Prognozuojama, kad netrukus sistemos mokymasis (SM) (angl. machine learning) taps kone svarbiausia antivirusinių programų ir kitų saugumo sprendimų dalimi. Tačiau drauge su naujomis galimybėmis atpažinti kibernetinius įsilaužėlius, ateina laikas permąstyti ir privatumo politiką organizacijose.
Kaip pastebi daugiau nei milijoną naudotojų visame pasaulyje turinčio saugumo sprendimo SYSLOG-NG kūrėjai „Balabit“, įsilaužėliai vis dažniau naudos socialinės inžinerijos metodus ir taikysis į darbuotojus, o ne į pačias sistemas. Tai reiškia, kad naujos kartos saugumo sprendimai bus orientuoti į stebėjimą, ką ir kaip darbuotojai veikia, prisijungę prie sistemų. Ir SM jau dabar padeda atlikti tokį skaitmeninės elgsenos stebėseną.
Antrieji SM žingsniai IT rinkoje
Statistinių matematinių modelių panaudojimas saugumo analizei nėra didelė naujovė, pastebi „Blue Bridge“ vyriausiasis sistemų inžinierius Kęstutis Meškonis. „Galima sakyti, kad saugumo sprendimų srityje SM žengia ne pirmuosius, o jau antruosius žingsnius. Saugumo sprendimuose šią technologiją pradėta taikyti dar prieš du dešimtmečius. Tačiau tuometinių grėsmių kontekste gamintojai galėjo kurti sąlyginai paprastus sprendimus – pavyzdžiui, parašus, padedančius aptikti konkrečias atakas. Gilintis į sprendimų universalumą ir adaptaciją anuomet buvo sunkus ir nepatogus kelias. Tačiau šiandieninės grėsmės diktuoja vis didesnį ir sudėtingesnį SM pritaikymo poreikį“, – pasakoja pašnekovas.
Per paskutinius kelerius metus susidomėjimas SM išaugo, o pritaikymo tobulinimui pasitarnavo ankstesnių dešimtmečių įdirbis ir moksliniai tyrimai. „Šiuo metu gamintojai susitelkę į SM panaudojimo efektyvumą. Su juo susiję dauguma bandymų. Nors SM panaudojimas saugumo sprendimuose reikalauja daug pastangų, jį savo sprendimuose jau įdiegė visi populiariausi saugumo sprendimų kūrėjai. Žinoma, SM bandymai neapsiriboja vien saugumo programomis. Šią technologiją bandoma pritaikyti daugelyje sričių. Pavyzdžiui, balso atpažinimo technologijose, internetinėse reklamose, vartotojų poreikių profiliavime ir t. t.“, – vardija K. Meškonis.
SM privalumai ir trūkumai
Saugumo sprendimai, kuriuose pritaikytas SM, turi keletą nenuginčijamų privalumų prieš klasikinius kenkėjiškos veiklos atpažinimo būdus. Svarbiausi – didesnis efektyvumas aptinkant atakas ir kenksmingus kodus, mažesnis klaidingų suveikimų skaičius aptinkant atakas, greita saugumo situacijos analizė, mažesnis nuolatinių atnaujinimų skaičius.
K. Meškonis atkreipia dėmesį, kad SM pažanga ypatingai svarbi su slapta informacija dirbančioms organizacijoms: „SM principu veikiantys saugumo sprendimai leidžia efektyviai apsaugoti tinklus, neturinčius interneto ryšio, be to, nebetenka palaikyti ryšio su saugumo sprendimo gamintoju. O tai reiškia, kad jokia informacija nesiunčiama analizei į gamintojo debesį, kuris kai kada traktuojamas kaip nepakankamai saugi vieta duomenų tranzitui ar analizei.“
Tiesa, SM pritaikymas turi ir keletą fundamentalių iššūkių, kurie nebus išspręsti artimiausiu metu. „Nepaisant susidomėjimo, kurį SM sukėlė saugumo sprendimų rinkoje, svarbu atsiminti, kad ši technologija nėra sidabrinė kulka, galinti iškart išspręsti visas saugumo problemas. Šimto procentų apsaugos, deja, negali užtikrinti nei viena egzistuojanti technologija. Tačiau tai netrukdo SM tapti vis svarbesne ir efektyvesne technologija, ypač gerai papildančia pažangiausius saugumo sprendimus“, – sako K. Meškonis.
SM padeda atpažinti įsilaužėlius
Galimybė analizuoti skaitmeninę naudotojo elgseną ir atpažinti įsilaužėlį iš netipinių pelės judesių, prisijungimo laiko ir komandų sistemai – tai vieni svarbiausių privalumų, kuriuos SM suteikia „Balabit“ sukurtai programai SYSLOG-NG.
„Informacijos, susijusios su naudotojų elgsena, analizė – tik vienas iš SM pritaikymo būdų, tačiau jis puikiai iliustruoja SM galimybes didinant saugumą“, – sako K. Meškonis.
„Balabit“ atstovas Laszlo G. Jobbagy pasakoja, kad sprendimas kurtas ieškant naujų apsaugos būdų nuo aktualiausios grėsmės – įsilaužėliams pasisavinti jau egzistuojančią sistemos naudotojo tapatybę šiandien kur kas lengviau nei apeiti daugybę apsaugos sistemų, įdiegtų įmonėse: „Todėl drįsčiau prognozuoti, kad būtent tapatybės taps populiariausiu įsilaužėliu taikiniu per ateinančius kelerius metus.“
SM darys įtaką saugumo politikai
Nors vis platesnis SM technologijos naudojimas IT produktuose gali būti nepastebimas galutiniam naudotojui, tačiau ilgainiui jis gali daryti tam tikrą įtaką darbo įpročiams.
„Apie SM dažnai šnekama kaip apie saugumo pasaulį keičiančią technologiją, tačiau saugumo sprendimuose jis nepastebimas plika akimi ir nekeičia galutinio naudotojo elgsenos. Beje, SM naudojimas nesukuria papildomų rūpesčių ir IT administratoriams, nes tokie sprendimai nereikalauja išskirtinės priežiūros ar investicijų. Nors gamintojams vystyti SM kainuoja brangiau nei įprastas juodųjų sąrašų bazes, kainoje tai atsispindi neženkliai“, – pasakoja „Blue Bridge“ vyriausiasis sistemų inžinierius K. Meškonis.
„Balabit“ atstovas pastebi, kad SM principu veikiantys apsaugos sprendimai gali sukelti visai kitokių – su asmens privatumu – susijusių diskusijų. „Apie saugumo politiką svarbu nuolat diskutuoti įmonės viduje jau dabar. Svarbu suprasti, kad norint apsisaugoti nuo duomenų nutekėjimo, reikia žinoti ir analizuoti daug informacijos, susijusios su darbuotojų veikla virtualioje erdvėje. Tai neišvengiama ir su tuo teks susitaikyti. Tačiau pažangių saugumo sprendimų atliekama skaitmeninės elgsenos analizė – pelės „braižo“ identifikavimas, konkrečiam darbuotojui įprasto darbo modelio sukūrimas ir t. t. – iš tikrųjų nėra asmens privatumo pažeidimas. Tai tik dar vienas žingsnis link didesnio duomenų saugumo ir tikslesnės naudotojo identifikacijos“, – įsitikinęs Laszlo G. Jobbagy.