Če se namreč postavimo v vlogo tistega, ki mora skrbeti za varnost IT sistemov, hitro spoznamo, da nam dnevno grenita življenje dva velika izziva. Izziv predvideti nepredvidljivo ter izziv analize velike količine podatkov. Ta dva izziva marsikje in marsikomu preprečujeta, da bi se uspešno spopadli s sodobnimi informacijskimi grožnjami. Matematično gledano pa sta to ravno izziva, ki jih AI algoritmi lahko zelo dobro naslovijo. 

Osnovni princip delovanja sistemov umetne inteligence na področju varnosti IT sistemov je analiziranje čim večjega števila podatkov, ki ga sistemi dobijo iz IT okolja, ter zaznavanje različnih anomalij znotraj teh podatkov. Gledano iz stališča informacijskega sistema je namreč vsaka zloraba anomalija. Nekdo je naredil prijavo od nekje nekam, kamor to po navadi ne dela. Po sistemu se prenašajo neki ukazi oz. podatki, ki se sicer ne prenašajo. Sproži se neka kombinacija procesa, ki se sicer ne sproži,… ipd.. Kadarkoli pride do zlorabe, se zgodi nekaj, kar se sicer ne dogaja.

Izkaže se, da so AI algoritmi odlični pri zaznavanju takšnih anomalij. Znotraj velikega števila podatkov vidijo tisto, kar človeško oko ne vidi. Hkrati pa pri zaznavanju anomalij sploh niso obremenjeni z vnaprejšnjim vedenjem kako bo napad potekal. Kakršenkoli napad bo potekal, bo ta neizbežno sprožil nekaj anomalij in te bodo zaznane, s čimer so AI varnostni sistemi odlični tudi pri zaznavanju Zero-day napadov. 

Ko takole spoznamo AI varnostne sisteme, se nam neizbežno poraja vprašanje: Nam varnostni sistemi umetne inteligence prinašajo 100% varnost? Optimističen ali pa celo naivni odgovor bi lahko bil pritrdilen, a žal temu ni tako…. Če nič drugega, nas že zgodovina uči, da se za vsako obrambo slej ko prej najde ustrezen napad (in obratno). Tako bodo nekega dne lahko tudi sistemi umetne inteligence premagani. Verjetno bomo za to potrebovali neke druge sisteme umetne inteligence. Spopad AI varnostnih sistemov in AI hackerjev bo verjetno zelo zanimiv, a pustimo to debato za prihodnje konference.

Osredotočimo se na realne izzive današnjega časa. AI sistemi so torej zelo koristni. Potrebno pa je upoštevati določena načela oz. pravila, sicer uspeh nujno ni zagotovljen.Zgoraj smo že omenili, da so AI sistemi odlični pri zaznavanju anomalij v množici podatkov. Iz kje pa ti podatki prihajajo? Ugotovimo lahko, da zbiranje vseh možnih podatkov v IT sistemih ni nujno enostavno. Koristni podatki se nahajajo tako na delovnih postajah (oz. strežnikih) kot v omrežju. Ni pa nujno praktično ali možno pobirati podatke iz obeh. Osnovna ideja bi lahko bila, da se podatki pobirajo iz delovnih postaj, ko pa število teh postaj preseže neko mejno vrednost in ko se nam v okolju pojavljajo naprave, ki sploh niso delovne postaje, pa preidemo na pobiranje podatkov iz omrežja. A tudi pobiranje podatkov iz omrežja ni preprosto. V velikih okoljih imamo lahko veliko oddaljenih lokacij, veliko virtualnih okolij in sistemov ter veliko zaprtih delov omrežja (scada, DMZ okolja, ipd.). Na koncu pa je potrebno omeniti še spletne servise in aplikacije. Ti so mnogokrat nekako izvzete iz IT okolja. Pri zbiranju podatkov bi jih lahko hitro spregledali, čeprav so v resnici napadi mnogokrat usmerjeni ravno v te dele informacijskega sistema.

Ugotovimo, da je potrebno podatke zajemati iz različnih sistemov. V nekih okoljih se nato uporabi en sistem, v drugih drug. Včasih pa je potrebno uporabiti več sistemov hkrati.

Podjetje A1 Slovenija zagotavlja celovitost zbiranja podatkov iz IT sistema.

