למידת מכונה Machine-learning באבטחת מידע
מאת:
אילן סגלמן, 24.3.17, 09:00
טכנולוגיות למידת מכונה הופכות את תהליך זיהוי האיומים ליעיל יותר, רב-ביצועים ואפקטיבי בעצירת הנוזקה לפני שהיא הופכת לבעיה אמתית בארגון. אולם, לא כל טכנולוגיות למידת המכונה נולדו זהות.
תחום "למידת מכונה" -
Machine-learning תופס תאוצה ומשתלב בענפים מסחריים רבים. דוגמה קלאסית לשימוש בלמידת מכונה ניתן למצוא בתחום הקמעונאות, כאשר מידע, שנאסף מלקוחות, שרכשו מוצרים בעבר או רק התעניינו, עובר אנליזה לכדי הפקת תובנות וחיזוי התנהגות עתידית. באופן פשטני למדי, למידת מכונה היא אוסף אלגוריתמים ה'מלמדים' את המחשב לזהות עצמאית דפוסי התנהגות מתוך כמות אדירה של מידע, לפתור בעיות, לחזות בעיות עתידיות ולהמליץ על דרכי פעולה.
טכנולוגיות למידת מכונה מוטמעות גם בפתרונות אבטחת מידע. לאחרונה התבשרנו גם על כמה סטארטאפים ישראלים העוסקים בתחום הזה וזוכים לעניין רב בקרב משקיעים ובקרב ספקי אבטחת המידע.
בדו"ח, שפורסם לאחרונה, חברת המחקר
ABI מעריכה, שהתחום יעלה את ההוצאות על ביג דאטה, מודיעין ואנליזה עד ל-96 מיליארד דולרים עד 2021.
במשך שנים, שוק אבטחת המידע התמקד בסריקת קבצי ביצוע למטרת מניעת נוזקות. אולם, מספר פריצות הסייבר המשיך לעלות, דבר שהעלה את הצורך 'לחשב מסלול מחדש' בגישה לאבטחת המידע הארגונית.
אנו רואים מעבר מאנטי-וירוס מסורתי לעבר זיהוי מתקדם ומניעת נוזקות באמצעות טכנולוגיות המתבססות על איתור התנהגותי, איתור תעבורה זדונית, חיקוי ומנגנוני 'פעימה', כאשר ישנו ניסיון לצמצם את התלות בחתימות.
טכנולוגיות למידת מכונה הופכות את תהליך זיהוי האיומים ליעיל יותר, רב-ביצועים ואפקטיבי בעצירת הנוזקה לפני שהיא הופכת לבעיה אמתית בארגון. יחד עם זאת, לא כל טכנולוגיות למידת המכונה נולדו זהות.
אחת הדרכים לבדוק את האפקטיביות שלהן היא למדוד את רמת הדיוק שלהן בזיהוי וחיזוי. המטרה היא כמובן להגיע לשיעור גבוה של זיהוי ואיתור נוזקות עם שיעור נמוך ככל האפשר של תוצאה חיובית שגויה
false-positive.
פתרונות אבטחת המידע, שכוללים בתוכם יכולות למידת מכונה, צריכים לענות על מספר פרמטרים כדי להיות אפקטיביים:
- שיעור גבוה של זיהוי גורמים עוינים ושיעור נמוך של תוצאה חיובית שגויה false-positive.
- זיהוי נוזקות, שברוב המקרים היו מתחמקות מאנליזה אנושית. אלו הן נוזקות, שיש להן תכונות משותפות עם נוזקות ידועות, אבל קשה לזהות אותן.
- זיהוי בעל רגישות גבוהה (נתינת תשומת לב רבה יותר) לקבצים בעלי פוטנציאל גבוה לפעילות זדונית, כגון קבצי ביצוע (EXE, סקריפטים וכו').
- זיהוי נוזקות מעבר לקבצי ביצוע ומעבר לקבצים בכלל.
- זיהוי מבוסס התנהגות, שיכול לכסות טקטיקות וטכניקות הנמצאות בשימוש התוקפים.
מעל לכל, חשובה האינטגרציה של יכולות אלו במערך פתרונות אבטחת המידע של הארגון.
כדי לשפר את האפקטיביות ויכולת התגובה לאיומים דרושה יכולת לפתרונות 'לדבר' זה עם זה ולשתף במידע מודיעיני. כך, מידע על זיהוי של התקפה או איום צריך לעבור במהירות לפתרונות אבטחת המידע הייעודיים, דוגמת פיירוול או פתרונות הצפנה, שיכולים לנקוט בפעולות הראויות להגנה על הארגון.
מאת: אילן סגלמן, מרץ 2017.
סמנכ"ל מכירות ופיתוח עסקי ב- Power Communications ומנהל פעילות Sophos בישראל.