به کارگیری یادگیری ماشین در یک محیط امنیتی: یک رویکرد علوم داده محور-بخش دوم
کاربرد یادگیری ماشین در تجزیه و تحلیل رفتار کاربران و موجودیتها[۱] (UEBA)
تشخیص و پیشبینی تهدید بخشی حیاتی از امینت است که از یادگیری ماشین سود میبرد. چالشهای موجود در انجام UEBA را در نظر بگیرید. Gartner تجزیه و تحلیل رفتار کاربران و موجودیتها را به صورت زیر تعریف میکند:
تجزیه و تحلیل رفتار کاربران و موجودیتها
پروفایلسازی و تشخیص ناهنجاری بر اساس مجموعهای از رویکردهای تحلیلی. در این راستا، به طور معمول از ترکیبی از روشهای تحلیلی پایه (مانند قواعد به کارگیرنده امضاها، تطبیق الگو و آمارهای ساده) و روشهای تحلیلی پیشرفته (مانند یادگیری ماشین با نظارت و فاقد نظارت) استفاده میشود. ارائهدهندگان از مجموعهی تحلیلها برای ارزیابی فعالیت کاربران و دیگر موجودیتها (مانند Hostها، Applicationها، ترافیک شبکه و مخازن داده) برای کشف رویدادهای بالقوه استفاده میکنند.
UEBA یک کاربرد عالی برای یادگیری ماشین است. به دلایل زیر، یادگیری ماشین قادر است به طور ویژه UEBA را موثرتر کند:
- یادگیری ماشین قادر است به حجم زیاد دادههایی که باید تجزیه و تحلیل شوند، رسیدگی کند. این مهم شامل توانایی ترکیب انواع مختلفی از دادهها (از الگوهای ترافیک شبکه و دادههای Application تا رکوردهای مربوط به تلاشهای احراز هویت کاربر و دسترسی کاربر به دادههای حساس) است.
- UEBA مبتنی بر یادگیری ماشین برای شناسایی تهدیدهای حائز شرایط (یعنی، تهدیدهای مشروع نیازمند اقدام) بسیار مناسب است. روشهای یادگیری ماشین میتوانند فاکتورهای بسیار بیشتری نسبت به آنچه قابل درنظر گرفتن توسط انسانها در زمان نگاه به تهدیدهای بالقوه است، را تقریبا به صورت بلادرنگ در نظر بگیرند.
- UEBA مبتنی بر یادگیری ماشین قادر به شناسایی تهدیدهایی است که به سختی قابل یافتن هستند. از جمله این تهدیدات میتوان به تهدیدات داخلی، تصرف حسابهای کاربری ممتاز و تهدیدهای ناشناخته با تشخیص تغییر رفتار اشاره کرد. یک سازمان میتواند از یادگیری ماشین برای شناسایی پویای داراییهای ارزشمند استفاده کند. UEBA ارتقایافته با یادگیری ماشین قادر است اطلاعات خطر را برای شناسایی فعالیتهای جدیدی که با الگوهای موردانتظار در تضاد هستند (مانند اتصال ناگهانی یک کاربر سطح پایین به یک سیستم سطح بالا و انتقال حجم زیادی داده از آن به یک لپتاپ)، به کار گیرد.
موارد کاربری UEBA برای یادگیری ماشین
بر اساس یک گزارش اخیر[۲]، در ۶۳ درصد از Data breachهای تایید شده، حملهکنندگان در پوشش کاربر قانونی (با استفاده از Credentialهای به سرقت رفته یا سوءاستفاده کاربران قانونی از دسترسی خود) بودهاند. برای تشخیص چنین تهدیدهایی، تکنولوژی شما باید ابتدا قادر به درک و ایجاد خط مبنای رفتار کاربران باشد و باید این کار را همزمان با کاهش هشدارهای اشتباه برای شناسایی موثر تهدیدات انجام دهد. این همان جایی است که یادگیری ماشین ارزش واقعی خود را با ایجاد الگو و رفتارهای خط مبدا[۳] و در ادامه تشخیص ناهنجاریها با ترکیب مدلهای آماری، الگوریتمهای یادگیری ماشین و مجموعهای از قواعد ارائه میکند. یک راهکار UEBA میتواند تبادلات ورودی را با پروفایلهای خط مبدا موجود مقایسه کند. یادگیری ماشین میتواند در ادامه نتایجی تحلیلی برای برجسته کردن الگوهای دسترسی و کاربران نامجاز ارائه داده و به تیم اجازه دهد تا در صورت وجود نقض از طریق تصمیمگیری دستی یا فعالیتهای خودکار اقدام کند.
