למידת מכונה – לא פתרון קסם לאבטחה

אלכס וויסטיך, מנהל טכנולוגיות ראשי ומייסד משותף ב-SecBI, מסביר על היחסים המורכבים שבין אבטחת סייבר ולמידת מכונה

09/08/2018 12:08
אלכס וויסטיך, מנהל טכנולוגיות ראשי ומייסד משותף בחברת אבטחת הסייבר SecBI. צילום: בטי קסטנבוים

זיהוי חריגים המבוסס על למידת מכונה הוכתר כפתרון הקסם לחוסר היעילות של פתרונות לזיהוי חתימות במערכות אנטי ווירוס. אך לעתים הוא הופך את עבודתו של אנליסט האבטחה לקשה יותר. אם למידת מכונה היא זיהוי חריגים טהור בלבד, היא יוצרת התראות רבות שרובן שגויות ומנותקות מכל הקשר. אם מתקינים פתרון שכל מטרתו היא לזהות שדבר לא נורמלי מתרחש, הוא יפיק אלפי התראות שיחייבו את אנליסט האבטחה לבדוק מספר גדול יותר של אירועים ולעבוד קשה יותר מאשר בעבר.

יתרה מכך, צריך לזכור שלא כל האלגוריתמים נולדו שווים. אם נשווה את מנועי החיפוש של גוגל (Google) לבינג (bing) של מיקרוסופט (Microsoft), נגלה שהשונות בתוצאות החיפוש נובעת מהחוזקות היחסיות של האלגוריתמים שבהן עושה שימוש כל מנוע. באבטחת סייבר נדרשות שנים של מחקר לפיתוח אלגוריתמים שמותאמים לסייע לאנליסטים של אבטחה לבצע את עבודתם בצורה יעילה יותר.

בדומה לכך, יש יותר מסוג אחד של למידת מכונה. חלק ניכר ממה שנתפש בתעשייה כלמידת מכונה הוא למעשה למידת מכונה מונחית (Supervised) שמבוססת על משוב ידני אנושי. במרוץ החימוש המתחולל בעולם הסייבר התפתחויות מתרחשות תוך מילי שניות והן הופכות את גישת למידת המכונה המונחית  לבלתי מדויקת, מוגבלת ביכולת הפריסה ותלויה במשאב האנושי. מצד שני, למידת מכונה בלתי מונחית  (Unsupervised) לא מסתפקת בזיהוי חריגים: היא מנתחת אותם כדי להחליט האם הם מעידים על מתקפה ובשלב הבא מקבצת את כל ההוכחות הרלבנטיות באופן שמשחרר את האנאליסט מתחקור הנתונים במשך שעות ארוכות.

מכונה שמסוגלת לנטר את כל הווקטורים של חדירות ולסכם את הממצאים

כדי להתמודד עם איומים באופן יעיל, עסקים נדרשים למספר מרכיבים: נראות למתרחש במרחב האיומים, כלי ניתוח לדברים שנצפו ויכולת לנקוט בצעדים הנדרשים. אוטומציה היא מרכיב מפתח אך מה שבאמת נדרש היא מכונה שמסוגלת לנטר את כל הווקטורים של חדירות ולסכם את הממצאים ולא רק להרים דגל בכל פעם שזוהתה חריגה.

אפשר להשוות זאת לסוגים שונים של מצלמות ווידיאו ליישומי מעקב. מצלמות הדור הקודם  הפיקו התראה בכל פעם שזוהתה תנועה או קול ועל כן שיגרו אלפי התראות ביום.  מצלמות המעקב החדישות מצוידות כיום באלגוריתם למידת מכונה שמאפשר להבחין בין סוגי האובייקטים ולספק, לדוגמה, התראות מדויקות כשמצולם אדם בעל פנים לא מזוהות או מכוניות  ולהתעלם מכלבים, חתולים וכדומה. זיהוי פנים הוא למידת מכונה, אך שיגור התראות כל פעם שיש תנועה הוא לא יותר מזיהוי חריגים שמציף במידע במקום למקד את המשתמש באירועים בעלי פוטנציאל סכנה.

