Konference Cyber Security 2018 se zaměřila na IT bezpečnost poháněnou strojovým učením a AI

Tradiční odborná konference pořádaná vydavatelstvím IDG se tentokrát soustředila na vlivy strojového učení, umělé inteligence a samozřejmě cloudu na kybernetické zabezpečení organizací.

Konference Cyber Security 2018 se zaměřila na IT bezpečnost poháněnou strojovým učením a AI



Podzimní konference Cyber Security 2018, která se uskutečnila 25. 10. v pražském hotelu Don Giovanni, měla tentokrát extrémně nabytý program. Kromě zlatého partnera společnosti Aruba prezentovalo své bezpečnostní řešení a služby přes patnáct dalších společností.

Záštitu akce tradičně poskytly Ministerstvo obrany ČR, NÚKIB, NCBI a AFCEA. Navíc účastníky poprvé čekalo umělecké překvapení, když po obědě vystoupil „IT kvartet“ ve složení Iveta Hrabánková, Aleš Špidla, Jaroslav Pejčoch a Zdeněk Jiříček – ZIJA Band, kteří naživo zahráli několik skladeb napříč svým repertoárem.

Po krátkém úvodu, ve kterém moderátor Jan Mazal udělal průřez zásadními bezpečnostními incidenty za rok 2018 včetně nejčerstvějších kauz ze září a října započal doslova přednáškový maraton, který zpestřovaly výstavky společností v předsálí i hlavním sále.

Jakub Tikovský, systémový inženýr HPE Aruba, prezentoval, jak může řešení Aruba ClearPass fungovat jako integrační prvek pro spojení bezpečnostních systémů a přístupové sítě.

Clearpass Exchange – ingress engine umožňuje různé integrace, umí se napojit na syslogy a pak vykonat určitou reakci. Přes API jej lze opačně integrovat s partnerskými firewally, které od Clearpass získávají doplňkové informace, jež mohou použít pro další pravidla.

K dispozici je i Clearpass Extension, ve kterém si uživatel může vytvořit vlastní mikro-služby, které budou automaticky pracovat s daty podle zadaných pravidel.

V době mizejícího perimetru je potřeba nástroj, který pokryje širší potřeby zabezpečení – s těmito slovy uvedl Jakub Tikovský řešení Aruba InstroSpect. To využívá strojového učení a behaviorální analýzu nad velkými daty (logy, síťový provoz až po L7) pro odhalování pokročilých útoků, které využívají právoplatné uživatelské přístupy (ať už od záškodnického insidera, nebo nezodpovědného pracovníka).

Jako výhodu Tikovský uvedl, že není nutné předem definovat všechna pravidla, jako je tomu u IPS/IDS/SIEM, ale Introspect je dokáže využitím strojového učení připravovat sám. To, co není chyceno přímou shodou s cílenými modely je pak odhalováno skrze detekci anomálií.

ClearPass a Instrospect jsou úzce propojené, což operátorovi pomáhá velmi rychle reagovat na hlášení, nebo nechat systém to vyřešit sám, dodal Tikovský.

Martin Oravec, senior system engineer ve společnosti F5 Networks, ve své přednášce WAF jako živý inteligentní samoučící organizmus vysvětlil, že webový aplikační firewall (WAF) odolává řadě útoků, které next-gen FW a IPS nedokážou tak dobře ošetřit jednoduše proto, že pro tyto účely nejsou původně postavené. Příkladem může být útok na úrovni cookies.

„Polovinu provozu na dnešním internetu dělají boti. Dobří i zlí. Když nasadíte na web aplikaci, do 6 minut bude naskenovaná boty a pokud není chráněná může být do několika hodin hacknutá,“ varoval Oravec.

WAF od F5 Networks se navíc může automaticky učit, přidávat pravidla a budovat bezpečnostní politiku. WAF se strojově naučí běžný provoz a potom dokáže identifikovat odchylky a dynamicky vytvářet nové signatury. Stejně tak detekuje abnormální „aplikační stres“ (netypické chování) a může špatný provoz automaticky zastavit, nebo na něj upozornit správce.

Jaroslav Burčík, člen pracovní skupiny kybernetické bezpečnosti v AFCEA, která má na starost osvětu v oblasti kyberbezpečnosti např. v bojových složkách, prezentoval soutěž kybernetické bezpečnosti zaměřenou na vychovávání nových odborníků.

