Cybersecurity Diagnostics Machine versus Human2
29.1.2021

V današnjem času so stroji vsakdanji del naših življenj. Izumili smo jih za lažje izvajanje vsakodnevnih nalog. Vidimo lahko stroje in robote, ki delajo skupaj z ljudmi v različnih panogah - od tovarn, kjer stroji opravljajo dolgočasne ponavljajoče se naloge, bolnišnic, kjer pomagajo zdravnikom in medicinskim sestram pri diagnostiki in natančnih operacijah, do kibernetske varnosti, kjer analizirajo bilijone podatkovnih impulzov vsako sekundo.

Če podrobneje pogledamo naloge in kako jih stroji izvajajo, lahko vidimo, da so stroji v dobro znanih scenarijih izjemno natančni in učinkoviti. Zmožni so obdelati velike količine podatkov. Stroji redko delajo napake, in tudi če se napaka zgodi, jo je mogoče popraviti tako, da se ne ponovi več, medtem ko ljudje ponavadi delamo napake. Zato se zdi najboljša rešitev uporaba kombinacije človeških in strojnih spretnosti.

Zdaj pa poglejmo, kako nam, analitikom kibernetske varnosti, stroji pomagajo pri vsakodnevnih opravilih. Analitiki kibernetske varnosti imamo ključno vlogo v Operativnih centrih za kibernetsko varnost (SOC). Smo skupina strokovnjakov, ki se lahko sooči z najzahtevnejšimi vprašanji - kar predstavljajte si ekipo dr. Housea iz znane televizijske nadaljevanke.

Vloga analitikov kibernetske varnosti je zaščititi organizacije pred kibernetskimi napadi z analiziranjem dogodkov, ki se zgodijo v njihovih omrežjih in na končnih napravah, ter po potrebi ukrepati. Orodja za spremljanje in odkrivanje groženj vsak dan pregledajo številne potencialno zlonamerne dogodke, ki zahtevajo nadaljnjo analizo. Večina teh dogodkov je neškodljivih (benignih) in jih zaznavamo vsakodnevno. Čeprav se nekateri zaznani dogodki na prvi pogled zdijo neškodljivi, lahko njihova postavitev v pravi kontekst razkrije zlonamerno dejanje, ki poteka dobro skrito v ozadju. Tu nastopijo znanje in inteligenca analitikov kibernetske varnosti. Analitiki kibernetske varnosti morajo razumeti kontekst dogodkov in jih pravilno triažirati (oceniti stopnjo njihove nevarnosti). V NIL SOC-u se zavedamo pomena pravilno izvedene triaže, zato intenzivno vlagamo v znanje in avtomatizacijo triažnih procesov. Širok spekter znanja o kibernetski varnosti in sistemih informacijske tehnologije omogoča našim analitikom kibernetske varnosti, da tako rekoč najdejo “iglo v kopici sena” in blokirajo potencialno grožnjo. S pomočjo avtomatizacije lahko podatke o dogodkih obogatimo z drugimi informacijami - kot so pretekli dogodki in incidenti, normalno vedenje, obveščanje o nevarnosti itd. Analitiki kibernetske varnosti, ki izvajajo triažo, tako lažje razumejo naravo določenega opozorila in ugotovijo, ali gre le za dejanje administratorja, ki opravlja svoje delo, ali pa je v sistemu morda vsiljivec, ki poskuša neopaženo ustvariti nekaj škode.

Kot lahko vidimo, stroji odlično analizirajo ogromne količine podatkov, saj za vsemi analizami stojijo matematični modeli, ki jih stroji zelo dobro razumejo. Toda po drugi strani stroji ne morejo tekmovati z ljudmi v inteligenci in kreativnosti ter pri opravljanju nalog, ki so za njih nove. Seveda boste zdaj rekli: "Saj imamo vendar orodja za umetno inteligenco (AI) in strojno učenje (ML)."

