Konference Cyber Security 2018 se zaměřila na IT bezpečnost poháněnou strojovým učením a AI - 2

Tradiční odborná konference pořádaná vydavatelstvím IDG se tentokrát soustředila na vlivy strojového učení, umělé inteligence a samozřejmě cloudu na kybernetické zabezpečení organizací.

Konference Cyber Security 2018 se zaměřila na IT bezpečnost poháněnou strojovým učením a AI



Účelem CMDB je popis aktuálního stavu prostředí a porozumění stavu mezi jednotlivými komponenty (aplikacemi, HW, sítí). Pak je možné dělat dopadové analýzy (např. co se stane, když restartuji server) a na to navazovat požadavky uživatelů.

Martin Hubínek také vysvětlil rozdíl mezi CMDB a Asset Managementem: CMDB je primárně určeno pro správu a provoz IT technologií. AM obsahuje i investiční majetek včetně finanční hodnoty. Poté předvedl typickou analýzu, kterou lze v CMDB udělat.

Aleš Špidla, vedoucí oddělení v NAKIT, upozornil na důležitost kontextu, bez kterého nenesou data sama o sobě žádnou informaci a tedy hodnotu. V řetězci: data –> interpretace-> informace –> vyhodnocení –> rozhodnutí přitom může dojít v každém bodě ke kompromitaci.

Bezpečnostní kultura organizace zahrnuje všechny oblasti týkající se fyzické, osobní i IT bezpečnosti. Doposud se to nejčastěji řešilo oddělenými systémy. IT se však stává integrační platformou všech prvků informační bezpečnosti, dodal Špidla.

Souvislostí je přitom podle Aleš Špidly celá řada:

  • Legislativní – v ČR máme, 1,6 milionu zákonů a vyhlášení. Nezajistíte kybernetickou bezpečnost, dostanete se na do legislativní neshody (lehce řečeno).
  • Globálně politická – kyberšpionáž, kyberterorismus, informační operace, kybernetické války, scada útoky.
  • Investorská souvislost – akvizice firem (co když koupíte firmu, která je „informačně vykradená“)
  • Kriminální – výnosnost kyberzločinu
  • Sociální
  • Technologická
  • Biblická – lze přirovnat k Babylonské věži - děravá od HW až po SW a nad tím UI, která to měla hlídat.

Kamil Doležel, technický ředitel Service & Support a Stanislav Bárta, bezpečnostní analytik NÚKIB společně představili projekt, který měl za úkol vypořádat se s nedostatečnou kapacitou pro monitoring sítí ministerstev, zvýšit kyberbezpečnost a vybudovat centrální správu.

Kromě nasazení síťových sond šlo o vytvoření centrálního analytického systému pro státní správu. Samotné řešení prezentoval Kamil Doležel. Uvedl, že jedním z požadavků bylo zpracovat 250 000 toků za sekundu, nebo automatizované odhalování anomálií – proto se rozhodli využít řešení Splunk.

Doležel také srovnal tradiční SIEM s big data konceptem Splunku, který má navíc podporu jakýchkoliv zdrojů z různých zařízení, snadnou podporu specifických zdrojů, real-time i historické doplňující informace, vizualizace dat na míru, snadnou korelaci, detekci chování na základě strojového učení, integrovatelnost přes REST API a škálovatelnost až do petabytů.

Poté Kamil Doležel představil samotné řešení geografického clusteru.

Igor Tomeš, senior presales architect společnosti DataSpring, mluvil o zabezpečení jejího datového centra od fyzické, provozní bezpečnosti přes vnitřní ochranu DC až po ochranu HW a SW, které se věnoval podrobně.

DataSpring si vytvořil dvě sady nástrojů: gateway a agenty (vDC, virtuální UTM, antiSpam, antivirus a ochrana před DDoS) a management toolbox (nástroje LogDock).

Ve stručnosti řečeno je LogDock skutečně multitenantní log manager, který ve verzi Advanced nabízí management Flow, SIEM, risk manager a vulnerability manager. K tomu dokáže DataSpring nabídnout SIEM jako službu, tedy včetně svého týmu odborníků.

Tomáš Pokorný, security SW sales leader for central region v IBM prezentoval systém UI, který vám jako bezpečnostnímu analytikovi či správci dokáže radit. Sice ještě nebude plně fungovat za vás, ale budou vám silnou oporou, která umožňuje rychlejší reakci. Systém totiž nedělá lidské chyby, nemá předsudky, uvedl Tomáš Pokorný.

Konkrétně mluvil o řešení QRadar Watson Advisor, který se nainstaluje do SIEM a dodává mu další kontext. K tomu IBM poskytuje Watson Cybersecurity, která dokáže provázat a přidat další informace týkající se zabezpečení a jeho zlepšení.

Jana Pattynová, partnerka advokátní kanceláře Peirstone, se ve své přednášce věnovala právní odpovědnosti a umělé inteligenci. Měla by UI rozhodovat o kontrole lidí? Pokud se strojové učení naučí rozhodovat na nevhodných datech, může diskriminovat určité skupiny osob, varovala. Proto již ve světě vznikají komise, které vyhodnocování algoritmů začínají kontrolovat.

