Analiza ruchu sieciowego zapewnia doskonałe wyniki w zakresie jak najlepszego pokrycia potencjalnej powierzchni ataku. Jej wykonanie stanowi jednak spore wyzwanie, ponieważ danych jest bardzo dużo, ciągle się zmieniają i dotyczą wielu różnych urządzeń. Rozwiązanie pozwalające analizować ruch w zautomatyzowany sposób skraca czas pracy eksperta od cyberbezpieczeństwa z tygodni do minut. Rozmowa z Alexem Vaystikhem, CTO i współzałożycielem firmy SecBI.

Czym zajmuje się SecBI?

Automatyzujemy jedno z największych wyzwań w Security Operations Center, czyli manualny proces dochodzeniowy realizowany przez ekspertów odpowiedzialnych za bezpieczeństwo. Muszą oni mierzyć się z ogromną ilością danych. Każdego dnia w organizacji może pojawiać się od 100 mln do nawet 1 mld nowych zdarzeń, a żeby wykryć atak, trzeba sprawdzić informacje dotyczące nie tylko jednego dnia, ale np. całego roku.

Opracowujemy algorytmy machine learning, które robią to całkowicie automatycznie. Dzięki temu analitycy mogą skupić się na podejmowaniu decyzji, a nie na rozwijaniu swoich umiejętności w obsłudze technologii Big Data czy uczenia maszynowego. W końcu zatrudniamy analityków ds. bezpieczeństwa właśnie po to, żeby analizowali zagadnienia związane z bezpieczeństwem, a nie zajmowali się innymi kwestiami.

Jakie typy uczenia maszynowego wykorzystujecie?

Wykorzystujemy dwa typy uczenia maszynowego. Przede wszystkim uczenie nienadzorowane, które umożliwia wdrożenie w organizacji działającego, zapewniającego natychmiastowy efekt rozwiązania, bez konieczności jego wcześniejszego treningu. Podobnie jak w przypadku autonomicznego samochodu: wsiadamy do niego i od razu jedziemy.

Tymczasem większość dostępnych obecnie na rynku rozwiązań z zakresu cyberbezpieczeństwa zanim zacznie działać, potrzebuje czasu na rozpoznanie sieci. Trzeba poczekać 30 dni, zanim będzie można z niego skorzystać. To złe podejście, bo jeśli intruz jest już w organizacji, niczego nowego się nie dowiemy. Jeśli włamywacz będzie powoli uczył system, przechytrzy maszynę. Dzisiaj nikt już nie chce czekać 30 dni, bo wtedy dowiaduje się rzeczy, o których wiedział już wcześniej.

Wykorzystując nienadzorowane uczenie maszynowe, kodujemy „fizykę” danych, czyli to, co w ogóle jest możliwe. Dzięki temu możemy natychmiast wykrywać rzeczy, które naruszają tę fizykę. W wyniku analizy na pierwszym, nienadzorowanym etapie powstają klastry, które składają poszczególne elementy układanki w całość. Otrzymujemy znacznie bardziej przejrzysty obraz, niż gdybyśmy patrzyli na pojedyncze logi. O wiele lepszy jest stosunek sygnału do szumu. To ważne, ponieważ w drugim etapie działania, wykorzystując uczenie nienadzorowane i częściowo nadzorowane, łącząc te dwa podejścia, jesteśmy w stanie z dużą dokładnością wykrywać zagrożenia.

Czy wymaga to zastosowania specjalnego sprzętu?

Nie, w związku z tym, że nasze rozwiązanie jest programowe, udaje się je uruchomić w chmurze. Właściwie może działać w stu procentach w chmurze.

Wykorzystujemy przede wszystkim uczenie nienadzorowane, które umożliwia wdrożenie w organizacji działającego, zapewniającego natychmiastowy efekt rozwiązania, bez konieczności jego wcześniejszego treningu. Nie trzeba czekać 30 dni na rozpoznanie sieci.

W nazwie firmy pojawia się Business Intelligence, BI. Czy celowo nie mówicie o AI, sztucznej inteligencji?

Używamy skrótu AI, ale mówimy raczej o Autonomous Investigation, a nie o Artificial Intelligence. Sztuczna inteligencja to bardzo szerokie pojęcie. Wybraliśmy BI, ponieważ historycznie systemy Business Intelligence, zostały przygotowane po to, żeby pomagać ludziom podejmować lepsze decyzje. To systemy eksperckie, których użycie pozwala podnosić skuteczność działania. Wiele firm odniosło dzięki nim istotne korzyści. Zwiększały swoją wydajność, poprawiały konkurencyjność w obszarze marketingu czy sprzedaży, ale – przynajmniej dotychczas – nie w obszarze bezpieczeństwa. Wybraliśmy nazwę SecBI, ponieważ uważamy, że w bezpieczeństwie brakuje wykorzystania możliwości oferowanych przez BI.

Czy to oznacza, że uważacie, że AI jest nieprzydatna w obszarze bezpieczeństwa? A może dlatego, że sztuczna inteligencja nie jest jeszcze dostatecznie dojrzała?

Na pewnym poziomie zaawansowania można przyjąć, że uczenie maszynowe to forma sztucznej inteligencji. Zatem można powiedzieć, że stosujemy AI. Kluczowym założeniem naszej działalności jest to, że naśladujemy w tworzonych systemach działanie ludzkiego eksperta. To oznacza jednocześnie, że nasze rozwiązanie, łączące różne algorytmy, jest formą sztucznej inteligencji.

Jak skuteczny w tym naśladowaniu ludzkiego eksperta jest system SecBI?

Na pewno w przypadku niektórych zadań jest o wiele lepszy od człowieka. Trzeba jednak zaznaczyć, że naszym celem nie jest zastąpienie człowieka. Próbujemy automatyzować rzeczy, na które analityk bezpieczeństwa nie powinien marnować czasu. Tymczasem dzisiaj wielu z tych ekspertów poświęca bardzo dużo czasu na naukę nowego języka programowania, żeby móc analizować informacje zawarte w wielkich zbiorach danych. Sporo czasu zabiera im też samo oczekiwanie na wyniki. Nieraz po prostu toną w danych, a potrzebują tylko jednego elementu układanki, żeby podjąć decyzję.

My automatyzujemy proces pozyskiwania tych elementów układanki, który obecnie zajmuje 80–90% czasu pracy analityka. Proces realizowany jest z szybkością, z jaką działają komputery. Dzięki temu ekspert zamiast prowadzić jedno dochodzenie przez tydzień, może ich wykonać np. dziesięć dziennie.

Taka jest geneza powstania SecBI. Widzieliśmy, jak długo ten proces zajmuje. Zaczęliśmy zadawać sobie pytanie: czy możemy go zautomatyzować? Bo jeśli zrozumienie tego, co się stało, zajmuje nam kilka tygodni po tym, jak do tego doszło, to nie jesteśmy w stanie temu przeciwdziałać. Jeśli jednak zajęłoby 5 minut czy 5 sekund, być może będziemy mogli odpowiednio zareagować i zapobiec zagrożeniu.

Wybraliśmy nazwę SecBI, ponieważ uważamy, że w obszarze bezpieczeństwa brakuje wykorzystania możliwości oferowanych przez Business Intelligence.

Czy w ten sam sposób rozumują również przestępcy? Czy oni także myślą o automatyzacji?

Tak, widzimy, że atakujący używają do realizacji rozmaitych celów coraz bardziej zaawansowanego uczenia maszynowego. Przykładem są zautomatyzowane, ukierunkowane ataki phishingowe, które dostosowują się do preferencji i charakterystyki atakowanych osób. Przykładowo, dane, które wyciekły po niedawnym ataku na Facebook, teraz mogą być wykorzystane do kolejnych, bardziej precyzyjnych ataków. To automatyzacja typu social engineering.

Inny kierunek to automatyzacja rozwoju technik ataku. Wyszukiwanie luk w zabezpieczeniach, które mogą być wykorzystane, jest bardzo czasochłonne. Coraz więcej zaawansowanych technologii, takich jak rozmyte sieci neuronowe, pozwala na automatyczne szukanie podatności, generowanie kodu i natychmiastowe uruchamianie wyrafinowanego ataku, który jest praktycznie nie do wykrycia. To następna fala tego, co było robione już od wielu lat w obszarze rozwoju złośliwego oprogramowania. W zasadzie jest to rozszerzenie polimorfizmu, który od lat pozwala omijać zabezpieczenia antywirusowe. Teraz dzięki automatyzacji możliwe stało się obchodzenie zaawansowanych systemów wykrywania włamań.

Rozmawiał Rafał Jakubowski.

Alex Vaystikh był prelegentem na konferencji „Advanced Threat Summit 2018”. Relację z tego wydarzenia można przeczytać tutaj.