אבטחה אפקטיבית של ארגון תלויה לא רק בלמידת מכונה בלתי מונחית אלא גם ביישום חכם של מערכות אימות (Authentication) ומערכות אישור (Authorization) לפעולות קריטיות של משתמשים בנתונים. אם עובד ביצע אימות בכניסה מרחוק לארגון הרי שמנקודה זו ואילך יש לו גישה חופשית לארגון על בסיס אימות חד פעמי. מרבית העסקים מבינים כי אימות בכניסה לVPN אינו מספיק ויש לבצע אימות גם בגישה לנתונים. אך כל מה שהם עושים לתקן זאת הוא לדרוש מהמשתמש אימות נוסף. רבים ממנהלי האבטחה עושים טעות זו. אין לבלבל בין אימות לבין אישור גישה ואין לתת לעובדים גישה לכל מערכת הנתונים. יש לנקוט מדיניות של גישה מינימאלית ולאפשר לעובדים גישה אך ורק לנתונים הנדרשים לביצוע המשימות הספציפיות שלהם.

 ארגונים רבים אינם מודעים למלוא מרחב המתקפה הפוטנציאלי נגדם

ולבסוף, ארגונים רבים אינם מודעים למלוא מרחב המתקפה הפוטנציאלי נגדם. לדוגמה, אם האקר מוצא פרצת אבטחה במצלמת ווידאו או במדפסת המחוברים לרשת, הרי שיש לו גישה  לכל מערכות המידע. מנהלי אבטחה רבים אינם מגנים על ציוד קצה היקפי שנתפש לעתים כשולי ברשת, אך הפקרתו חושפת את העסק למלוא העוצמה של מתקפת סייבר מתוחכמת.

מערכות אבטחה חדישות אינן פתרון קסם ועצם התקנתן אינה מבטיחה שיפור ברמת האבטחה. יתירה מכך, לעתים מערכות חדישות יוצרות בעיות חדשות שהארגון אינו מודע להן ויש בהן אף נסיגה ברמת האבטחה. כל אלה מחייבים הבנה מערכתית והוכחה אמפירית כי הפתרונות החדשים אכן מניבים שיפור ברמת האבטחה ולא, חלילה, נסיגה בפועל בהגנה על הארגון.

ארגון שחותר לשפר את רמת האבטחה שלו בפני מתקפות סייבר צריך לוודא תחילה שהוא מבין את פוטנציאל האיום לאור יכולותיו הפנימיות על מנת לוודא שהוא בוחר בפתרון הנכון. לדוגמה, ארגון שמפעיל מספר גדול של שרתים במתחם שלו (on-premise) צריך להשקיע בפתרון שישמר את תקינותו של הפיירוול ויגביל את פוטנציאל האיומים. ארגון בגודל בינוני שמפעיל מדיניות מחמירה של בקרת כניסה למחשבים ניידים של עובדיו צריך לשקול פתרון תגובתי לנקודות קצה (EDR) שאוכף מדיניות אבטחה על מחשבים ניידים ומכשירי קצה אחרים. ארגון גדול שמעסיק עובדים מבוזרים במגוון אזורים גיאוגרפיים צריך להשקיע בפתרון חדשני בעל יכולת פריסה רחבה לאנליזה של תעבורת הרשת, כמו זה שפותח על ידי SecBI. פתרון מסוג זה יספק נראות עמוקה ביותר בעלות מינימאלית של פריסה.

שלושת סוגי הפתרונות הללו מביאים בחשבון כי קשה לגייס כיום אנליסטים נוספים בעלי ניסיון באבטחת סייבר והם מעידים על הצורך החריף לשלב למידת מכונה שתהפוך את צוות הסייבר הקיים להרבה יותר יעיל.   

הכותב הוא אלכס וויסטיך,  מנהל טכנולוגיות ראשי ומייסד משותף בחברת אבטחת הסייבר SecBI

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים