Как пересекаются искусственный интеллект, машинное обучение и безопасность конечных точек

Ежедневно появляются новые киберугрозы, и системы безопасности, особенно те, которые используются корпорациями, нуждаются в адаптации. Но вместо того, чтобы постоянно нуждаться в обновлениях от своих производителей, что, если программное обеспечение безопасности конечных точек может сыграть непосредственную роль в самосовершенствовании?

Что такое Endpoint Security и как это работает?

Безопасность конечных точек — это процесс защиты конечных точек сети, таких как пользовательские устройства и онлайн-учетные записи. Конечные точки — это входы в сеть, соединяющие её с открытым Интернетом и другими устройствами. Теоретически, адекватно защищая физические и цифровые конечные точки, вся ваша сеть должна быть защищена от внешних угроз.

Контролируя входящие и исходящие данные из сети через конечные точки в поисках угроз, программное обеспечение безопасности конечных точек может одновременно защищать множество точек доступа, перехватывая угрозы в режиме реального времени. Сам по себе это работает аналогично тому, как работает продвинутое антивирусное программное обеспечение. Но киберпреступники постоянно придумывают новые планы атак, как напрямую, так и с помощью вредоносного ПО. И хотя традиционное антивирусное программное обеспечение полагается на распознавание ранее идентифицированных вирусов, оно не может перехватывать кибератаки нулевого дня и предстоящие кибератаки.

Переход от предотвращения угроз к обнаружению и реагированию

По оценкам исследования Ponemon Institute, опубликованного в начале 2020 года, около 42% всех кибератак в следующем году будут атаками нулевого дня. Отсутствие идентифицируемых методологий, стоящих за атаками, затрудняет их обнаружение и перехват на раннем этапе традиционным программным обеспечением безопасности конечных точек. Компании не только ищут способ справиться почти с половиной будущих атак, но и начинают понимать, что кибератаки неизбежны. Осознание этого создало коллективную потребность в переходе типичной модели кибербезопасности от предотвращения угроз к обнаружению угроз и реагированию на них, что позволило им уменьшить ущерб от кибератак, но не полностью их остановить.

Вместо программного обеспечения безопасности, которое сканирует входящие данные на предмет известных вредоносных программ, цель состоит в том, чтобы обнаружить признаки, которые часто соответствуют предстоящей атаке, будь то инсайдерская или нет. Вот где традиционные антивирусные программы терпят неудачу, но на помощь приходят искусственный интеллект и машинное обучение.

Данные, машинное обучение и искусственный интеллект

При использовании сетевого мониторинга каждый инцидент безопасности или уязвимость, вызванная ошибкой в системе или неправомерным поведением пользователя, записывается в файлы журнала. Со временем определённые точки данных в файлах журналов могут выявить явные красные флажки и тенденции в вашей безопасности, такие как необычное поведение, предшествующее атаке, например чрезмерный трафик и необоснованные изменения разрешений и настроек доступа. Однако такие обширные и сложные данные будут полезны только после того, как они будут полностью классифицированы и проанализированы, а также отфильтрованы фоновый шум и обычные записи журнала, практически не имеющие отношения к кибербезопасности.

Искусственный интеллект и машинное обучение не являются необходимыми элементами в функциональности программного обеспечения для обеспечения безопасности конечных точек, но они позволяют ему развиваться и адаптироваться к новым угрозам безопасности без прямого вмешательства человека. Поскольку человеческий фактор играет важную роль в недостатках кибербезопасности, автоматизация тактики обучения и роста делает продукт более точным и надёжным. В кибербезопасности данные, искусственный интеллект и машинное обучение дополняют друг друга.

Подавая алгоритм машинного обучения помеченным объектам, система постепенно начинает распознавать различия между безопасной сетевой активностью и подозрительной сетевой активностью, а также признаки и поведение пользователя, ведущие к каждому из них. Кроме того, путём включения достаточного количества данных о прошлых ответных мерах безопасности системы машинного обучения и искусственного интеллекта могут начать выявлять вероятные решения для угроз и выполнять наиболее подходящее действие для защиты в рекордно короткие сроки.

