Полезные знания Darktrace-утечка данных (одна история)

ДИССИДЕНТ
Valerun

Valerun

Гуру проекта
Ветеран пробива
УВАЖАЕМЫЙ
Private Club
Старожил
Регистрация
12/10/15
Сообщения
22.592
Репутация
19.450
Реакции
143.482
RUB
0
Сделок через гаранта
4
Некоторое время в 2017 году казино в Северной Америке наняло британскую компанию по кибербезопасности Darktrace, рассказав о утечке данных. Большинство фирм по кибербезопасности обещают заблокировать проникновение внешних организаций в вашу организацию, но Darktrace, основанная бывшими оперативниками MI5 и математиками из Кембриджа, применяет более тонкий подход. Он использует машинное обучение, чтобы узнать компанию изнутри - достаточно хорошо, чтобы он мог заметить любое отклонение от обычной модели повседневной работы. Когда система обнаруживает что-то подозрительное, это предупреждает компанию.

Darktrace обычно говорит своим клиентам не ожидать много полезной информации в течение первой недели или около того, когда его алгоритмы заняты изучением. В этом случае, однако, система почти сразу же сообщила о чем-то странном: утечка данных из аквариума. Казино недавно установило аквариум как аттракцион для гостей. У него были электронные датчики, которые связывались с компанией, занимающейся обслуживанием резервуаров, так что, если вода опустится ниже определенной температуры, кто-то будет отправлен для решения проблемы. Darktrace отметила, что более 10 ГБ данных было передано через резервуар на внешнее устройство, с которым не связывалось ни одно другое устройство компании. Злоумышленник в Финляндии нашел точку входа в предположительно хорошо защищенную цитадель.

Как ни странно, история аквариума обнадеживающе знакома. Мы привыкли к мысли, что есть плохие актеры, пытающиеся взломать компании и правительства. Но на самом деле многие из угроз, раскрываемых Darktrace, совершаются доверенными людьми внутри организации. «Инциденты, от которых у меня отвисает челюсть, действительно дерзкие, как правило, затрагивают сотрудников», - говорит Дейв Палмер, соучредитель и директор по технологиям в Darktrace. Он рассказал мне об одном случае с итальянским банком, который обнаружил после установки системы Darktrace, что компьютеры в его дата-центре были необычно активны. В конце концов, они были обнаружены под фальшполом (центры обработки данных имеют фальшполы для циркуляции воздуха). Члены ИТ-команды банка выкачивали новые компьютеры, скрывали их и использовали для майнинга биткойнов. Это был не единственный случай: в другой компании, исполнительный создал сайт порно, в комплекте с системой биллинга, от своего офисного компьютера. В другом случае старший сотрудник ритейлера отправлял данные кредитной карты клиента на сайт в темной сети.
Понятие внутренней угрозы стало горячей темой среди тех, чья работа заключается в защите организаций от цифровой преступности. «Если бы я был начальником службы безопасности, мои собственные сотрудники были бы тем, что не давало мне спать по ночам», - говорит Джастин Файер, директор по киберразведке и аналитике Darktrace. Фирмы, занимающиеся кибербезопасностью, отводят взгляд от горизонта и возвращаются к самой цитадели. Это представляет собой огромный сдвиг в том, как менеджеры думают о целостности своих организаций. Сотрудники должны привыкнуть к мысли, что они могут быть одним ложным шагом от того, чтобы считаться вредоносным ПО для человека.

В 1988 году Роберт Моррис, аспирант Корнелльского университета в Нью-Йорке, решил измерить размер интернета, написав программу, способную проникать в различные сети. Червь, выпущенный им с серверов Массачусетского технологического института (MIT), оказал воздействие, которого он не ожидал. Он распространялся агрессивно и быстро, оставляя свои копии на хост-компьютерах и перегружая системы. Невольно Моррис создал червя, который разрушил большую часть зарождающегося интернета, затронув сотни предприятий. В 1989 году Моррису было предъявлено обвинение по новому закону о компьютерном мошенничестве и злоупотреблениях (позднее он был назначен доцентом в Массачусетском технологическом институте).