Soutěž je zaměřená primárně na střední školy (odborným partnerem NÚKIB a další státní instituce a vysoké školy). Jejím cílem je nalákat „novou krev“ pro tuto problematiku, která nabízí zajímavý procesní růst i ohodnocení.

Po prvních kolech elektronického testování následuje finále soutěže, do kterého se mohou zapojit firmy se svými prakticky orientovanými úlohami z oblasti IT bezpečnosti.

Jaroslav Burčík poradil firmám, ať nepřetahují IT pedagogy, ale naopak „sponzorují svého IT učitele na střední škole. Bude ho to bavit a rozšíří více osvěty mezi studenty.“

Michal Hebeda, presales engineer ve společnosti Sophos, přiblížil účastníkům nové technologie v jejím portfoliu, zejména hluboké učení a EDR. Připomenul, že za poslední rok obrovsky rostou počty zranitelností čekajících na zneužití. Každý den vznikne 400 000 nových vzorků malwaru, které nejsou popsané, z nich se 75 % znovu neopakuje.

Nová verze řešení Sophos Intercept X využívá strojové učení na základě hloubkových neuronových sítí a k tomu přidává antihackerské technologie (např. ochranu procesů a registrů) a ochranu hesel a citlivých dat. Balík navíc rozšířilo EDR (end-point detection and response) pro ochranu koncových bodů před neznámými hrozbami. Jak nové řešení funguje, ukázal Michal Hebeda účastníkům na demu.

Jindřich Šavel, obchodní ředitel společnosti Novicom, upozornil na nedostatek IT odborníků, kdy není problém koupit technologie, ale získat lidi, kteří se o ně budou starat. Firewally, antimalware a další technologie už má dnes snad každý. Co všem většinou chybí, je síťová vizibilita a integrovaná správa sítě. Bohužel většina firem stále používá tabulky pro správu IP adres, konstatoval Šavel.

Proto Novicom poskytuje řešení relevantní i pro strategii SoC, které bez integrovaných nástrojů pro řízení sítě zákazníka nedokáže aktivně a samostatně řešit reakci na incidenty. Nástroj AddNet kombinuje integrovanou správu adresního prostoru a network access control. Jinými slovy zavádí pořádek v síti a umožňuje zajistit kompletní sběr informací z provozu DDI/NAC, z L2 monitoringu, Netflow/IPFIX, ze syslogů a zajistit okamžitou reakci na zjištěné hrozby.

Pro vizualizaci síťových komunikací a modelování souvislostí business služeb s IT infrastrukturou pak vyvinul Novicom nástroj BVC.

Jan Kozák, senior product specialist ve společnosti SodatSW, ukázal s využitím řady příkladů z reálného (firemního) života, jak se firmám ztrácejí data.

Shrnul, že i přes neměnné zákony matematiky a logiky přestávají platit některé zákony fyziky (konektivita stírá geografické rozdíly), práva (zákony „neplatí“ zejména pro kyberzločince), ani ekonomické zákony (s giganty mohou účinně bojovat „trpaslíci“).

Segment kybernetické bezpečnosti roste, protože roste i počet útoků. Organizace přišly loni o 3 triliony dolarů, ale na bezpečnost vydaly asi 130 miliard dolarů – tedy zlomek, dodal Jan Kozák.

Kdo jsou přitom ti zlí? Podle Crowd Research Partners stojí za 51 % bezpečnostních incidentů odpovědná lidská chyba zaměstnanců.

Na co se tedy zaměřit? Jan Kozák radí přesunout pozornost bezpečnosti z control-centric na people-centric, zaměřit se na informační nejen síťovou bezpečnost, zvyšovat schopnosti detekcí/monitorování a adekvátních reakcí, zkontrolovat zaměstnanecké smlouvy a doplnit oblast zabezpečení dat a ujistit se, že vaši dodavatelé mají silné zabezpečení.

Martin Hubínek, security consultant ve společnosti Alef Nula, se v přednášce zaměřil na kybernetickou bezpečnost kolem CMDB. Velkou výhodou CMDB je možnost logicky uspořádat všechny vrstvy od síťové přes serverovou, aplikační až po logickou a vytvořit mezi nimi vazby a kontextově tyto informace využívat (třeba pro bezpečnost).





Úvodní foto: IDG


Galerie



Komentáře