•  Vectra Cognito je orodje, ki je namenjen zbiranju podatkov iz omrežja. Ko zbiramo podatke iz omrežja, smo neodvisni od samih naprav v omrežju, tako da lahko zbiramo podatke tudi v tistih delih omrežja, kjer se nahajajo posebne naprave (tiskalniki, mobilne naprave, industrijske naprave, IOT naprave, ipd.). Dodatno pa Vectra Cognito s svojimi senzorji lahko zlahka pokrije vse dele omrežja, četudi promet v omrežju ni centraliziran. Senzorje lahko postavimo v tiste dele omrežja, kjer promet sploh ne doseže centralno lokacijo za zbiranje podatkov.
  
  
• Rešitev F-Secure RDR je namenjena zbiranju podatkov iz delovnih postaj in strežnikov. Zbiranje tovrstnih podatkov je še posebej koristno, ker lahko na ta način zajamemo podatke in dogajanja, še preden ta povzročijo promet v omrežju.
  
  
• Grey Wizard pa je napredna rešitev za zbiranje podatkov dostopov do spletnih servisov, spletnih aplikacij in spletnih mest.

Ko enkrat zagotovimo celovitost zbiranja podatkov, potem smo lahko bolj prepričani, da bo analiza teh podatkov res kvalitetna.

Ni pa to edini izziv. Omenili smo namreč, da je osnova delovanja sistemov umetne inteligence zaznavanje anomalij. Vsak napad bo povzročil anomalijo, tako da bo vsak napad tudi zaznan. Vendar pa ima sistem lahko zelo hitro »stranke učinke«. To so lažni alarmi. Lažni alarmi niso samo nekaj nadležnega. So ena izmed glavnih razlogov zakaj AI varnostni sistem ne bo deloval tako kot to pričakujemo. Če namreč naš sistem generira preveč alarmov, bo skrbnik slej ko prej postal imun na te alarme in napadalec bo ponovno prevzel pobudo.

Algoritmi AI torej ne smejo biti usmerjeni zgolj v zaznavanje anomalij, ampak jih moramo usmeriti tudi v razločevanje lažnih in pravih alarmov. Nič nam ne pomaga sistem, kjer nas bo vsako jutro pričakala množica nekih alarmov in opozoril. Nekdo mora v našem imenu vse te alarme prečistiti in seveda pri tem ne sme biti nenatančen. 

Praksa hitro pokaže, da je potrebno v tem delu uporabiti drugačne AI algoritme. Potrebujemo namreč tudi algoritme, ki bodo analizirali veliko število znanih napadov in nevarnih situacij. Pri tem algoritmi vedno bolj in bolj spoznavajo skrite vzorce, ki jih nato lahko uporabijo pri odgovoru na vprašanje, ali neka anomalija v danem trenutku predstavlja grožnjo ali ne. 

Dobri AI varnostni sistemi torej bazirajo na dveh sklopih algoritmov. Prvi so namenjeni zaznavanju anomalij v danem okolju. Drugi pa so namenjeni odločitvam ali anomalija predstavlja grožnjo ali ne.

AI varnostni sistemi na področje varovanja informacijskih sistemov vsekakor prinašajo veliko koristnih novosti. Vendar je od uspešnosti naslavljanja omenjenih dveh izzivov (celovitost zbiranja ter minimiziranje lažnih alarmov) odvisno ali ti sistemi dejansko prinašajo revolucijo ali pa so zgolj le še en dodaten sistem, ki jih itak imamo že preveč. Pri testiranju in primerjanju različnih AI varnostnih sistemov, bi morali biti usmerjeni predvsem v to, kako sistemi naslavljajo ta dva izziva. 

Podjetje A1 bo zgoraj omenjene teme predstavilo tudi na NTK. 

Kako ta dva izziva naslavlja F-Secure RDR sistem lahko spoznate na predavanju »How to shift cyber security to the defender´s advantage«, ki bo potekalo v sredo, 22.5. ob 15:55 do 16:55 (Adria 2).            

Hkrati pa vas isti dan vabimo tudi na predavanje z naslovom »The top security project for 2019: controlling third parties and admin access« kjer bo predstavnik partnerskega podjetja Wallix pojasnil, kako je potrebno v principe varovanja vključevati tudi dodatne varnostne sisteme, kot je na primer sistem za nadzor pomembnih in ključnih računov ter gesel (Privilege Access manager).

Obiščite nas tudi na razstavnem prostoru. Zanimivo bo!