Червь Моррис, как стало известно, был прототипом компьютерного вируса: кода, способного распространяться от узла к узлу и воспроизводить себя. Это был также первый известный пример того, что стало известно как атака типа «отказ в обслуживании», когда злоумышленник вместо того, чтобы пытаться украсть данные, пытается сделать систему невозможной для использования. Индустрия кибербезопасности была сформирована в ответ на червя Морриса и другие неприятные атаки. Поскольку компании стали больше полагаться на компьютеры в своей повседневной работе, были созданы рабочие места для экспертов, которые могли бы предотвратить проникновение вирусов в их сети. В те первые дни мантра индустрии звучала так: «Профилактика лучше лечения».

Сегодня становится общепризнанным, что нет такой вещи, как профилактика. «Организации будут нарушены. Вопрос в том, когда, а не если », - говорит Фиер. Находясь в Вашингтоне, он присоединился к Darktrace три года назад, после работы в американских спецслужбах по борьбе с терроризмом. «Сети имеют пористые периметры. Опытный противник всегда найдет выход », - говорит он.
 
Традиционно программы безопасности выполняли роль привратников, патрулирующих периметр компании. Они управляют воротами, сканируя функции, которые соответствуют описаниям известных им цифровых атакующих. Но сегодня вредоносное ПО гораздо проще создавать и распространять. Вирусы движутся быстрее и действуют более разумно. Их создатели вводят их в заблуждение, часто меняя маскировку, которая сбивает с толку программное обеспечение, предназначенное для распознавания известных угроз.

Организации также уязвимы во многих других аспектах. Интернет вещей быстро расширяется, что эксперты по безопасности называют «поверхностью атаки». Теперь злоумышленники могут войти в организацию через торговый автомат, интеллектуальный термостат или телевизор, не говоря уже об одном из множества подключенных устройств, которые сотрудники носят или носят каждый день. Привратники, перехваченные и захваченные врасплох, отреагировали, как авторитарные лидеры, пытающиеся пресечь преступность, вводя все более драконовскую политику безопасности. Но когда сотрудникам впоследствии становится труднее работать, вводить новшества и экспериментировать, бизнес страдает.

У человеческого мозга есть два способа справиться с риском. Во-первых, определить угрозу и спровоцировать соответствующие действия. Психолог Дэниэл Гилберт описывает мозг как «прекрасно спроектированную« убирающуюся с пути »машину, которая постоянно сканирует окружающую среду на предмет того, к чему она должна сейчас прийти». Примат в саванне знает, что львы представляют угрозу для ее безопасность. Когда она видит ее, чувство страха заставляет ее бежать или прятаться. Это наша самая древняя форма управления рисками.

Вторая способность избегать возможных опасностей была развита намного позже в человеческой эволюции: способность предвидеть и упреждать. Отсюда шлемы, страховка и антивирус. Этот второй подход означает, что мы можем организовать свою жизнь таким образом, чтобы уменьшить подверженность угрозам. Но это имеет свои недостатки. Во-первых, это мешает нашей свободе. Если вы знаете место в джунглях, где часто бывают львы, вы не пойдете туда, даже если в этом месте есть что-то замечательное, чтобы посмотреть или поесть. С другой стороны, это зависит от того, имеете ли вы четкое представление о том, какими могут быть будущие опасности. После наложения ограничений на роуминг в джунглях и вложения средств в защитную броню для львов, вы в конечном итоге умираете от укуса змеи на ногу.
В своей книге «Инсайдерские угрозы» два ведущих американских академика по национальной безопасности, Мэтью Банн и Скотт Д. Саган, исследуют возможность проникновения злоумышленников, в том числе террористов, на ядерные объекты. Они отмечают, что большинство людей в области безопасности имеют опыт работы в области техники и безопасности, цель которой состоит в том, чтобы защищаться от стихийных бедствий и несчастных случаев, а не от «реагирующих противников». Это может создать настрой соответствия - убеждение, что как только будет создана правильная система, она будет эффективной. Но инсайдеры могут выяснить, как использовать свои уязвимости, не поднимая тревоги. Эдвард Сноуден был администратором компьютерных систем, и часть его работы в качестве подрядчика для Агентства национальной безопасности (АНБ) заключалась в поиске слабых мест кибербезопасности. Как сказал Джеймс Клэппер, бывший директор Национальной разведки США, Сноуден «довольно умело держался в стороне от радаров».
 