Z uporabo teh dveh modnih tehnoloških orodij lahko stroji razrešijo neznane težave, vendar le do neke mere. Naj vam dam primer - slavna šahovska igra med Kasparovom in Deep Blue napravo. Naprava (Deep Blue) je zmagala, a če bi se igrala drugačna igra, naprava ne bi znala igrati. To je zato, ker strojno učenje - kot že izraz pove - zahteva ponavljajoč se proces učenja različnih možnih scenarijev. Po drugi strani pa, če človeka postavite v isto situacijo, lahko improvizira in kljub temu doseže dokaj dobre rezultate, tudi ko igra neznano igro.

Gre za posledico načina delovanja strojnega učenja. Da bi stroj naučili prepoznavati vzorce, mu moramo zagotoviti podatke o tem vzorcu. Glede na vrsto podatkov poznamo tri različne vrste strojnega učenja: nadzorovano, nenadzorovano in pol-nadzorovano učenje. Pri nadzorovanem učenju ima vsak podatek (X) oznako (Y), pri nenadzorovanem učenju imamo samo podatke (X), algoritem pa mora odkriti strukturo podatkov, pri pol-nadzorovanem učenju pa imamo veliko podatkov (X), vendar je le nekaj izmed njih pravilno označenih (Y). Na podlagi tega lahko vidimo, da znanje stroja temelji samo na eni temi, in da je treba za usvojitev nove teme zagotoviti nove podatke. Če na primer naučimo algoritem strojnega učenja prepoznavati možganski tumor z magnetno-resonančnega (MR) posnetka, bo to storil dokaj dobro. Če pa mu namesto posnetka možganov pokažemo posnetek raka dojke, rezultat ne bo več tako natančen, saj algoritem ne ve, kako navadno izgleda rak dojke. Če to prevedemo v primer kibernetske varnosti. Stroj lahko naučimo, kako naj zazna dobro znano grožnjo in zaznavanje je v tem primeru neverjetno dobro. Vendar, če napadalci razvijejo nov način izvajanja zlonamernih dejanj, je odgovor stroja netočen.

V nasprotju s stroji so ljudje sposobni inteligentnega in ustvarjalnega razmišljanja, ki jim omogoča reševanje stvari, s katerimi se še nikoli niso srečali. Izkušen analitik kibernetske varnosti lahko razvije neke vrste intuicijo ali slutnjo, ko gre za soočanje z neznanim scenarijem, kjer je potrebno hitro ukrepanje. Tako kot izkušeni zdravnik, saj vsi vemo, da ni vsak "zdravnik s pomočjo iskalnika Google" kar dr. House.

Lahko povzamemo, da je ključna naloga izluščiti potencialno škodljive dogodke izmed bilijonov dogodkov, ki se dogajajo vsako sekundo. To je tako kot tisti dobro znana prispodoba: "Iskanje igle v kopici sena". Za uspešno opravljanje te naloge potrebujemo stroje za obdelavo velikih količin podatkov in ljudi za nadzor tega procesa. Vprašati se moramo tudi, ali res želimo, da stroji skrbijo za naša omrežja in delujejo nenadzorovano, ali imamo raje, da ima človek zadnjo besedo pri varovanju naših podatkov in infrastrukture.

V NIL-ovem SOC-u verjamemo, da smo lahko najučinkovitejši pri lovu na napadalce z uporabo tako strojnih kot človeških sposobnosti. Vidimo, da brez strojnega učenja in umetne inteligence podatkov ni mogoče analizirati in razumeti, po drugi strani pa brez človekovega posredovanja ne moremo ugotoviti, ali so zaznana dejanja zlonamerna, kaj bo naslednji korak napadalca in kako napadalcu blokirati dostop. Če vas zanima, kako uspešno ščitimo organizacije, sledite našim prihajajočim člankom in video posnetkom o podrobnejših temah.

Avtor: Jakob Premrn, Analitik in svetovalec kibernetske varnosti