Provajderi sajber bezbednosti su prvenstveno istraživački centri koji se suočavaju sa pretnjama i razvijaju tehnologije za njihovo otkrivanje i prevenciju. Oni stalno nastoje da ponude najefikasnije i najpouzdanije mehanizme upravljanja pretnjama. Kako je razvoj bilo kog rešenja za sajber bezbednost ulaganje resursa, a priroda pretnji se stalno menja, vidimo da napadi postaju složeniji pod uticajem tehnološkog napretka u upravljanju pretnjama. Ovo nas vodi ka novom talasu tehnološkog napretka u zaštitnim rešenjima.
Tehnike i procedure napada se stalno razvijaju, i što se efikasnije bori protiv njih, to brže napreduju metode napada. Savremeni mehanizmi zaštite krajnjih tačaka neophodni su za odbranu od savremenih pretnji, sposobni da se odupru novim taktikama i tehnikama napada.
Šta je to zaštita krajnjih tačaka?
Zaštita krajnjih tačaka predstavlja moderne platforme koje kombinuju različite tehnologije za upravljanje pretnjama. Logika detekcije ovih rešenja može se implementirati u krajnju tačku ili cloud, a otkrivanje pretnji može biti zasnovano na zlonamernim objektima (fajlovi, IP adrese, URL-ovi, memorijski objekti, objekti operativnog sistema) ili na karakteristikama ponašanja.
Pod zaštitom krajnjih tačaka podrazumevamo sistem koji može potpuno automatski da upravlja pretnjama. Platforma za zaštitu krajnjih tačaka (EPP) to može učiniti ako se napad može efikasno i uspešno obraditi bez učešća ljudi. Ako je napad složeniji i sofisticiraniji, za njega je potreban poseban skup tehnologija za razvoj. Ne postoji suštinska razlika između modernog EPP-a i „potpuno automatskog EDR-a“ jer svaki zadatak koji se može rešiti potpuno automatski mora biti rešen u okviru sistema zaštite krajnjih tačaka.
Obaveštajni podaci o pretnjama (Threat intelligence) takođe igraju ključnu ulogu u visoko kvalitetnom otkrivanju pretnji, jer što više podataka o pretnjama imamo, to su naše mogućnosti upravljanja pretnjama šire. Pored toga, nemoguće je razvijati tehnologije zaštite i sprovoditi istraživanja pretnji bez najnovijih obaveštajnih podataka o pretnjama.
Automatizacija zlonamernog softvera. Kako se kompanije za sajber bezbednost bore protiv ove pretnje?
Proizvođači rešenja za sajber bezbednosti koriste različite pristupe upravljanju pretnjama, često kombinujući detekciju zasnovanu na zlonamernim alatima sa analizom ponašanja odnosno bihejviralnom analizom.
Za svaki identifikovani scenario pretnje uvek se koristi „kružna“ detekcija. To znači da je za istu tehniku napada razvijeno više pristupa upravljanja sa različitim tehnologijama, uključujući analitiku pretnji. Ovaj pristup značajno smanjuje verovatnoću propuštanja pretnje. Ako dođe do napada na hosta (domaćina), telemetrija sa njega će se preneti u oblak i obraditi pomoću naprednijih algoritama, a automatski kreirana pravila će zaštititi druge od sličnih pretnji.
Da li treba koristiti neuronske mreže u razvoju rešenja za sajber bezbednost?
Neuronska mreža je jedna od implementacija mašinskog učenja. Za obučavanje modela potreban je set za obuku na kojem će model prilagoditi svoje parametre i moći da primeni stečeno „iskustvo“ na stvarne podatke. Međutim, važno je zapamtiti da se budućnost nikada ne ponavlja tačno kao prošlost, pogotovo ako su napadi vođeni od strane osobe sa neograničenim sposobnostima improvizacije i prilagođavanja.
Jedno od rešenja može biti razdvajanje napada na tehnike i procedure i otkrivanje TTP-ova i njihovih popularnih kombinacija. Mašinsko učenje, duboko učenje i neuronske mreže su alati za rešavanje zadataka upravljanja pretnjama. Mašinsko učenje je korisno, ali nije magično rešenje za sve probleme – to je jedan od tehnoloških pristupa u arsenalu istraživača pretnji koji razvijaju mehanizme za upravljanje pretnjama.
Umesto zaključka
Svi scenariji koji uključuju potpuno automatizovane napade biće automatski neutralisani unutar Platforme za zaštitu krajnjih tačaka. Dugoročno, fokus će se pomeriti na automatizaciju upravljanja pretnjama: dopuniće se baze podataka automatski klasifikujućih tehnika i procedura, proširiće se spektar tehnologija za efektno i efikasno sprečavanje identifikovanih napada na potpuno automatizovan način. Međutim, zbog beskrajne prilagodljivosti napadača, potreba za istraživanjem pretnji i proaktivnim lovom na pretnje neće nestati, pa će razvoj telemetrije za potrebe SOC timova i istraživača pretnji takođe i dalje ostati značajan pravac u razvoju EPP provajdera.
Odgovore dao: Sergej Soldatov, rukovodilac Bezbednosnog operativnog centra u kompaniji Kaspersky
Foto: Gerd Altmann, Pixabay