Darktrace начался как сотрудничество между британскими разведчиками и кембриджскими учеными. Палмер, например, работал над кибербезопасностью в MI5 и GCHQ. «Некоторые из нас осваивали эту идею, но мы не начинали всерьез до окончания Олимпиады 2012 года в Лондоне, которая нас не давала, - говорит он. Их отправной точкой было убеждение, что почти все ошибаются в кибербезопасности. «Индустрия почти полностью сфокусирована на способности распознавать повторения атак, замеченных в прошлом», - говорит он. В течение многих месяцев они обсуждали эту проблему за кофе с исследователями искусственного интеллекта из Кембриджа.

Когда компания начинала, ИИ все еще рассматривался как теоретическая область с небольшим практическим применением. Первоначально изо всех сил пытаясь описать свою технологию потенциальным клиентам, основатели Darktrace наткнулись на метафору: иммунную систему. Как и нервная система, это чудо сложной обработки информации. Он изучает нормальные образы жизни тела и нацеливается на девиантов. Как только система распознает молекулы, которые являются чужеродными для организма, различные виды антител роятся вокруг захватчика, координируя их деятельность друг с другом (в отличие от нервной системы, которая имеет центральный контроллер - мозг), иммунная система становится саморегулируемой. -organising). Система учится: после уничтожения патогена она сохраняет память о нем, чтобы лучше подготовиться к будущим встречам. Важно отметить, что он не должен знать захватчика, чтобы признать его как угрозу. Поскольку вирусная ДНК мутирует, иммунная система адаптирует свою тактику, чтобы победить ее.

Кибербезопасность уже давно использует биологические метафоры для атакующих - вирус, червь - но до тех пор, пока несколько лет назад у нее не было эквивалента иммунной системы. Большинство компаний по-прежнему используют системы безопасности, которые могут справиться со знакомыми, но ошеломлены незнакомыми. Антивирусное программное обеспечение загружает описания предыдущих атак, затем следит за тем, что вы делаете, и проверяет, соответствует ли оно одной из этих исторически известных атак. Это может работать нормально - большую часть времени. Но в отличие от иммунной системы, антивирусное программное обеспечение не может адаптироваться или даже замечать новую угрозу. Когда он пропускает, он пропускает бесконечное количество раз. Как Sony, Yahoo! и NHS все недавно обнаружили, необнаруженная угроза может очень быстро вызвать огромные разрушения. Darktrace не обещает полностью остановить нарушения; это обещает остановить нарушения, превращающиеся в бедствия.
«Традиционный способ обеспечения кибербезопасности заключается в усилении контроля над бизнесом», - объясняет Палмер. «Вы берете список червей, вирусов и вредоносных программ и подключаете его к системе электронной почты и ноутбукам, чтобы вы знали, что в случае одной из этих атак он будет остановлен. Затем вы записываете список всех действий, которые вы не хотите, чтобы ваши сотрудники выполняли, например, загрузку данных в их личный Dropbox или посещение определенных веб-сайтов. В конце концов, все эти правила и политики вредят гибкости бизнеса, потому что они мешают людям экспериментировать. Иногда вы входите в большую организацию, и вы чувствуете, как ваша душа капает. У всех один и тот же ноутбук. Они могут посетить только 600 сайтов. Они не могут получать информацию из других источников. Это усложняет сотрудничество и создание ».

«Другой подход заключается в том, чтобы записать все, что происходит в бизнесе - каждое действие, которое предпринимается на регулярной основе, - затем посмотреть на данные, определить любую необычную деятельность и вмешаться, прежде чем она станет опасной», - говорит он. «Но в большом бизнесе каждый день может происходить десять миллионов вещей». Это та проблема, которую хорошо решает машинное обучение. Он может подбирать шаблоны и обнаруживать аномалии в масштабе и на скорости. «Бизнес говорит иммунной системе Darktrace:« Я хочу, чтобы ты пошел и узнал, что нормально, а потом рассказал мне, что интересно ».»

В отличие от обычного программного обеспечения для обеспечения безопасности, системы на основе искусственного интеллекта не сталкиваются с технологическим разнообразием. Одним из первых клиентов Darktrace была энергетическая компания, которая развертывает новейшее программное обеспечение вместе с электростанциями, построенными в 60-х годах. По словам Фиера, сети данных крупных предприятий похожи на очень сложные живые организмы с миллионами движущихся частей. «Они движутся вместе с нами, растут вместе с нами. Один бизнес может использовать ту же технологию, что и другой, но, как и люди, каждый принципиально отличается. Это делает их трудно контролировать ».

