Kāpēc nav iespējams pilnībā automatizēt datu aizsardzību
Cilvēkfaktors vienlaikus ir datu aizsardzības vājība un spēks. Augsta līmeņa datu aizsardzības eksperts, „Kaspersky” Drošības vadības centra vadītājs Sergejs Soldatovs skaidro cilvēka līdzdalības svarīgumu praktiskajā datu aizsardzībā.
Nav noslēpums, ka datu aizsardzība izmaksā ļoti dārgi. 2021. gadā lieluzņēmumu vidējais IT aizsardzības budžets bija 11,4 miljoni ASV dolāru, bet MVU — 267 tūkstoši ASV dolāru.
Savukārt nepietiekami aizsardzības pasākumi var izraisīt postošas sekas un būtiski ietekmēt uzņēmuma reputāciju un budžetu. Piemēram, datu aizsardzības pārkāpums lielām organizācijām vidēji izmaksā 927 tūkstošus ASV dolāru, un pēc šāda incidenta uzņēmums var zaudēt pat pusi klientu.
Šāda situācija izraisa dilemmu: no vienas puses, uzņēmumi labprāt atrastu risinājumu, kas samazina datu aizsardzības budžetu, bet, no otras puses, kļūdas izmaksas, šajā jomā ieviešot jaunus un lētākus rīkus, ir pārāk augstas. Viena izeja ir automātiska incidentu novēršana — labs risinājums, kas var samazināt izmaksas un izslēgt cilvēka kļūdas faktoru. Turklāt ļaudis tiecas vairāk uzticēties mākslīgajam intelektam nekā kolēģim.
Tomēr praksē efektīva datu aizsardzība ir iespējama, vienīgi apvienojot automatizētus risinājumus un cilvēka pūliņus. Kāpēc tā?
Pirmkārt, kibernoziegumus veic cilvēki. Tāpat kā mēs visi, arī viņi var pieņemt lēmumus, pamatojoties uz dažādu kognitīvo procesu apvienojumu, un ātri pielāgoties videi. Uzbrucēji nepārtraukti izdomā jaunus veidus, kā apiet aizsardzības sistēmas, izgudro un ievieš jaunas sarežģītas uzbrukumu taktikas un aktīvi izmanto ļaužu vājās vietas, lai piekļūtu uzņēmumu infrastruktūrai. Pat vispilnīgākais mākslīgais intelekts te nespēj cīnīties ar daudzām ļaunprātīgajām darbībām, jo tas darbojas, pamatojoties uz iepriekš iegūto un apgūto pieredzi.
Aplūkosim vairākus datu aizsardzības paņēmienus, kam ir nepieciešama cilvēka līdzdalība.
Sarežģītu apdraudējumu noteikšana
Pat visrūpīgāk noregulētie sensori nevar pamanīt iepriekš nezināmas ļaunprātīgas darbības, jo šādi uzbrukumi parasti sastāv no vairākām atsevišķām un leģitīmām darbībām, ko var viegli sajaukt ar sistēmas administratora vai parastām lietotāja darbībām. Bezdatņu uzbrukumi, intensīva LOLBAS (Living Off the Land Binaries and Scripts) rīku izmantošana, izpildlaika šifrēšana, lejupielādētāji un iesaiņotāji — tas viss tiek plaši [1] izmantots, lai palīdzētu uzbrucējiem apiet drošības risinājumus un kontroles līdzekļus.
Arī mākslīgajam intelektam, kas analizē sensoru telemetrijas datus, ir ierobežojumi: tas nevar ievākt un apstrādāt visus iespējamos datus vai darbības, kas notiek dažādos laikos. Pat ja tas būtu iespējams, pastāv vēl viena problēma — situācijas izpratne. Šis termins attiecas uz informācijas pieejamību par visiem infrastruktūrā pašlaik notiekošajiem procesiem. Visvienkāršākais piemērs — kad mākslīgais intelekts novēro to, ko uzskata par cilvēka vadītu sarežģītu mērķuzbrukumu, bet patiesībā izrādās, ka speciālists veic pētījumu. To var noskaidrot, tikai sazinoties ar klientu, piemēram, pa tālruni. Situācijas izpratne ir izšķirīgi svarīga, lai īstus incidentus atšķirtu no tādām kļūdainām trauksmēm kā šī neatkarīgi no tā, vai trauksmes loģika ir balstīta uz noteiktu uzbrukuma paņēmiena uzvedības modeli vai anomāliju analīzi.