مهمترین موارد کاربری UEBA برای یادگیری ماشین عبارتند از:
-
Compromise شدن حساب کاربری
-
تهدیدات داخلی
-
سوءاستفاده از حسابهای کاربری ممتاز
-
انتقال غیر مجاز داده
مشکلات احتمالی یادگیری ماشین
استفاده از یادگیری ماشین برای بهبود امنیت سازمان ایده بسیار خوبی است؛ اما برخی مشکلات احتمالی در این راستا وجود دارد که باید از آنها آگاه بود. نحوه استفاده محصولات مختلف از یادگیری ماشین متفاوت بوده و همه به طور مناسب از این ابزارها استفاده نمیکنند. یک مصرفکننده آیندهنگر، باید از مشکلات احتمالی آگاه بوده تا بتواند با پرسیدن سوالات مناسب از ارائهدهندگان قادر به تشخیص محصولاتی که به طور موثر از یادگیری ماشین استفاده میکنند، باشد.
برخی از مشکلات احتمالی عبارتند از:
- دادههای با کیفیت پایین: روشهای یادگیری ماشین قادر به تبدیل ورودیهای بد به خروجیهای خوب نیستند. در نتیجه، راهکارهای امنیتی باید قادر به تبدیل سطح گستردهای از دادههای امنیتی به یک فرمت استاندارد باشد. علاوهبراین، حتی یک فعالیت مشخص مشاهده شده توسط چندین سیستم (در برخی موارد سیستمهای ارائه شده توسط یک ارائهکننده) میتواند توسط هر یک از آنها به روشی کاملا متفاوت ثبت و جزئیاتنگاری شده باشد. به همین دلیل وجود دادههایی با جزئیات کافی و نامتناقض برای تجزیه و تحلیل بسیار مهم است. در صورت عدم دسترسی به دادههای غنی و ساختاریافته، نتایج استفاده از روشهای یادگیری ماشین غیرقابل پیشبینی بوده و دستیابی به هوش مصنوعی ناممکن خواهد بود.
- فقدان اطلاعات مفهومی[۵]: استفاده نکردن از اطلاعات مفهومی مناسب و تنها تکیه بر روشهای یادگیری ماشین برای رصد رویدادهای امنیتی منجر به دستیابی به نتایجی ناصحیح و نامفید خواهد شد. با در نظر گرفتن اطلاعات مفهومی، درک خطر تغییر یافته و شفافیت بیشتری در ماهیت و شدت فعالیتها به دست خواهد آمد. مثالهایی ساده از اطلاعات مفهومی مناسب عبارت است از:
- هدف یک سرور Application مورد هدف واقع شده.
- هویت کاربری که فعالیت مخرب انجام میدهد.
- اعتبار یک آدرس IP خارجی متصل شده به یکی از لپتاپهای سازمان.
با استفاده مناسب از یادگیری ماشین، قادر به تزریق شکلهای زیادی از اطلاعات مفهومی و استفاده از این اطلاعات در فرایند تجزیه و تحلیل و تصمیمگیری خواهیم بود. بصریسازی نیز لایهای حیاتی در یادگیری ماشین است. یک رویکرد امنیتی مبتنی بر یادگیری ماشین باید قادر به بازنمایی صحیح تهدیدها بوده تا تحلیلگران ابزارها و دید لازم برای بررسی و پاسخگویی به وقایع را در اختیار داشته باشند.
- داده آموزش ناکافی: الگوریتمهای یادگیری ماشینی نیازمند مقدار مناسبی از داده آموزش با کیفیت هستند. این دادهها نقشی کلیدی برای تشخیص دقیق تهدیدات ایفا میکنند و بدون آنها، الگوریتمها لزوما قادر به تمایز بین موارد خوب و بد و همچنین تشخیص اهمیت ناهنجاریها نیستند.
