Kuidas kaitseksite oma kodu? Kas valiksite tugeva aia, hulga turvakaameraid tagaaeda, väga valju alarmi või liikumisdetektorid, mis tuvastaksid liikumist pimedates nurkades? Või kasutaksite kõiki neid elemente selleks, et oma kaitstavust parandada? Oma ärivõrgu turvalisuse säilitamine toimib sarnasel põhimõttel.

Turvasüsteemi kasutamine, mis põhineb ühetüübilisel tehnoloogial, on hea algus, kuid mis takistab küberkriminaale millegi väärtusliku varastamisel, kui nad avastavad võimaluse sellest mööda pääseda? Sarnaselt, kui ettevõte üritab luua usaldusväärset ja tugevat küberkaitsesüsteemi, tuleks valida lahendus, mis pakub arvukalt lisatehnoloogiaid kõrge turvastusmäära ja madala eksimuste hulgaga. Teisisõnu, tuleks valida süsteem, mis tuvastab vargaid, kuid mis ei anna häiret siis, kui naabri kass muru peale satub.

Nii pahavaraline kood kui pahatahtlik tegevus võivad esineda mitmel kujul, kuid mõlemale on omane see, et üritatakse rakendatud turvalahenduste haardest välja jääda. Pahavara loojad võivad selle eesmärgi saavutamiseks võtta ette suuri pingutusi, nende meetodid arenevad koos küberturbe arengutega.

Sellest hoolimata väidavad mõned „tõejärgsed“ müüjad, et kõigi küberohtude vastu on ettevõtetel tarvis vaid üht kaitsekihti, mis kasutab „uusimat“ masinõppealgoritmi. Nende sõnutsi pole tarvis uuendusi, pilve ega mõttetuid lisakihte. Loomulikult on selle ühekihilise lahenduse puhul tegemist nende pakutava tootega.

Hoolimata uusimatest tehisintellekti alastest saavutustest, mis on peamiselt suurte tegijate, nagu Google, Facebook ja Microsoft, töö tulemuseks, ei ole ka kõige uuemad küberturbealgoritmid võimelised olema hõbekuuliks kõigi ohtude vastu. Tegelikkuses pakuvad need vaid üht lisasammu, mis võib turvalisuse lõppväärtust mõjutada, kuid mis võib olla vastaste poolt kergesti üle trumbatud, kui lisaturvasüsteemid puuduvad.

Kuigi ühe kihi alistamine võib viia nakatumiseni, siis mitmed kihid on võimelised tuvastama pahavaralisi elemente, mis isegi modifitseerituna muudavad rünnakud keerulisemaks ja kulukamaks, nõudes neilt oma koodi muutmist, mis on töömahukas protsess.

Miks rohkem parem on?

Ettevõtete võrgud on sarnased keerulistele organismidele. Need koosnevad sõlmedest, organitest, millest igaühel on erinev roll, olulisus ja õigused. Pahavaralise tegevuse tuvastamine sellises kompleksses süsteemis võib olla töömahukas ja raske ülesanne, eriti kui turvalahendus üritab kõike ühe punkti kaudu jälgida.

On tõsi, et tugev perimeeter on suuteline äri küberturvalisust tõstma, vabastades seega lõpp-punktid pidevast vajadusest skaneerida iga eset kartuses, et tegemist võib olla pahavaraga. Siiski, kui tegemist on ainsa kaitsebarjääriga, millest ründajad jagu peavad saama, siis ei takista nende edasist tegevust miski.

Pidage meeles, kaitselahendustest möödapääsemine on küberkriminaali igapäevane töö ning nii nagu korduvalt on tõestatud, siis igast programmist või süsteemist on piisava pingutuse korral võimalik mööda pääseda, hulk muid tehnoloogiaid peavad hilisemal hetkel või kindlas olukorras tegutsema.

Seega, isegi kui pahavara on e-posti kaudu tuvastamise jaoks liiga osav, siis ei tähenda see seda, et seda võidaks hiljem mitte blokeerida või kustutada, kui see üritab süsteemi mälus segadust tekitada. Sama kehtib pahatahtliku koodi kohta, mis panustab viitele oma petturlikus tegevuses selleks, et vältida tuvastamist, säilides isegi mitmeid kuid spetsiifilises failitüübis, et hiljem käivitada pahatahtlikud protsessid.

