IPS i deszyfracja ruchu
SD – WAN jako nowe podejście do zarządzania siecią WAN
IPS i deszyfracja ruchu
SD – WAN jako nowe podejście do zarządzania siecią WAN
Pokaż wszystko

Jak sztuczna inteligencja i machine learning pomaga w ochronie na brzegu sieci w starciu z nowymi zagrożeniami?

Sztuczna inteligencja i uczenie maszynowe wykorzystywane są w walce z cyberprzestępcami. Dowiedz się jak AI może wzmocnić ochronę sieci wewnętrznej w firmie.

Działania cyberprzestępców stają się coraz bardziej wyszukane – doskonale zaplanowane, wieloetapowe i długotrwałe. Obecnie hakerom nie chodzi już tylko i wyłącznie o to, aby włamać się do systemu — zniszczyć go lub zablokować. Ataki mają sprecyzowany cel. Najczęściej są nimi kradzież wrażliwych danych osobowych czy cennych informacji, które mogą zostać wykorzystane np. przez konkurencję. Aby ominąć standardowe zapory i dostać się do systemu hakerzy stosują coraz bardziej wyrafinowane techniki. Często podmiot atakowany przez długi czas nie zdaje sobie sprawy, że jest celem. Wydłuża się też czas, jaki upływa od pierwszej ingerencji hakera do wykrycia zagrożenia. W wielu przypadkach może on trwać nawet kilka miesięcy.

Z tego powodu wykrywanie różnych, niepokojących zdarzeń i zapobieganie atakom wymaga wzmożonej administracji systemem i jego monitoring. A z takimi działaniami nie radzą sobie już tradycyjne firewalle, a nawet NGFW. Ważny jest również czynnik ludzki, czyli sami administratorzy, którzy nawet przy posiadaniu zbioru danych nie są w stanie fizycznie przeanalizować i wykonać szybko odpowiednich działań, które zapobiegną zagrożeniom.

Aby skutecznie przeciwdziałać atakom, firmy muszą postawić na metody, które będą dynamicznie reagować na zmieniający się krajobraz cyberbezpieczeństwa. Koniecznością jest wykorzystanie do tego najnowocześniejszych technologii, którymi jest m.in. sztuczna inteligencja (ang. AI – artificial intelligence) i uczenie maszynowe (ang. machine learning).

Dlaczego i kiedy jest wykorzystywana sztuczna inteligencja i uczenie maszynowe?

Sztuczna inteligencja (AI) oraz uczenie maszynowe (ML) znajdują obecnie zastosowanie w różnych gałęziach gospodarki: od rolnictwa przez handel, produkcję, bankowość i finanse po przemysł ciężki. AI wykorzystywana jest też w sferze cyberbezpieczeństwa. Rozwiązania AI pozwalają na automatyzację procesów na podstawie analizy ogromnych zbiorów danych. Na podstawie analizy danych i korelacji oprogramowanie może przewidzieć pewne niebezpieczeństwa np. potencjalnie szkodliwe pliki, nietypowe adresy IP lub niestandardowe (a przez to dość podejrzane) zachowania użytkowników w sieci wewnętrznej.

Nie wiesz, czy twoja sieć jest bezpieczna? Przeprowadź audyt infrastruktury: Audyt bezpieczeństwa infrastruktury sprzętowej IT

Jak AI pomaga w ochronie brzegu sieci?

Pierwszą linią ochrony przed podejrzanym oprogramowaniem jest tzw. brzeg sieci. Brzeg sieci, jak można się domyślić, to miejsce w strukturze sieci, które jest najbardziej oddalone od rdzenia sieci wewnętrznej. To również punkt styku sieci korporacyjnej lub firmowej z internetem, czyli siecią zewnętrzną. W tym miejscu nasza sieć narażona jest na największe zagrożenia. Potencjalnie na brzegu sieci najwięcej się dzieje, to newralgiczne miejsce, które wymaga szczególnej uwagi.
Z tego powodu to właśnie na brzegu sieci umieszczane są między innymi firewalle mające na celu przygotowanie ruchu wychodzącego i przychodzącego z sieci zewnętrznej. Niestety firewalle nie są już wystarczającymi środkami zapobiegawczymi, dlatego między innymi potrzebne są rozwiązania AI.

Oprogramowanie oparte na sztucznej inteligencji i uczeniu maszynowym (np. omawiane przeze mnie rozwiązanie NDR) wykrywa zagrożenia w sieci na wielu płaszczyznach. Do najważniejszych z nich należy:


a. Wykrywanie podejrzanych zachowań poprzez modelowanie ruchu (Hillstone Networks Abnormal Behavior Detection)


Funkcja AI, która polega na monitorowaniu ruchu dla każdego hosta i serwera. Oprogramowanie na podstawie ustalonych, bazowych szacunków ruchu jest w stanie wykryć anormalne zachowania, które występują sieci np. gdy ruch znacznie przekracza przyjęte normy. Na podstawie tego typu modeli ruchu sztuczna inteligencja jest w stanie przewidzieć różnego typu zagrożenia występujące najczęściej w warstwie 4 jak:

  • Connection Flood (denial-of-service – DoS)
  • Http Request Flood (denial-of-service – DoS)
  • Email Spam
  • FTP Brute Force Attack
  • SSH Brute Force Attack

A także w warstwie 7 jak: Scan Attack​ DoS czy Attack​ Spider.

b. Wykrywanie nowych rodzin malware (Hillstone Networks Unknown Malware Detection​)

Sztuczna inteligencja może również na podstawie danych i korelacji wykryć nowe rodziny złośliwego oprogramowania. Silniki po detekcji nieznanego oprogramowania analizują dane zawarte w sieci na podstawie określonych parametrów, a potem starają się wymodelować, zidentyfikować nowe oprogramowanie i przyporządkować go do znanych rodzin, a nawet wykryć potencjalne sposoby radzenia sobie z nim.

Wykrywanie nowych rodzin malware – schemat

c. Analiza faz ataków – kill chain

Cyber ​​Kill Chain to rozwiązanie, które pozwala na przedstawienie, modelowanie i analizowanie faz ataku. W ten sposób sztuczna inteligencja może przewidzieć potencjalne działania podejmowane przez atakujących i wydzielić je na usystematyzowane etapy.

Klasyczny modelowy atak obejmuje następujące fazy.

Wstępny rekonesans, w którym atakujący poznaje swój cel, dokonuje penetracji hostów lub sieci np. otwarte porty sieciowe.

Dobór narzędzi atakującego
Po rozeznaniu atakujący wybiera rodzaj złośliwego oprogramowania, które będzie najbardziej skuteczne i dopasowane.

Dostarczenie
Atakujący próbuje dostarczyć złośliwe oprogramowanie do systemów organizacji za pomocą najskuteczniejszej broni (np. e-mail phishing).

Wykorzystanie exploitu
Wykorzystanie zidentyfikowanej luki w systemie do wykonania złośliwego kodu dostarczonego przez atakującego.

Implementacja złośliwego oprogramowania
Atakujący ma dostęp do ofiary, może dokonać próby ataku i instalacji. W jej wyniku uzyskuje dostęp do środowiska wewnętrznego.

Dowodzenie i kontrola
Atakujący przejmuje kontrolę nad danymi i dostaje się do systemu.

Eksfiltracja danych
Atakujący przejmuje zasoby ofiary np. szyfruje dane i blokuje system.

d. Korelacja i powiązywanie zagrożeń

Sztuczna inteligencja na podstawie danych zawartych w systemie może łączyć i dokonywać korelacji, które pozwalają na wykrycie nowych zagrożeń, co znacznie podwyższa bezpieczeństwo firmy.

Czytaj również: Na czym polega uwierzytelnienie wieloskładnikowe (MFA)?

