תוכן שיווקי
לקראת אירוע - Sophos, יום ה' 25 במאי, סטוקו

למידת מכונה באבטחת מידע

טכנולוגיות למידת מכונה הופכות את תהליך זיהוי האיומים ליעיל יותר, רב-ביצועים ואפקטיבי בעצירת הנוזקה לפני שהיא הופכת לבעיה אמתית בארגון ● יחד עם זאת, לא כל טכנולוגיות למידת המכונה נולדו זהות

04/05/2017 12:19
אילן סגלמן, סמנכ"ל מכירות ופיתוח עסקי ב-Power Communication. צילום: יח"צ

כתב: אילן סגלמן, סמנכ"ל מכירות ופיתוח עסקי ב-Power Communications ומנהל פעילות Sophos בישראל

תחום למידת המכונה (Machine-learning) תופס תאוצה ומשתלב בענפים מסחריים רבים. דוגמה קלאסית לשימוש בלמידת מכונה ניתן למצוא בתחום הקמעונאות, כאשר מידע שנאסף מלקוחות שרכשו מוצרים בעבר או רק התעניינו, עובר אנליזה לכדי הפקת תובנות וחיזוי התנהגות עתידית.

באופן פשטני למדי, למידת מכונה הינה אוסף אלגוריתמים ה"מלמדים" את המחשב לזהות עצמאית דפוסי התנהגות מתוך כמות אדירה של מידע, לפתור בעיות, לחזות בעיות עתידיות ולהמליץ על דרכי פעולה.
טכנולוגיות למידת מכונה מוטמעות גם בפתרונות אבטחת מידע. לאחרונה התבשרנו גם על כמה חברות סטארט-אפ ישראליות שעוסקות בתחום הזה וזוכות לעניין רב בקרב משקיעים ובקרב ספקי אבטחת המידע.

בדו"ח שפורסם לאחרונה, חברת המחקר ABI מעריכה כי התחום יעלה את ההוצאות על Big Data, מודיעין ואנליזה עד ל-96 מיליארד דולר עד שנת 2021.

במשך שנים, שוק אבטחת המידע התמקד בסריקת קבצי ביצוע למטרת מניעת נוזקות, אולם מספר פריצות הסייבר המשיך לעלות, דבר שהעלה את הצורך לחשב מסלול מחדש בגישה לאבטחת המידע הארגונית.

אנחנו רואים מעבר מאנטי-וירוס מסורתי לעבר זיהוי מתקדם ומניעת נוזקות באמצעות טכנולוגיות המתבססות על איתור התנהגותי, איתור תעבורה זדונית, חיקוי ומנגנוני "פעימה", כאשר ישנו ניסיון לצמצם את התלות בחתימות.

טכנולוגיות למידת מכונה הופכות את תהליך זיהוי האיומים ליעיל יותר, רב-ביצועים ואפקטיבי בעצירת הנוזקה לפני שהיא הופכת לבעיה אמתית בארגון.

יחד עם זאת, לא כל טכנולוגיות למידת המכונה נולדו זהות. אחת הדרכים לבדוק את האפקטיביות שלהן היא למדוד את רמת הדיוק שלהן בזיהוי וחיזוי. המטרה היא כמובן להגיע לשיעור גבוה של זיהוי ואיתור נוזקות עם שיעור נמוך ככל האפשר של תוצאה חיובית שגויה (false-positive).
פתרונות אבטחת המידע שכוללים בתוכם יכולות למידת מכונה צריכים לענות על מספר פרמטרים על מנת להיות אפקטיביים:
● שיעור גבוה של זיהוי גורמים עוינים ושיעור נמוך של תוצאה חיובית שגויה (false-positive).
● זיהוי נוזקות שברוב המקרים היו מתחמקות מאנליזה אנושית – אלו הן נוזקות שיש להן תכונות משותפות עם נוזקות ידועות, אבל קשה לזהות אותן.
● זיהוי בעל רגישות גבוהה (נתינת תשומת לב רבה יותר) לקבצים בעלי פוטנציאל גבוה לפעילות זדונית, כגון קבצי ביצוע (EXE, סקריפטים וכו').
● זיהוי נוזקות, מעבר לקבצי ביצוע ומעבר לקבצים בכלל.
● זיהוי מבוסס התנהגות שיכול לכסות טקטיקות וטכניקות שנמצאות בשימוש התוקפים.

מעל לכל, חשובה האינטגרציה של יכולות אלו במערך פתרונות אבטחת המידע של הארגון. על מנת לשפר את האפקטיביות ויכולת התגובה לאיומים דרושה יכולת לפתרונות "לדבר" זה עם זה ולשתף במידע מודיעיני.

כך, מידע על זיהוי של התקפה או איום צריך לעבור במהירות לפתרונות אבטחת המידע הייעודיים, דוגמת פיירוול או פתרונות הצפנה, אשר יכולים לנקוט בפעולות הראויות להגנה על הארגון.

ABI

אירועים קרובים