Skuteczne cyberbezpieczeństwo zaczyna się i kończy na danych.
Ponieważ osoby atakujące mogą wdrożyć swoje ładunki w ciągu kilku sekund, upewnienie się, że zespół ds. bezpieczeństwa nie będzie czekał minutami lub godzinami, aż platforma operacji bezpieczeństwa zauważy, że trwa atak, może oznaczać różnicę między izolowanym zagrożeniem a powszechnym kompromisem. Chociaż większość nowoczesnych produktów zapewniających cyberbezpieczeństwo potrafi szybko wykrywać zagrożenia, ostatecznie wpływ na ich ogólną wydajność mają wybory projektowe dokonywane na wczesnym etapie procesu opracowywania produktu, w szczególności sposób, w jaki produkt obsługuje zarządzanie danymi i ich przetwarzanie. Na tym blogu omówię, jak wykrywanie zagrożeń oparte na sztucznej inteligencji może działać w przypadku każdego podejścia, wykorzystując fikcyjną organizację korzystającą z pięćdziesięciu różnych produktów zabezpieczających i pięćdziesięciu różnych źródeł danych w celu zabezpieczenia swoich środowisk.
Krótkie omówienie wykrywania zagrożeń w oparciu o sztuczną inteligencję
Dwa różne podejścia do zarządzania danymi
Schemat przy odczycie
Schema-on-Read to podejście do zarządzania danymi, w którym pozyskiwanie surowych danych odbywa się bez stosowania żadnego wcześniej zdefiniowanego schematu. Takie podejście pozwala szybciej integrować wiele różnych źródeł danych, ponieważ nie ma potrzeby wcześniejszego poznawania formatu źródła danych. Zamiast tego surowe dane są przechowywane w niezmienionej postaci, a każdy schemat wymagany do przetworzenia następuje w czasie odczytu bez zmiany surowych danych. Wielu inżynierów danych preferuje Schema on Read, ponieważ umożliwia im to:
- Szybsze pozyskiwanie danych, ponieważ nie jest wymagane wstępne strukturyzowanie.
- Dostosuj się do sytuacji, w których formaty danych stale się zmieniają.
- Obsługuj szeroką gamę źródeł danych bez modyfikowania ich schematu.
Jak w przypadku każdej technologii, przyjęcie podejścia Schema-on-Read do zarządzania danymi ma swoje wady:
- Wydajność wyszukiwania cierpi
- Analiza danych wymaga dużych zasobów obliczeniowych
- Większa skłonność do niespójności i błędów danych.
Wykrywanie zagrożeń oparte na sztucznej inteligencji w świecie, w którym czytane są schematy
Teraz, gdy omówiliśmy zalety i wady Schema-on-Read. Zastanówmy się, jak wykrywanie zagrożeń oparte na sztucznej inteligencji może działać bez schematu na danych. Jak wspomniano wcześniej, wykrywanie zagrożeń oparte na sztucznej inteligencji identyfikuje anomalie w porównaniu z oczekiwanym zachowaniem. Biorąc pod uwagę ten wymóg, produkt zabezpieczający oparty na sztucznej inteligencji wymagałby złożonej logiki zaprojektowanej w celu normalizacji i wzbogacania danych „w locie” w postaci danych przechowywanych w różnych formatach. Każdy rekord musi być przetwarzany na bieżąco, aby uniknąć przeoczenia jakiejkolwiek anomalii. Nietrudno sobie wyobrazić, że takie podejście może szybko stać się kosztowne, ponieważ będzie wymagało ciągłej, znacznej mocy obliczeniowej i pamięci do tymczasowego przechowywania przetworzonych danych na potrzeby różnych wykryć opartych na sztucznej inteligencji. Tak więc, choć pomysł pozyskiwania surowych danych wydaje się dobry i może mieć zastosowanie w niektórych przypadkach zastosowań niezwiązanych z cyberbezpieczeństwem, związanych z wykrywaniem zagrożeń opartych na sztucznej inteligencji, bieżące koszty mogą szybko wymknąć się spod kontroli. Cena może stać się niezwykle zaporowa i nieprzewidywalna, jeśli przechowywanie danych i wykrywanie oparte na sztucznej inteligencji pochodzą od różnych dostawców.