Вероятно, казино никогда не приходило в голову, что под аквариумом есть компьютер, не говоря уже о том, что за ним следят. «На бумаге это выглядело как все другие настольные устройства», - говорит Фиер. «Но мы могли видеть, что он действовал по-другому. Это торчало. ”
 
После сброса данных Эдварда Сноудена из АНБ и передачи военной разведки Челси Мэннингом WikiLeaks правительства и компании осознали опасность саботажа изнутри. Президент Обама создал Национальную целевую группу по угрозам изнутри и приказал всем правительственным учреждениям принять меры для защиты себя от мошеннических сотрудников. Вероятность того, что кто-то в правительстве может попытаться подорвать его деятельность, едва ли является новой: агент ФБР Роберт Хансен с 1979 по 2001 год передавал тысячи страниц секретных материалов советским и российским спецслужбам. Но поскольку компьютеры, подключенные к Интернету, стали центральными Для большинства организаций численность потенциальных злоумышленников значительно расширилась. Согласно отчету Cybersecurity Insiders, две трети американских компаний в настоящее время считают инсайдерские угрозы более вероятными, чем внешние атаки. Даже инсайдеры среднего звена могут получить доступ к огромному количеству конфиденциальных данных и вывести их из здания в мгновение ока. Их мотивы? Деньги, идеология, мелкая месть - и чистый порыв нарушения правил.

Некоторые эксперты по кибербезопасности считают, что компаниям нужно больше, чем просто лучшая технология, чтобы справиться с такими угрозами; им нужно лучше понимать людей. Шари и Чарльз Пфлигер известны как крестные родители кибербезопасности. Их всесторонний обзор области, Безопасность в вычислительной технике, был опубликован в 1984 году и в настоящее время находится в пятом выпуске. «Природа угрозы так сильно изменилась, - говорит Шари. «Компьютерные системы раньше были элитным делом. Компьютерами пользовалась небольшая группа людей, которые обучались математике и статистике. Никто не предполагал, что мы все будем гулять с мощным и простым в использовании компьютером в кармане. Разработка программного обеспечения требует меньше знаний, чем раньше; Вы можете писать приложения практически без технической подготовки. Что не изменилось, так это то, что компьютерные эксперты не обучены тому, как люди воспринимают и используют программное обеспечение ».
Кибербезопасность когда-то считалась чисто технической проблемой, областью компьютерных экспертов. Но в последние годы растет понимание того, что люди занимают центральное место в нем. Однако эксперты по кибербезопасности все еще тратят сравнительно мало усилий, пытаясь понять, как сотрудники думают и ведут себя. Компании, которые устанавливают такую сложную систему, как Darktrace, могут испытать соблазн решить проблему человека. Но хотя системы на основе ИИ могут улавливать внутренние угрозы до того, как они перерастут в катастрофы, они, тем не менее, еще не могут остановить инсайдерскую угрозу. Это потребовало бы детального понимания психологии человека. «То, как социальные науки обсуждаются в кибербезопасности, немного похоже на то, как я помню, как люди говорили об искусственном интеллекте в 70-х годах», - говорит Шари Пфлигер. «Они сказали, что это была воздушная фея, что у нее нет реального применения».

Чарльз Пфлегер сказал мне, что технология обнаружения угроз должна быть лучше интегрирована с изучением людей. Служба национальной безопасности попросила у него алгоритм прогнозирования инсайдерских атак. «Звучит просто, но вы получаете много ложных и ложных срабатываний, потому что люди сложные», - говорит он. «Правда в том, что люди все еще могут делать эти суждения лучше, чем компьютеры». По словам Пфлигера, такие алгоритмы требуют многоуровневых вопросов. Как только человек определен как риск, требуется больше информации: происходит ли что-то в его личной жизни? Есть ли на работе что-то, чем они не довольны? «ИИ может стать лучше в таких вещах, но он не будет включать в себя науку о человеческом поведении», - заключает он.

