home טכנולוגיה Big Data תוכנת בינה מלאכותית מאתרת איומי אבטחת מידע פנימיים

תוכנת בינה מלאכותית מאתרת איומי אבטחת מידע פנימיים

Jun 2, 2018

This post is also available in: English (אנגלית)

אנשי אבטחת IT בחברות מוצפים בהרבה יותר מידי נתוני אבטחת מידע ללא אמצעי יעיל לעבור עליהם. סריקת אלפי התראות ממערכת איתור הפריצות, מערכות הפיירוול וקבצי הרישום בחיפוש אחר רמזים להפרת אבטחה משמעותית עלולה להיות מתסכלת ולגזול זמן רב. רבות מהפריצות נראו ברורות לעין בניתוח שלאחר מעשה, אבל בשעת התרחשותן הסימנים קטנים מידי מכדי שניתן יהיה להבחין בהם.

פלטפורמה חדשה לאבטחה אוטונומית של מרכזי מבצעים מבטיחה להפוך את משימתם של האנליסטים בתחום האבטחה לאפקטיבית יותר. אזהרה שמספקת הפלטפורמה בזמן עשויה להיות קריטית למניעת הפריצה. יתרה מזאת, היא גם יכולה להצביע על חולשות אבטחה פוטנציאלית שיש לתקן לפני שנתונים חשובים יאבדו.

פלטפורמת ה-JASK (קיצור של Just Ask) מסוגלת לקלוט נתונים ממגוון מכשירי אבטחה, חבילות תוכנה, קבצי רישום ועוד, \לשלב אותם עם מאגר נתונים נרחב של ארועי אבטחה קודמים ואזהרות משירותי אבטחה, ולחפש אחר דפוסים ומגמות. היא לומדת מדפוסים שכבר הופיעו אצל משתמשים אחרים של JASK כדי לנתח ולהעריך ארועים אלה.

בהמשך היא מציגה אותם בצירוף הערכה של מידת האיום ודרגת הביטחון.

אנליסט אבטחה יכול להקליק על התצוגה של סדרת ארועים שעברו הערכה כדי לקבל הסבר מפורט לגבי הגורמים שהביאו את המערכת להציג אזהרה לגביהם. הפיתוח מבוסס על מאגר ידע גדול וכן על עקומת למידה.

איומים פנימיים, הנקראים סיגנלים, יכולים להיות לא משמעותיים אבל הקורלציה היא שהופכת אותם למספיק חשובים כדי להפוך לתובנה.

התוכנה יכולה לגלות ארועים שאנליסט אנושי היה מחמיץ מפני שהוא מתמודד עם אלפי ארועים כאלה ביום. בעוד שהסיגנלים הבודדים עלולים להיות קטנים מכדי למשוך את תשומת ליבו של האנליסט, הרי שכשהם נבדקים יחד מתבהרת התמונה והם מקבלים חשיבות. דפוס מסוג זה הוא נפוץ לגבי מספר רב של הפרות אבטחה, לפי brinkwire.com.

סדרת הארועים הקטנים, שיכולה לכלול אימייל פישינג שנשלח לעובד מנהלי ומצליח להשיג אישורים, ולאחריו אימייל למנכ"ל או למנהל הכספים של החברה במטרה לאשר העברת כספים, עשוי למשוך את תשומת ליבו של האנליסט רק אם הארוע אכן הורגש. אבל אם קושרים את אותו מייל לארוע פריצה, שחושף את אנשי הקשר של העובד ומחבר לסדרה של אימיילים דומים שעדיין לא התגלו, לצד כאלה שהגיעו משרת חיצוני ומופיעים כאילו הם מגיעים מהשרת הפנימי – כל אלה הם סימנים שצפויה לבוא התקפה.

הפלטפורמה מבוססת הענן פועלת על שירותי הרשת של אמזון, והיא יכולה להשתמש בנתונים משירותי ענן אחרים או ממקורות באתר עצמו.

לצד הבינה המלאכותית והלמידה החישובית שמאפשרות את הקורלציות האלה, מה שמייחד את הפלטפורמה הוא שהיא לא זקוקה להחלפת מבנה האבטחה הקיים בחברה. היא עושה שימוש בתפוקות ממערכות האבטחה הקיימות. היא גם מסוגלת למצות נתונים מקבצי הרישום הקיימים והתנועה הגולמית ברשת. כל מה שנדרש הוא לאפשר לה גישה.