Schemat przy zapisie
W przeciwieństwie do Schema on Read, Schema on Write wykonuje ETL (wyodrębnianie, przekształcanie, ładowanie), który stosuje pewną strukturę (schemat) do danych z góry, przekształca i sprawdza poprawność pozyskanych danych przed zapisaniem w dowolnym magazynie danych. Jak można się spodziewać, zalety Schema on Write:
- Zwiększona integralność danych i minimalizacja ich niespójności
- Szybkie i skuteczne wyszukiwanie
- Łatwa i szybka analiza danych
Aby być uczciwym, istnieje kilka ograniczeń, jeśli chodzi o podejście Schema-on-Write do zarządzania danymi:
- Zmiany w formatach danych źródła danych mogą wymagać aktualizacji schematu.
- Należy zaktualizować schemat danych, aby uwzględnić nowe źródła danych.
Wykrywanie zagrożeń oparte na sztucznej inteligencji w świecie, w którym czytane są schematy
Po zidentyfikowaniu zalet i wad Schema-on-Write przyjrzyjmy się teraz wykrywaniu zagrożeń w oparciu o sztuczną inteligencję za pomocą schematów danych stosowanych przed zapisem w bazie danych. Zakładamy, że współpracujemy z tą samą organizacją, oferując pięćdziesiąt różnych produktów zabezpieczających w celu ochrony jej środowiska. Transformacje danych mają miejsce przed załadowaniem do bazy danych podczas agregowania danych na platformę zabezpieczeń typu „schema-on-write”. Podczas tego wstępnego przetwarzania wszystkie dane są normalizowane i wzbogacane danymi z innych źródeł. Funkcje wykrywania zagrożeń oparte na sztucznej inteligencji współpracują teraz z czystym zestawem danych w standardowym formacie z kontekstem, tworząc różnorodne punkty odniesienia i szybko, skutecznie i dokładnie identyfikując anomalie. Na przykład wykrywanie aktywności naruszonych poświadczeń z nietypowej lokalizacji fizycznej można łatwo zoptymalizować, ponieważ lokalizacja geograficzna została dodana do danych podczas procesu wzbogacania przed zapisem w bazie danych. Podobnie, na przykład, wszystkie adresy IP mogą zostać wzbogacone o informacje o lokalizacji w wyniku procesu normalizacji, co zapewnia łatwe wykrycie wszelkiej nietypowej aktywności użytkownika.
Który wybór jest dla Ciebie właściwy?
Kiedy myślisz o trwałej przewadze konkurencyjnej nad atakującymi, podejście do zarządzania danymi może nie być pierwszą rzeczą, która przychodzi na myśl, ale powinno. Chociaż każde podejście do zarządzania danymi omówione powyżej ma wady i zalety, ostatecznie przed jego przyjęciem należy rozważyć wpływ strategii zarządzania danymi produktu na swoje cele, ponieważ ma to ogromny wpływ na koszty, zdolność do wykrywania zagrożeń poprzez skuteczne wyszukiwania oraz możliwość opracowania własnych, opartych na sztucznej inteligencji lub nawet ręcznych reguł wykrywania zagrożeń.
Platforma Stellar Cyber opiera się na podejściu Schema-on-Write do zarządzania danymi, zapewniając naszym klientom skuteczne i dokładne wyniki wykrywania zagrożeń oparte na sztucznej inteligencji, szybkie wyszukiwanie zagrożeń oraz elastyczne możliwości rozwoju w zakresie analizy zagrożeń. Dodatkowo, organizacje korzystające z funkcji Bring Your Own Data Lake (BYODL) naszej platformy, mogą odnotować znaczne oszczędności, przechowując wyniki wyłącznie w swoim jeziorze danych lub w istniejącej bazie. SIEMAby dowiedzieć się więcej o tym, jak Stellar Cyber optymalizuje nasze zaangażowanie w przetwarzanie Twoich danych, skontaktuj się z nami już dziś, aby umówić się na indywidualną konsultację.
