В индустрии безопасности используется устаревший подход к вопросу о предотвращении взломов

Использование комбинации так называемого машинного обучения (подраздел искусственного интеллекта, изучающий методы построения моделей и алгоритмов, способных обучаться) и подхода в информационных технологиях, получившего название «большие данные», позволяет новаторам в сфере компьютерной безопасности идентифицировать угрозы прежде, чем они нанесут ущерб компьютерным сетям.   

Технологии обработки огромных объемов данных и предикативной аналитики, - иногда называемой искусственным интеллектом, - меняют мир. Практически все организации - от Google до супермаркетов и здравоохранительных учреждений - с помощью новых технологий кардинально изменили свою методику работы, в то время, как традиционная охранная индустрия все еще использует старый подход к вопросу о предотвращении взломов и утечек данных.

В эпоху, вредоносного программного обеспечения (незамысловатого по своей сути) и более продуманных, целенаправленных хакерских угроз, таких как Stuxnet, защита ресурсов стала настоящим вызовом. Один из таких примеров - недавняя атака на «Нью-Йорк Таймс». За 4 месяца китайским хакерам удалось внедрить 45 различных элементов вредоносного ПО в медиа-систему компании. И все это несмотря на наличие средств защиты, включая регулярно обновляемые антивирусы известных производителей, которые, по информации фирмы Mandiant, смогли обнаружить лишь один элемент вируса.

Сложно сказать, какой недостаток системы безопасности послужил причиной этого конкретного взлома, но все-таки происшествие указывает на фундаментальные проблемы, связанные с традиционными системами охраны, не готовыми противостоять хакерам. Чем быстрее плохие парни будут действовать, тем дальше расстояние, на которое они сумеют оторваться от своих преследователей. Поиски угроз и попытки защитить уязвимые системы могут длиться достаточно долго. При наличии у хакеров времени для планирования и реализации нападения - в довесок к заминкам, связанным с размещением комплексов защитных мероприятий, - киберпреступники имеют возможность подвергнуть опасности большее количество систем. При более неблагоприятных сценариях развития событий отрыв применяющихся мер безопасности от методик преступников попросту будет незаметен.

Данные - ДНК безопасности

Безопасность - наука обнаружения и предотвращения атак, некий комплекс вакцинации от угроз, направленных на электронные системы. Это индустрия зашифрованных данных, и индустрия, требующая тщательной проверки этих самых данных. До недавнего времени охранные системы были ограничены по части поиска - для этого были доступны лишь небольшие объемы демаскирующих байтов информации, те образцы данных или сигнатуры антивирусов, уникальные для специфических атак. Если соответствующие данные удается найти - плохих парней обнаружат. Если нет - доказать вину будет невозможно.

Системы охраны, построенные таким образом - довольно хрупкие и ресурсоемкие. Они - по пословице - расходуют все время на поиск байтов размером с иголку в байтах, размерами с целый стог сена, лишь затем, чтобы начать все процедуру поиска угроз заново, когда какой-нибудь хакер, пытаясь избежать поимки, несколько изменит эти данные. 

Новые идеи

Но большие данные и машинное обучение (системы, развивающиеся по мере увеличения данных) могут уравнять шансы. Машины потенциально могут использоваться для идентификации более усложненных сигналов и большего количества отношений в базах данных, чем человек способен анализировать. К слову, можно вспомнить о цифровом профайле, который создают рекламодатели, собирая и соотнося всевозможные информационные источники. Аналогичный подход возможен и применительно к вопросу о безопасности. Сотни, даже тысячи источников данных - системные журналы, коды, характер поведения хакеров, предпочтительные типы избираемых мишеней, предпочтительные методы, - все эти сведения могут быть весьма полезными.

Вместо того, чтобы создавать сигнатуры для каждого элемента вредоносного ПО, более целесообразным представляется разработка баз данных всех вредоносных кодов и всего остального, что ассоциируется с хакерами - вплоть до серверов, которые они используют, и того, каким образом они планируют заработать с помощью своей преступной деятельности.

Но зачем же останавливаться на достигнутом? Ведь движение в заданном направлении позволит разложить на части вредоносное ПО, редуцировав его до составных блоков и сформировав базы данных всех вредоносных кодов, какие только существуют на сегодняшний день. Все эволюционирует, и неожиданно появляется способ обнаружения новых угроз задолго до того, как они обнаружатся на компьютере жертвы.

Поисковый робот Google замечает каждую веб-страницу, возможность обработки большого объема данных позволяет компаниям, специализирующимся в сфере сетевой безопасности, действовать схожим образом в отношении всего множество угроз, заглядывая под каждый камень и ища всевозможные связи с ранее имевшими место угрозами или инцидентами. И в дальнейшем прикладывать усилия придется, в свою очередь, уже людями, пишущим вирусы. Теперь, чтобы избежать обнаружения, нужно не просто изменить ряд параметров - необходимо не допускать повторного использования кодов или серверов. Всякий раз им придется начинать с нуля.

Соединение больших данных и машинного обучения позволит охранной индустрии разработать средства, идентифицирующие угрозы еще прежде, чем они нанесут вред. Это еще один пример эффективного применения означенного подхода в области безопасности. И хотя такая идея не решает полностью проблему изощренных атак и вредоносного ПО, она, тем не менее, может стать поворотным пунктом.