Tas nenozīmē, ka mākslīgais intelekts ir neefektīvs apdraudējumu noteikšanas jomā. Patiesībā tas spēj sekmīgi apkarot 100 % zināmo apdraudējumu un, ja tas ir pareizi konfigurēts, var ievērojami samazināt analītiķu noslodzi. Uzņēmumā „Kaspersky” mēs savam pārvaldītas noteikšanas un reaģēšanas pakalpojumam esam izstrādājuši mašīnmācīšanās analītiķi. Tas ir uzraudzīts mašīnmācīšanās algoritms, kas izmanto iezīmētus vēsturiskos datus, lai sākotnēji klasificētu trauksmes – kļūdainās vai īstās. Tas sākumā apstrādā visus trauksmes signālus no aizsargājamajiem aktīviem. Mazliet vairāk nekā trešdaļa algoritma klasificēto darbību izrādās kļūdainas, un viss, kas pārsniedz šo slieksni vai norādīto filtrēšanas noteikumu, tiek nosūtīts pārbaudei uz drošības analītiķu nodaļu. Pēc tam kāds no šīs nodaļas novērtē katru trauksmi, izmantojot konkrētajai situācijai piemērotas papildu metodes un datus, ko mākslīgais intelekts varbūt nav izmantojis. Kad cilvēki analītiķi atrod veidu, kā atrisināt problēmu, viņi informē mašīnmācīšanās analītiķi, lai nākamreiz problēma mākslīgajam intelektam nesagādātu grūtības.
Šāda apvienotu pūliņu metode prasa speciālas prasmes, augstākās kvalitātes analītiķu kompetenci un nepārtrauktu algoritma koriģēšanu. Labā ziņa: tas ļauj drošības nodaļām tikt galā pat ar visbīstamākajām situācijām, piemēram, slaveno ievainojamības „PrintNightmare” izmantošanu vai „MuddyWater” sarežģīto mērķuzbrukumu, un informēt citus par šīm vērtīgajām noteikšanas shēmām.
Kad tiek identificēti jauni apdraudējumi, ir arī nepieciešama proaktīva manuāla apdraudējumu meklēšana. Tādā veidā drošības nodaļa var sameklēt apdraudējumus, kas palikuši neatklāti, bet joprojām ir aktīvi uzņēmuma infrastruktūrā. Proaktīva apdraudējumu meklēšana ļauj organizācijai noteikt pašreizējās kibernoziedzīgās un kiberspiegošanas darbības tīklā, izprast šo incidentu cēloņus un iespējamos avotus, kā arī efektīvi plānot ietekmes mazināšanas pasākumus, kas palīdzēs izvairīties no līdzīgiem uzbrukumiem.
Vārdu sakot, analītiķiem ir nepārtraukti jākoriģē un no jauna jāmāca mākslīgajā intelektā balstītais algoritms, lai tas spētu atrast jaunus apdraudējumus, kā arī pārbaudīt uzlabojumu efektivitāti.
Padziļināts aizsardzības novērtējums
Novērtējums ir izšķirīgi svarīgs, lai iegūtu detalizētu priekšstatu par uzņēmuma gatavību aizsargāt datus. Protams, šim nolūkam ir izstrādāti automatizēti risinājumi. Piemēram, plaši pazīstamu ievainojamību novērtējums var palīdzēt atrast publiski zināmas ievainojamības stingri noteiktā sistēmu kopumā. Taču šis pakalpojums izmanto jau zināmu drošības problēmu datubāzi, bet nevar pārbaudīt aizsardzības sistēmas noturību pret sarežģītiem uzbrukumiem un ļaundaru nestandarta uzvedību.