Эта тщательная интеграция данных, искусственного интеллекта и машинного обучения с безопасностью конечных точек приводит к созданию системы обнаружения и реагирования конечных точек (EDR). Вместо того, чтобы несколько частей работали независимо, EDR сочетает в себе различные типы технологий для создания комплексного подхода к обеспечению безопасности, заключающегося в обнаружении угроз и автоматическом реагировании на них.

EDR в действии

Использование EDR не ограничивается мониторингом точек доступа вашей сети на предмет входящих вирусов или утечек данных. Его возможности мониторинга и обнаружения могут проникать вглубь сети для поиска основных угроз и уязвимостей безопасности.

Внутренние угрозы

Внутренние угрозы — это злонамеренные угрозы безопасности организации, исходящие изнутри. Преступником может быть кто угодно, от нынешних и бывших сотрудников до деловых партнёров и независимых подрядчиков. Поскольку эти люди часто имеют доступ к инсайдерам и информацию об организации, программное обеспечение безопасности, которое защищает только точки доступа, не имеет особого смысла. Но с помощью поведенческого анализа и данных журнала EDR может обнаруживать вредоносное поведение изнутри сети. Он может реагировать соответствующим образом и рассылать предупреждения в отделы ИТ и безопасности.

Бесфайловое вредоносное ПО

Хотя традиционные антивирусные программы и ПО для обеспечения безопасности конечных точек могут перехватывать известные вирусы, они не справляются, когда угроза — это не файл, который нужно сканировать на наличие вредоносных программ. Бесфайловое вредоносное ПО — это вредоносное ПО, которое не использует исполняемые файлы и не содержит их, а представляет собой фрагмент кода, который скрывается непосредственно в памяти устройства. И вместо того, чтобы иметь все необходимое для запуска атаки, как и большинство вирусов, бесфайловое вредоносное ПО использует против него системные ресурсы и компоненты, работая с легитимными сценариями вместе с безопасными программами, чтобы скрыть своё существование.

EDR может остановить атаки бесфайловых вредоносных программ, обнаруживая мельчайшие изменения в журналах данных и поведении конечных точек или устройств, полагаясь на постоянный мониторинг и способность распознавать такие закономерности.

Человеческая ошибка

Подавляющее большинство утечек данных и успешных кибератак происходит из-за человеческой ошибки, когда сотрудники или подрядчики не практикуют надёжную кибербезопасность при использовании своих рабочих устройств, что приводит к появлению бреши в безопасности, которой хакеры легко могут воспользоваться. Но благодаря возможностям сетевого мониторинга, распознавания образов и поведенческого анализа EDR на основе искусственного интеллекта он может помочь обнаружить уязвимости в системе безопасности, неосознанно вызванные сотрудниками, почти сразу, а не за недели. Не говоря уже о том, что EDR сокращает время для обнаружения расширенных постоянных угроз (ADT), которые нацелены на ничего не подозревающих сотрудников в течение длительного периода времени.

Незащищённые конечные точки

Устройства Интернета вещей (IoT) как никогда важны для большинства организаций и офисов, но зачастую они являются самым слабым звеном в их безопасности. Хотя отключать устройства Интернета вещей в напряжённой и быстро меняющейся рабочей среде неудобно, подключение их к Интернету создаёт угрозу безопасности. В конце концов, отчёт NETSCOUT Threat Intelligence за 2018 год показал, что устройства Интернета вещей подвергаются атаке всего через пять минут после подключения к Интернету.

С изначально незащищёнными конечными точками важно полагаться на обнаружение угроз и мониторинг в реальном времени, которые предлагает EDR. Это особенно актуально для большинства устройств Интернета вещей, созданных не для обеспечения безопасности, а для удобства и простоты использования.

Рекомендуется Вам:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

wp-puzzle.com logo