До лише декількох років тому ВВС США все ще покладалися здебільшого на антивірусні інструменти на основі підписів для захисту кінцевих точок. Але чиновники зрозуміли, що необхідний більш досконалий підхід, щоб захистити дані та системи від хакерів та противників.
“Інструменти просто не йшли в ногу”, – каже CTO ВВС Скотт Хайтман. “Ми хотіли мати більше поглиблених сигналів. Ми хотіли переконатися, що ми консолідуємо всі ці вклади, і що ми використовуємо штучний інтелект та машинне навчання для нашої переваги рішення”.
З тих пір ВВС перейшла на платформу, яка замінює виявлення на основі підпису на аналіз поведінки в кінцевих точках, мережах та хмарних системах. Агентства по всьому уряду переїхали в останні роки, щоб прийняти інструменти захисту від кінцевої точки та управління, які використовують машинне навчання, щоб виявити ненормальну поведінку, автоматизувати реагування на загрозу та зменшити навантаження на людських аналітиків.
Клацніть на банер нижче Почати реалізацію розумнішої безпеки.
Метт Хейден, віце -президент з кібер та нових загроз у інформаційних технологіях General Dynamics, раніше працював у федеральних ролях кібербезпеки – останнім часом на посаді помічника секретаря кібер, інфраструктури, ризику та стійкості у відділі внутрішньої безпеки – і наголошує на тому, що кінцеві точки є критичним компонентом у загальній стратегії кібербезпеки агентств, особливо як нападники використовують AI, щоб запустити більш високу фірму, що випускає фірму.
“Перше, що має зробити кожне агентство, щоб бути відповідальним захисником мереж,-це пройти низьковигаючий фруктовий шлях від нападників”,-говорить Хейден. “Це включає моніторинг ноутбуків та мобільних пристроїв. Саме ті кінцеві точки користувачі вкладають свої облікові дані. Ефективне виявлення кінцевих точок автоматично виявляє загрози і блокує їх на всьому вашому підприємстві. Основою сучасної оборони є зафіксування цих кінцевих точок з самого початку”.
ML-це обов'язково для виявлення ворожої поведінки
Боб Гурлі, співзасновник та CTO консультації з кібербезпеки Ooda та колишнього CTO в Агентстві оборонної розвідки, каже, що урядові лідери кібербезпеки визнали необхідність у можливостях AI та ML в безпеці кінцевих точок ще в 1990-х роках, але перші ефективні інструменти не прийшли на ринок приблизно до десятиліття тому.
“Тоді, за останні п’ять років, відбувся щойно вибух, і всі великі гравці зараз використовують машинне навчання в обороні кінцевої точки”, – говорить Гурлі. “Microsoft Defender чудово в цьому.
“Якщо ви хочете мати будь -яку надію пом'якшити шкідливий код і виявити змагальні дії”, – додає він, “ви повинні мати рішення машинного навчання”.
Переваги інструментів ML виходять за рамки простого виявлення, каже Хейден. “Зазвичай не існує професіонал з кібербезпеки, який дивиться на кожен інцидент, який виявляє кінцева точка, в той час, коли він його виявляє”, – говорить він. “Існує набір правил, і саме тут ML починає написати додаткове сценарій. Інструмент починає вживати дії від вашого імені для розслідування”.
Heitmann зазначає, що інструменти безпеки кінцевої точки ВВС автоматично карантину та підозрілі вкладення електронної пошти та посилання. “Це все робиться зі швидкістю потреби, перш ніж користувач коли -небудь отримає шанс отримати доступ до файлу”, – говорить він.
Дізнайтеся більше: Як військові використовують мультифакторну автентифікацію в цій галузі.
ML ловлять погрози, які інші інструменти пропускають
Після прийняття інструментів ML, команда кібербезпеки ВВС зараз автоматично закриває близько 1500 квитків, говорить Хайтман. “Це було від 30 хвилин до години, щоб наші люди витрачали на кожен з цих квитків”, – зазначає він. “Ми повертаємо час авіаперевезцям, щоб зосередитись на можливостях нового покоління”.
Протягом останніх шести місяців, зазначає Хайтман, інструменти допомогли ВВС зловити два екземпляри завантажувальних навантажувачів, які зловмисники можуть використовувати для завантаження шкідливих додатків дуже рано в процесі запуску системи, надаючи їм привілейований доступ до того, як інструменти безпеки навіть зможуть активувати.
“Вам було б важко знайти завантажувач через інструмент на основі підписів, оскільки це не зловмисне програмне забезпечення”,-говорить Хайтман. “Але інструменти ML бачать файли в системі, що знаходяться поза нормою, і вони можуть виявити схему поведінки.”
Незважаючи на те, що деякі автоматизовані інструменти кібербезпеки здобули репутацію переважних організацій з помилковими тривожними сигналами, Хейден каже, що в даний час не є великою проблемою для інструментів безпеки кінцевої точки, що працюють на ML.
“Чим більше інформації у вас є, тим краще і навіть помилкові тривоги можуть вдосконалювати алгоритми, що використовуються для підтримки оркестрації та автоматизації”, – говорить він. “У 2018 та 2019 роках у вас було багато скарг на те, що люди не могли фільтрувати шум, щоб знати, що було реально, а що не було; зараз інструменти розроблені для отримання всієї цієї інформації та для того, щоб допомогти організаціям пріоритетність”.
Вибір правильного ML для свого агентства
Поки існує рух на централізацію федеральної закупівлі рішень з кібербезпеки, Гурлі каже, що агенції сьогодні все ще мають “великий голос”, якими інструментами вони використовують.
Trellix, платформа, яка використовує вдосконалений ML та AI, щоб забезпечити багатошарову захист кінцевих точок у локальних та хмарних умовах, може похвалитися тим, що його рішення використовуються у всіх трьох відділеннях влади, усіх агентств на рівні кабінету та всіх агентств оборони. Державний департамент США покладається на Tanium AEM, автономне управління кінцевими точками, що включає в себе ML та AI Insights. А в березні Федеральна адміністрація авіації придбала Enterprise Edition Fusion5, яке приносить ML, пошук природних мов та віртуальні помічники до управління кінцевою точкою.
Окрім ціни, лідери агентства повинні враховувати надійність та сумісність при виборі продукту, говорить Гурлі. Реалізація розширених рішень щодо захисту кінцевих точок, як правило, не потребує великої підготовки, додає він, але зазначає, що працівники можуть переповнюватися, якщо агенції використовують кілька платформ одночасно.
Клацніть на банер нижче для останніх федеральних ІТ та кібербезпеки.
Люди можуть навіть не усвідомлювати, що певні інструменти безпеки були придбані або включені до угод про ліцензування підприємств. “Люди змінюють роботу, або іноді вони не зовсім знають, що було придбано”, – каже він. “Поінформованість може бути дуже нерівномірною”.
Хайтман зазначає, що всі агенції перебувають у гонці, щоб загрожувати, як тільки будуть запущені напади, а інструменти безпеки кінцевої точки на основі ML допомагають їм “закрити цю петлю швидше і швидше”.
“Ми постійно налаштовуємось на основі тактики наших супротивників, а потім вони налаштовують свою тактику у відповідь”, – говорить Хайтман. “Це буксир війни, білий капелюх проти чорного капелюха. Деякі дні вони збираються наблизитися, і деякі дні ми будемо на вершині. Машинне навчання допомагає нам отримати цю перевагу”.