Měl by být omezen přístup k některým technologiím? Mezi ty kontroverzní patří rozpoznávání obličeje, emocí, psychometrické modely a predikce – zde ještě právní úprava zcela nevznikla. Z obdobných důvodů však např. existuje Wassenaarská úmluva omezující přístup k silné kryptografii.

Jana Pattynová dále uvedla, že GDPR je první norma na světě, která upravuje práva jedince ve vztahu k umělé inteligenci – jde o právo být informován o automatickém rozhodování (například, proč vám bylo zamítnuto právo na pojištění), právo na informace o podkladových datech, nebo o právo na lidský zásah.

V otázce, zda máte nárok na škodu, kterou vám způsobí UI, se odkazuje na novou směrnici EU, která mimo jiné říká, že odpovědnost za vadu produktu nelze smluvně vyloučit, ale zatím je z ní vyňat SaaS. A jak je to s právní odpovědností v B2B vztazích? Je zde sice minimální regulace, ale příkladem ošetření je například zákon o kybernetické bezpečnosti.

Pavel Švíbek, senior technical consultant PCS, divize DataGuard, přiblížil, jak funguje DLP McAfee a jaké má komponenty. Prošel vše od monitorování a blokování připojovaných periferií k PC, přes klasifikace dat v DLP systému (nejnáročnější část implementace, kterou McAfee dokáže do značné míry automatizovat), až po vynucování a kontrolu pravidel na koncových zařízeních i v celé sítí.

Ukázal, jak vypadá jednotná politika pro koncová zařízení i síť. Předvedl i následné řízení a monitorování uživatelské aktivity s DLP včetně zobrazování incidentů a možnosti jejich reakce.

David Pecl, security specialist ve společnosti AEC, se věnoval otázce, zda jsou next-gen antiviry buzz-word. V úvodu shrnul, že roste podíl zero-day malwaru, který nelze detekovat klasickými signaturami. Poté se věnoval vlastnostem tzv. next-gen antivirů.

Dnes antiviry kromě signatur využívají behaviorální analýzu, který může být statická nebo dynamická (sleduje, jak se proces/soubor chová v sandboxu a podle toho jej vyhodnocuje). To právě využívají next-gen antiviry (NGAV), které berou v potaz chování infikované stanice v síti, hledají souvislosti mezi procesy a korelují různé události.

NGAV také používají strojové učení, a to jednak pro rozdělování souborů do určitých skupin (na základě podobnosti), a jednak pro skutečné odhalování malwaru (poté, co se je učí na klasifikovaném vzorku). Součástí NGAV by měly být navíc EDR.

Skutečné NGAV by tedy měly používat behaviorální analýzu, strojové učení, detekci fileless malwaru, detekci pomocí IoCs a funkce EDR. Podle Davida Pecla se však v těchto funkcích nejedná o nic skutečně převratného, takže by bylo vhodnější ochranu nazývat spíše jako advanced endpoint protection.

Václav Paur, CTO společnosti VPGC, která je distributorem next-gen CASB Bitglass, se věnoval možnostem zabezpečení cloudových aplikací Office 365 v reálném čase. K nim i dalším cloudovým aplikacím totiž dnes uživatelé často přistupují z mobilních zařízení mimo perimetr sítě a ochranu firewallů, čím vzniká bezpečnostní mezera.

V živém demu se soubory s čísly platebních karet Václav Paur předvedl, jak cloudové řešení Bitglass dokáže chránit data v aplikacích Office 365, ošetřit ukládání citlivých dat na nespravovaná zařízení a zabezpečit je před malwarem. A to bez potřeby instalace agentů a s možností propojení s Active Directory a SSO.

Karel Diviš, výkonný ředitel a jednatel IDC-softwarehouse, představil e-learningové kurzy cybersec.cz, které učí a testují účastníky, jak se chovat z pohledu bezpečnosti nejen ve firemním prostředí.

Jak se bránit neznámým hrozbám, ransomwaru a cryptojackingu za využití strojového učení a UI přednesl René Pospíšil, Bitdefender country manager CZ/SK IS4 Security. Nejprve upozornil, že cryptojacking (zneužití procesoru oběti pro těžbu kryptoměn) začíná být pro útočníky finančně zajímavější.

Na tyto útoky však signatury nestačí. Bránit se podle Reného Pospíšila lze pouze behaviorální analýzou chování (útočníka), která sleduje statické (např. velikost) i dynamické vlastnosti (např. zda se soubor množí).

Bitdefender dnes rozpoznává přes 40 000 vzorců chování, čímž pomáhá analyzovat a reagovat na akce, které by člověk dnes fyzicky nedokázal. Mnohovrstvá next-gen ochrana koncových bodů Bitdefenderu využívá strojové učení a UI ve všech vrstvách zabezpečení.

Karel Galuška, vedoucí týmu bezpečnosti a business konzultací v T-Mobilu, se zaměřil na role cloudových řešení a služeb MSSP v moderních bezpečnostních strategiích firem.





Úvodní foto: IDG


Galerie



Komentáře