安全性的完美风暴
由于Cyber Security的焦点从独自防止威胁到检测和响应,因此Joshua Neil的主要数据科学家介绍了Microsoft的Windows Demender高级威胁保护,数据科学在扮演越来越重要的作用。
“我已经观看了从其早期应用于网络安全的数据驱动方法的演变,我很高兴成为那个革命的一部分,”他每周告诉电脑,并补充说这种方法正在获得所有必要的动力和功效。潜在的技术可用。
在过去的几年里,尼尔表示,使用布尔逻辑的启发式方法开始对编码刚性规则集来迅速进入,以匹配针对威胁数据的众所周知的攻击行为。
“但在那些早期的日子里,我们被击败 - 因为它很容易围绕这些基于启发式的防御 - 但是数据科学引入了一种更普遍的方法,这更难以避免或创新在防御之外,因为我们正在问更一般和行为问题。“
Neil表示,数据驱动的网络安全方法已经走了很长的路,因为他开始在美国洛斯阿拉莫国家实验室的统计学家工作,在那里他在网络安全中使用了数据驱动的方法来调查,重点针对企业内部对手的侧向运动。
这种类型的活动通常仅在通过强化手动努力和昂贵的法医调查发生攻击后才能轻。
“在2000年代初,我们意识到首先,我们需要对企业的可见性,但现在只有行业才能提供使能够在自动化方面找到恶意活动所需的高质量数据的工具和技术, “尼尔说。
现在,它最终可以看到高分辨率和大规模的网络,以及使用端点检测和响应(EDR)系统捕获数据。
“已经给了我们所需的可见性和数据,现在我们也需要分析该数据所需的云基础架构。所有这些启用技术都必须平行获得,以使我们能够以2000年代初不可能的方式生效[与数据科学]有效。“
尼尔说,尼尔的干预年度很难,因为那些已经实现了数据科学的人,如果应用于网络安全,那么尚未这样做。
“那些在我们所需要的人来看,我们需要很多耐心,等待我们需要的地方,等待这种技术,并且现在是如此令人兴奋,”他说。
尼尔表示,加入微软18个月前,这是他的数据科学事业的重要一步。“最后,在20年后,我在一家公司,企业知名度和云计算,我需要做我的工作并产生我所知道的影响[用正确的工具]。”
结果,尼尔表示,数据驱动数据安全方法的企业之间存在更多的认可,但这一切并不同样了解。
“这种方法是最好的高风险行业,如金融服务业,其中一些最大的公司甚至开始建立自己的网络数据科学团队,这些团队正在收集和分析数据,以帮助改善网络保护。”
然而,在许多情况下,尼尔表示,这些组织意识到这一点是一个挑战性和昂贵的事情,或者他们并没有意识到网络安全的数据科学的全部潜力,因为他们的数据科学家往往是网络安全性的新手,往往孤立地工作。
他说,正确应用,数据科学正在帮助改善网络安全功能,突破和后期。
“在突破性背景下,数据科学在使组织能够通过使用监督机器学习技术来识别恶意代码来提取巨大贡献,以从孤立的环境中从可疑可执行文件中提取行为特征。”
这种方法意味着组织不再依赖于基于签名的恶意软件检测,使恶意软件作者更加困难以逃避检测。
据说,破裂后,异常检测是数据科学最成功的应用之一。“一旦攻击者在企业内,他们就像用户一样。它们正在使用有效的凭据来访问系统和数据,并且他们正在窃取使用内置系统工具的数据,使得难以检测。“
他说,异常检测,使用数据科学家设计的自学模型来了解企业内的“正常”行为。
“这可能是非常高分辨率的。每个用户的凭证行为都是建模的,并且网络上的每个通信计算机之间的行为都是为任何给定企业创建数亿模型,以识别异常 - 且可能的恶意活动。
“监督机器学习前违规和异常检测或统计方法突破后我认为我们认为我们在检测方面做出了最佳贡献的两个大领域,”尼尔说。
数据科学的另一个主要贡献是通过自动方法描述攻击的程度。“检测和响应齐头并进,因此我们越多,我们就可以在检测方面进行攻击的程度,我们越可以加速响应。”
数据科学家也在自动回复领域工作,但尼尔在这方面表示,它是“仍在早期”,自动响应仍然高度依赖于检测能力。
“在开始关闭机器之前,您需要非常肯定您的检测,因为这对于企业非常昂贵,因此这是一个真正的挑战。
“但是,正在进行进度,Microsoft拥有部署的一些自动响应系统。但我们对此非常小心。自动回复是一个非常长期的目标。无论炒作如何,它都需要多年的时间来完全实现这一目标。“
也就是说,尼尔认为很多手册,由资助的攻击者团队的人类驱动的网络攻击将开始被更换。“我认为我们将开始使用自动化决策的攻击者。”
这反过来又将为捍卫者创造机会,以便编写自己的攻击机器人,这些攻击机器可以用于微调其自动防御。“我们可以在对手之前玩这个攻击比赛。”
最终,尼尔认为人工智能(AI)机器人将在防御和冒犯中使用而没有很多人类参与。“这可能是一种祝福或防守诅咒,但肯定的一件事是事情的状态正在发生变化,而且它的变化很快,”他说。