- شکست در تولید اطلاعات مفید: کیفیت یادگیری راهکار در درازمدت فاکتور مهم دیگری است که باید در نظر گرفت. آیا قابلیت یادگیری راهکار ادامهدار خواهد بود؟ آیا راهکار قابلیت سازگاری با تغییرات در محیط را داشته و پس از انجام تغییرات همچنان اطلاعات مفید و با کیفیت بالا در زمینه امنیت را تولید خواهد کرد؟ تنها استفاده یک محصول از یادگیری ماشین به معنی ارزش امنیتی آن محصول نبوده و تاثیرگذاری SOC را افزایش نمیدهد.
- فقدان تمرکز بر ارزش یادگیری ماشین: در مواجهه با ارائهدهندگان محصولات امنیتی مبتنی بر یادگیری ماشین، اغلب آنها به شدت در مورد الگوریتمهای یادگیری ماشین مورد استفاده در محصول خود صحبت میکنند. اما این اطلاعات، علیرغم شگفتانگیز بودن، نشانهای از عملکرد مناسب تکنولوژی نیستند. در حقیقت، الگوریتمها مولفه نسبتا آسانی از یادگیری ماشین هستند. یک مصرفکننده آیندهنگر باید بر ارزشی که محصول ارائه میکند، تمرکز کند. این ارزش با توجه به میزان بهبود زمانهای تشخیص و پاسخگویی سازمان پس از استفاده از این ابزارها اندازهگیری شود.
در صورت استفاده موثر، یادگیری ماشین به تیم شما در دستیابی به موارد زیر کمک میکند:
|
 |
نتیجهگیری: یادگیری ماشین میتواند سرعت، هوشمندی و کیفیت بالاتری را در دستیابی به امنیت ارائه کند.
با کاهش تلاشهای انسانی و کاستن از زمان تشخیص، پاسخگویی و بازیابی از وقایع، یادگیری ماشین نویددهنده بهبودی چشمگیر در امنیت است. مهمترین چالشها در استفاده موفق از یادگیری ماشین برای امنیت عبارت است از:
- دسترسی بلادرنگ روشهای یادگیری ماشین به مجموعه دادههایی ساختاریافته و با کیفیت بالا از تمام رویدادهای مرتبط با امنیت در سراسر شرکت.
- ارائه اطلاعات مفهومی لازم به یادگیری ماشین برای درک معنا و اهمیت هر فعالیت مشاهده شده و ناهنجاری تشخیص داده شده.
- تهیه مجموعههایی گسترده از دادههای آموزش با کیفیت بسیار بالا برای آموزش فعالیتهای خوب و بد به ماشین.
در صورتی که سازمان شما در حال تلاش برای حل مشکلات امنیتی موجود به واسطه کمبود منابع و هزینههای جریان کاری دستی و ناکارا است، یادگیری ماشین میتواند یک تکنولوژی مفید برای شما باشد. یادگیری ماشین میتواند به تحلیلگران شما اجازه دهد تا بر روی مسائلی که نیازمند بینش و خلاقیت هستند، تمرکز کنند. علاوهبراین، به مقیاسپذیری عملیاتهای امنیت همانطور که تهدیدات تکامل مییابند کمک میکند.
در صورت استفاده موثر، یادگیری ماشین به تیم شما کمک میکند تا:
- تهدیدات مخفی را تشخیص داده و از هشدارهای اشتباه بکاهید.
- به فرایند پاسخگویی به وقایع سرعت بخشید.
- در راستای کاهش میانگین زمان تشخیص و پاسخگویی به تهدیدات، به سادهسازی عملیاتهای امنیت بپردازید.
با این همه، یادگیری ماشین یک ابزار جادویی نیست و استفاده از آن منجر به حل همه مشکلات شما نخواهد شد. محدودیتها و مشکلاتی در این زمینه وجود دارند که باید در زمان تحقیق در مورد یک راهکار امنیتی مبتنی بر یادگیری ماشین، از آنها آگاه باشید.
[۱] User and Entity Behavior Analytics
[۲] Verizon Data Breach Incident Report
[۳] Baseline
[۴] Data exfiltration
[۵] Contextual information