Примечание редактора. Васудха будет ведущим предстоящей конференции ODSC East 2019, которая пройдет с 30 апреля по 3 мая в Бостоне! Ознакомьтесь с ее докладом «Обнаружение инцидентов кибербезопасности с помощью машинного обучения» здесь.

Утечки данных представляют собой растущую угрозу как для компаний, так и для потребителей. Для отдельных лиц нарушения могут привести к разглашению частной информации о потребителе, такой как номера кредитных карт и медицинские записи, а также личные идентификаторы, такие как домашние адреса и номера социального страхования. Многие люди, к сожалению, знакомы с долговременными последствиями для их кредита и частной жизни.

[Содержание по теме: 20 бесплатных ресурсов ODSC для изучения машинного обучения]

Для компаний утечка данных может означать публичную публикацию конфиденциальной финансовой информации, коммерческой тайны и данных клиентов, что приводит к огромным штрафам и ущербу для бренда. Поэтому многие компании заинтересованы в обнаружении и предотвращении нарушений по мере их возникновения. Для этого нам нужны способы выявления несанкционированной передачи данных с сервера или компьютера, известные как эксфильтрация данных.

Инцидент с утечкой данных начинается с точки входа в сеть компании с использованием, например, фишинговых писем или уязвимостей в корпоративных сетях. Оказавшись внутри, злоумышленник затем ищет данные и начинает их агрегировать. В большинстве компаний есть сигнализация, которая сигнализирует о подозрительной активности. Чтобы избежать срабатывания этих сигналов тревоги, злоумышленник медленно проходит этот этап и может потратить недели или месяцы на тихий сбор информации. Когда сбор данных завершен, злоумышленник передает данные из сети во внешнее место назначения. Зрелые злоумышленники часто стирают за собой следы своей деятельности, так что компании могут не понять, что взлом произошел даже постфактум.

[Статья по теме: Технический взгляд на то, как преступники используют ИИ]

Что мы можем сделать, чтобы оставаться в безопасности?

Что потребуется для обнаружения инцидентов с утечкой данных до того, как данные покинут сеть? Прямой подход заключался бы в поиске необычной агрегации данных. Одним из примеров является доступ компьютера к данным, выходящим за рамки его функций, например к техническому счету, собирающему данные о доходах. Еще одним признаком может быть папка на определенной машине, которая постоянно увеличивается в течение определенного периода времени. Перехват таких флагов поможет сетевому администратору принять превентивные меры, но соответствующие данные редко собираются.

А пока компании все больше заинтересованы в выявлении инцидентов на этапе передачи данных. Это означает обнаружение атаки постфактум, а не ее прямое предотвращение, но позволит пострадавшей компании начать восстановление. Сеть обычно имеет огромный объем исходящего трафика, подавляющее большинство которого является законным и не вызывает беспокойства. Выявление вредоносных передач из этого потока, избегая при этом ложных срабатываний, является проблемой для создания детектора эксфильтрации.

Вставьте машинное обучение в качестве полезного инструмента в этой ситуации. Обнаружение аномалий может автоматизировать поиск выбросов и выделить подмножество трафика, которое требует дальнейшего изучения. Существует несколько способов повысить точность получаемых предупреждений. Мы изучили, как использовать статистические свойства самого трафика, чтобы лучше определять типичное поведение в сети, а также как использовать контекстную информацию о повторяющемся поведении, которое не требует пометки. Для полного обсуждения методов и результатов ознакомьтесь с моим выступлением на ODSC East 2019!

Об авторе: Васудха Шивамогги — старший специалист по данным в Rapid7, компании, занимающейся кибербезопасностью, со штаб-квартирой в Бостоне. Она разрабатывает прогностические модели, чтобы лучше понять природу угроз безопасности и уязвимостей, и работает над автоматизированными способами выявления кибератак. Она имеет докторскую степень по физике Калифорнийского университета в Беркли и степень бакалавра по физике Массачусетского технологического института. Подключайтесь к LinkedIn: https://www.linkedin.com/in/vasudha-shivamoggi-756a527b/ и узнайте больше о Rapid7 здесь: https://www.rapid7.com/research/