Анжела Сассе - профессор безопасности, ориентированной на человека, в Университетском колледже Лондона (UCL). Когда она впервые присоединилась к отделу информатики 20 лет назад, BT попросила ее помочь решить проблему. Стоимость обслуживания службы технической поддержки, помогающей людям, пытающимся сбросить свои пароли, утраивалась каждый год в течение трех лет. «Они хотели, чтобы мы выяснили, почему глупые пользователи не могут вспомнить свои пароли», - говорит Сасс. «Итак, мы провели исследование, и ответ был таков: пользователи не были глупыми - им были установлены невозможные правила». Человеческий мозг просто не оптимизирован для запоминания длинных паролей и шестизначных ПИН-кодов. В результате возникла коррозийная петля обратной связи. «Сотрудники службы безопасности начали угрожать», - говорит она. «Таким образом, пользователи начали терять свою веру во всю безопасность, все правила».
 
Сасс совместно написал статью «Пользователь - не враг», основанный на их результатах, который в настоящее время рассматривается академиками кибербезопасности как основополагающий. В деловом мире все еще остается железный занавес между отделом ИТ и остальной частью компании. «Технические и деловые люди не говорят о том, как они могут работать вместе, чтобы быть устойчивыми», - говорит она. «Сотрудники службы безопасности являются частью группы международных экспертов, которые составляют правила, а затем пытаются объединить их в отдельные компании. Но вы не можете просто принимать заповеди с горы, вам нужно понимать приоритеты людей в вашей компании - и вы не сможете этого сделать, если не слушаете. Если все, что вы делаете, это применяете санкции, никто не будет вас слушать »

Деби Ашенден, профессор кибербезопасности в Портсмутском университете, соглашается. «Все начинается с того, как вы понимаете риск», - говорит она. «Традиционно, кибербезопасность использовала модели риска из математики и естественных наук. Но всякий раз, когда люди взаимодействуют с технологией, риск становится более размытым ». Она говорит о социальном контексте: как чувствует себя этот человек; каков их вкус к риску. Эта информация не может быть оценена с помощью вопросника. Как правило, люди просто предоставляют минимум необходимой информации или выдумывают свои ответы, просто чтобы продолжить свою работу. «Единственный способ узнать правду - это вести открытые беседы», - говорит Ашенден. «Специалист по безопасности однажды сказал мне, что, когда у вас есть доверительные отношения с персоналом, они признают то, что никогда не скажут вам».
Тем не менее предпринимаются попытки количественно оценить риск превращения работника в угрозу. Консалтинговая фирма EY советует своим клиентам разработать «комплексные программы наблюдения», которые «проливают свет на темные углы [вашей] компании». Другие стартапы предлагают основанные на данных инструменты, которые присваивают «оценки рисков» сотрудникам на основе таких элементов, как соответствие затрат, время входа в систему и записи о посещаемости. Является ли кто-то намного меньше, чем он, в электронных разговорах, что указывает на размежевание с компанией? Они ищут информацию в сети таким образом, который наводит на мысль о злонамеренных намерениях? Принцип охоты на аномалии похож на метод Darktrace, но фокусируется на человеке, а не на машине. Майкл Геллес, судебный психолог и эксперт по инсайдерским угрозам, рассказал журналу Security, что, когда несколько аномалий объединяются, следующим шагом является более внимательное изучение личности: «Мы видим, как сотрудник загружает много информации, и мы также обратите внимание, что их производительность плохая, и они не часто приходят на работу. Эти нарушения необходимо расследовать ».

Динна Капуто - специалист по поведенческим исследованиям, специализирующийся на кибербезопасности в исследовательском центре MITER, спонсируемом правительством США. Ее цель состоит в том, чтобы установить основу для нормальных моделей поведения, которые облегчают оценку того, какие отклонения являются значительными. Она сказала мне, что проблема большинства программ, посвященных угрозам изнутри, заключается в том, что они не основаны на глубоком понимании человеческой психологии. Следовательно, они имеют тенденцию видеть угрозы там, где их нет: «У нынешних программ очень высокий уровень ложных срабатываний», - говорит она. Капуто хочет обосновать практику обнаружения внутренних угроз в поведенческой науке. Она строит основанные на данных модели того, как выглядит уклончивое поведение компьютера, а также действий, которые указывают, нужно ли кому-то доверять. «ИТ-специалисты иногда говорят о том, что люди являются« слабым звеном »в сфере безопасности», - говорит Капуто. «Они не слабое звено, но они были недостающим звеном».
 
Сверху Снизу