Isegi tarka masinat on võimalik petta

Paljud tõejärgsed edasimüüjad väidavad, et nende lahendused töötavad teistsugusel alusel. Nad väidavad, et nende masinõppe lahendused on suutelised lokaalselt õppima ja tuvastama ründajate poolt kasutatud tehnikaid. Tõsi on see, et enamik küberkriminaalseid meetodeid arenevad edasi ning võivad olla piisavalt keerulised selleks, et petta ka kõige uuemaid „tarku masinaid“.

Nimetamaks vaid mõnda näidet, vaatame steganograafiat. Ründajad peavad vaid kasutama pahavaralist koodi ja smugeldama selle süütute failidena, nagu failid, süsteemi. Mattes need sügavale a piksli seadetesse, on võimalik (nakatunud) failiga masinat petta, mis on nüüd pea äratundmatu algse versiooniga võrreldes.

Sarnaselt võib ka fragmentatsioon viia selleni, et tuvastusalgoritm annab ebakorrektse hinnangu. Ründajad jagavad pahavara osadeks ja peidavad selle mitmesse erinevasse faili. Igaüks neist on eraldi võetuna puhas fail, kuid hetkel kui nad lõpp-punktis või võrgus kokku saavad, hakkavad failid näitama välja oma pahavaralist iseloomu.

Ühe jälgimiskihi kasutamise korral võib säärane tegevus tähelepanuta jääda, sest „tark“ algoritm vajaks keerulisemaid vaatlussüsteeme selleks, et kogu probleemi märgata. Mitme tehnoloogia kasutamisel, kombineerides globaalset konteksti ja vastavaid uuendusi, on võimalik pakkuda vajalikku „suurt pilti“ ja edukalt blokeerida isegi uusi ja keerulisi ründekatseid.

Miks neid tehnikaid mitte blokeerida?

Kuigi ülalkirjeldatud lähenemist on võimalik pahatahtlikel eesmärkidel kasutada, on tegemist täiesti legitiimse lahendusega muudes kontekstides. Iga äriklient on erinev ja lõpp-punktidel võib olla väga erinevaid seadeid. Mõned ettevõtted näiteks kasutavad tarkvara või faile, mis näevad välja kahtlased, kuid on oma eesmärkide täitmisel täiesti legitiimsed.

Muidugi, olles väike turbetarkvara edasimüüja, kellel on kasutajabaas, mille suurus kümme- või sadakond tuhat lõpp-punkti, on võimalik nende väheste kasutajatega nende probleemide korral personaalselt ühendust võtta. Kuid mis siis, kui neid kasutajaid on kümneid või sadu miljoneid?

 

Vaid aastatepikkune kogemus ja testimine eesmärgiga iga äriklientide grupi jaoks pakkuda peenhäälestatud lahendust võimaldab pakkuda parimat teenust. Sarnaselt on tarvis aastatepikkuseid investeeringuid selleks, et luua kaitsekihid, mis proaktiivselt aitaksid küberkriminaale üle kavaldada ja kaitsta tänapäevaseid internetikasutajaid.

Küberturbeanalüütikud on samuti hakanud nägema probleeme vaid ühe kaitsetehnoloogia kasutamisega, soovitades olla ettevaatlik „järgmise põlvkonna“ ja end tõestanud müüjatega, öeldes, et esimene täiendab teist, kuid ei asenda seda.

Kogu seeria:
1.     Juhtkiri: Küberjulgeoleku reaalsuse abil tõejärgsusega võitlemine
2.    Mis on masinõpe ja tehisintellekt?
3.    Kõige sagedasemad valearusaamad masinõppe ja tehisintelligentsi kohta
4.    Miks masinõppepõhine turvalisus intelligentseid vastaseid ei hirmuta
5.    Miks üherealisest küberkaitsest ei piisa – isegi kui tegu on masinõppega
6.    Kummituste tagaajamine: kõrge valepositiivsuse määra tegelik hind küberjulgeolekus
7.    Kuidas värskendused teie turvalahenduse tugevamaks muudavad
8.    Me tunneme masinõpet – oleme seda juba üle kümne aasta kasutanud

Loodame, et teile see seeria meeldib.

Panuse on andnud Jakub Debski & Peter Kosinar

Allikas: WeLiveSecurity