Wykrywanie nowych zagrożeń oparte na sztucznej inteligencji

Obok klasycznych metod wykrywania, Hillstone Networks oferuje inteligentne rozwiązania do zapobiegania włamaniom oparte na AI i uczeniu maszynowym. Korzysta przy tym z różnego typu opatentowanej technologii:

Technologia Hillstone Abnormal Behaviour Detection

Technologia Hillstone Abnormal Behaviour Detection (ABD) to autorski silnik, który wykorzystuje najnowocześniejsze rozwiązania w zakresie wykrywania nieznanych zagrożeń. Śledzi i analizuje ruch w sieci w sposób ciągły uwzględniając wiele parametrów. Na podstawie danych tworzy pewne modele zachowań, które umożliwiają wykrywanie anomalii.
Sam algorytm modelowania ulega nieustannym modyfikacjom i aktualizacjom. “Uczy się” na bieżąco wykorzystując prawdziwe narzędzia hakerskie.

Advanced Threat Detection (ATD)

Silnik ATD nie tylko wykrywa anomalię ruchu, ale również potrafi na podstawie danych (modelu zachowania) identyfikować rodzaj złośliwego zagrożenia (niebezpieczne pliki czy programy).

Silnik korelacji zagrożeń

W kolejnym kroku silnik korelacji zagrożeń analizuje i koreluje dane z wielu źródeł dotyczące różnego typu naruszeń bezpieczeństwa (silniki oparte na zachowaniu, zaawansowane mechanizmy wykrywania zagrożeń, silniki oparte na sygnaturach — antywirus, IPS itp.). W ten sposób łączy wszystkie ważne punkty ataku, co daje możliwość pełnego wykrywania zaawansowanych zagrożeń i APT (Advanced Persistent Threat).

Mechanizmy silników detekcji mapują zagrożenia na etapy Cyber ​​Kill Chain (od rekonesansu do eksfiltracji wraz z dowodami kryminalistycznymi itp.). Dzięki temu zespoły bezpieczeństwa mogą w przystępnej formie zapoznać się z danymi dotyczącymi ataku, zrozumieć jego charakter i odpowiednio szybko zareagować. W ten sposób wyraźnie skraca się czas jaki mija od samej infekcji do wykrycia zagrożenia.

Czytaj również: Jak rozwiązania SIEM pomagają wzmocnić bezpieczeństwo sieci?

Jakie są zalety z wykorzystania sztucznej inteligencji i uczenia maszynowego w ochronie brzegu sieci?

Wykorzystanie sztucznej inteligencji i uczenia maszynowego daje nam potężną broń w walce z hakerami.

Skuteczniejsza ochrona przed nowymi zagrożeniami.

Klasyczne oprogramowanie firewall, WAF czy urządzenia antyspamowe i antywirusowe mogą bronić nas tylko przed znanymi zagrożeniami. Sztuczna inteligencja reaguje na znane, ale przede wszystkim wykrywa nowe formy ataku. W ten sposób nie jesteśmy bezbronni w obliczu kreatywności hakerów.

Szybsza analiza dużych ilości danych.

Codziennie przez systemy firmy przechodzi wiele informacji i danych, które wymagają analizy. Mechanizmy sztucznej inteligencji pozwalają na szybszy wgląd w dane i ocenę zagrożeń które są czasochłonne dla zespołów IT.

Automatyzacja działań.

Zdecydowana większość akcji wykonywanych przez system jest automatyczna. W ten sposób jesteśmy w stanie zaoszczędzić czas pracowników i zdecydowanie szybciej reagować na pewne wydarzenia.

Podniesienie ogólnego poziomu bezpieczeństwa sieci.

Sztuczna inteligencja analizuje i monitoruje sieć pod różnymi parametrami. To oznacza, że bezpieczeństwo zapewnione jest na wielu płaszczyznach. Chroni przed zróżnicowanymi rodzajami zagrożeń pochodzącymi z różnych źródeł.

Chcesz skutecznie chronić sieć firmową przed zagrożeniami?

Zapraszam do kontaktu telefonicznego ze mną pod numerem +48 515 135 478 lub mailowego pod adresem pt@sebitu.pl. Wybierzemy najlepszą opcję pod względem jakości, ceny i wymagań funkcjonalnych.

Ostatnia aktualizacja 2024-02-21

Piotr Tamulewicz - avatar.
Doradca ds. rozwiązań IT w SEBITU.