Lai nodrošinātu, ka uzņēmums spēj sevi aizsargāt, ir jāievieš padziļināti novērtēšanas procesi. Piemēram, pakalpojumi, kuri var faktiski imitēt kiberuzbrukumu, piemēram, ielaušanās un pretinieka grupas testēšana, kas pārsvarā ir manuāli un pamatojas uz speciālista zināšanām un pieredzi. Šīs metodes izmanto paņēmienu, taktiku un procedūru apvienojumu un pielāgojas uzņēmuma specifiskajām datu aizsardzības iespējām, imitējot reālu uzbrucēju uzvedību.
Drošības izpratne
Pētījumi liecina, ka vidēji organizācija katru gadu saskaras ar vairāk nekā 700 sociālās inženierijas uzbrukumiem. Turklāt vājas paroles un pikšķerēšanas e-vēstules joprojām ir populārāko sākotnējo uzbrukuma kanālu vidū. Uzbrucēji seko līdzi tendencēm un rīkojas kā labi psihologi. Varat būt drošs, ka ļaundari izmantos katru ierosinātāju, sākot no pandēmijas līdz Kanjes Vesta jaunajam albumam, lai savu mērķu sasniegšanai piesaistītu potenciālā upura uzmanību ar pikšķerēšanas e-vēstuļu un ļaunprātīgu vietņu palīdzību.
Kibernoziedznieki ir radoši, tāpēc organizācijas aizsardzības nodaļa nevar pilnīgi atteikties no drošības izpratnes procesiem. Uzņēmuma darbiniekiem ir jābūt skaidrai izpratnei par datu aizsardzības politiku svarīgumu, kā arī savas rīcības sekām. Tāpēc nepietiek tikai izstrādāt izpratnes rokasgrāmatu vai testu, kas tiek izmantots vienīgi jaunu darbinieku pieņemšanai darbā. IT drošības nodaļai ir jāseko līdzi savas aizsardzības izglītības atbilstībai un jāievieš jaunas un nestandarta metodes, kā sniegt kolēģiem izšķirīgi svarīgu informāciju. Cits veids, kā atrisināt šo problēmu, ir izmantot šīm darbībām profesionālas drošības izpratnes mācību grupas ārpakalpojumu, kas nodrošina regulāru informācijas atjaunināšanu un sniedz aizraujošu mācību pieredzi.
Neviens neapgalvo, ka drošības nodaļām ir jāatsakās no automatizācijas vai ar plikām rokām jācīnās pret kibernoziedzniekiem. It sevišķi tāpēc, ka uzbrucēji cenšas būt pēc iespējas efektīvāki, bieži vien ķeroties pie automatizētiem risinājumiem, izmantojot mašīnmācīšanos, lai ievāktu informāciju par potenciālajiem upuriem, pārlasot paroles un atrodot ievainojamības ar nejaušu datu norādīšanas, izkliedēto pakalpojumatteices uzbrukumu, ļaunprogrammatūru izstrādes un tamlīdzīgu līdzekļu palīdzību.
Tas nozīmē, ka ir jāizvēlas vidusceļš. Visaptverošu datu aizsardzību var nodrošināt tikai pārdomāts automatizēto risinājumu apvienojums ar cilvēka jaunradi, prasmēm un kontroli.
Par „Kaspersky”
„Kaspersky” ir starptautisks kiberdrošības un digitālās informācijas aizsardzības uzņēmums, kas dibināts 1997. gadā. „Kaspersky” dziļā draudu pazīšana un drošības zināšanas nepārtraukti pārtop inovatīvos drošības risinājumos un pakalpojumos, lai aizsargātu uzņēmumus, izšķirīgi svarīgas infrastruktūras, valdības un patērētājus visā pasaulē. Uzņēmuma visaptverošajā drošības klāstā ietilpst labākā galiekārtu aizsardzība un vairāki specializēti drošības risinājumi un pakalpojumi cīņai ar sarežģītiem un mainīgiem digitālajiem apdraudējumiem. Vairāk nekā 400 miljoni lietotāju ir aizsargāti ar „Kaspersky” tehnoloģijām, un mēs palīdzam 240 tūkstošiem korporatīvo klientu aizsargāt to, kas viņiem ir vissvarīgākais.
[1] Reaģēšanas uz incidentiem analītiķu 2021. gada pārskats liecina, ka 44 % izmeklēto uzbrukumu bija saistīti ar leģitīmiem rīkiem.
