не файл, который нужно сканировать на наличие вредоносных программ. Бесфайловое вредоносное ПО — это вредоносное ПО, которое не использует исполняемые файлы и не содержит их, а представляет собой фрагмент кода, который скрывается непосредственно в памяти устройства. И вместо того, чтобы иметь все необходимое для запуска атаки, как и большинство вирусов, бесфайловое вредоносное ПО использует против него системные ресурсы и компоненты, работая с легитимными сценариями вместе с безопасными программами, чтобы скрыть своё существование.
EDR может остановить атаки бесфайловых вредоносных программ, обнаруживая мельчайшие изменения в журналах данных и поведении конечных точек или устройств, полагаясь на постоянный мониторинг и способность распознавать такие закономерности.
Человеческая ошибка
Подавляющее большинство утечек данных и успешных кибератак происходит из-за человеческой ошибки, когда сотрудники или подрядчики не практикуют надёжную кибербезопасность при использовании своих рабочих устройств, что приводит к появлению бреши в безопасности, которой хакеры легко могут воспользоваться. Но благодаря возможностям сетевого мониторинга, распознавания образов и поведенческого анализа EDR на основе искусственного интеллекта он может помочь обнаружить уязвимости в системе безопасности, неосознанно вызванные сотрудниками, почти сразу, а не за недели. Не говоря уже о том, что EDR сокращает время для обнаружения расширенных постоянных угроз (ADT), которые нацелены на ничего не подозревающих сотрудников в течение длительного периода времени.
Незащищённые конечные точки
Устройства Интернета вещей (IoT) как никогда важны для большинства организаций и офисов, но зачастую они являются самым слабым звеном в их безопасности. Хотя отключать устройства Интернета вещей в напряжённой и быстро меняющейся рабочей среде неудобно, подключение их к Интернету создаёт угрозу безопасности. В конце концов, отчёт NETSCOUT Threat Intelligence за 2018 год показал, что устройства Интернета вещей подвергаются атаке всего через пять минут после подключения к Интернету.
С изначально незащищёнными конечными точками важно полагаться на обнаружение угроз и мониторинг в реальном времени, которые предлагает EDR. Это особенно актуально для большинства устройств Интернета вещей, созданных не для обеспечения безопасности, а для удобства и простоты использования.
Связанные статьи:
- Что такое машинное обучение? (95.2%)
- Проблема искусственного интеллекта: машина может учиться, но не может понимать (95.2%)
- DALL-E 2 AI от OpenAI — плохая новость для некоторых художников (95.2%)
- Что такое LaMDA AI от Google и почему инженер Google подумал что в LaMDA AI зародился разум? (95.2%)
- Насколько мы близки к загрузке разума в компьютер? (95.2%)
- Что такое коэффициент контрастности? (RANDOM - 50%)