Identyfikacja i reagowanie na nowe rodzaje złośliwego oprogramowania to tylko jedno z wielu wyzwań, jakie AI podejmuje w ramach wspierania bezpieczeństwa cybernetycznego. Innym, bardziej zaawansowanym zastosowaniem AI jest śledzenie codziennej aktywności użytkowników i stopniowe modelowanie wzorców zachowań oraz tendencji w oparciu o dostępne informacje historyczne. Analizując dane w czasie rzeczywistym algorytm może szybko wychwycić odchylenia od normy i podjąć odpowiednią reakcję.
O tym w jaki sposób technologie takie jak AI, uczenia maszynowe, analiza danych w czasie rzeczywistym czy wykorzystanie wzorców behawioralnych zmieniają podejście do cyberbezpieczeństwa rozmawiamy z Ireneuszem Wiśniewskim, dyrektorem zarządzającym F5 Polska.
Cloud Forum: Jakie są obecnie najbardziej palące problemy ochrony aplikacji i API w środowiskach wielochmurowych w obliczu rosnącego zagrożenia ze strony credential stuffing i narastającej fali cyberprzestępczości?
Ireneusz Wiśniewski: – Należałoby zacząć od tego, że coraz częściej stosowane w organizacjach interfejsy API są podatne na te same ataki co klasyczne aplikacje webowe. Tak więc interfejsy API podatne są na ataki OWASP Top10, podobnie jak aplikacje webowe. Warto jednak zwrócić szczególną uwagę na wzrost zagrożeń zautomatyzowanych, pochodzących od botów, w obu przypadkach – aplikacji webowych i API. Ataki te zostały pogrupowane przez OWASP w raporcie OAT Top20 (OWASP Automated Threats) i wśród nich możemy znaleźć takie ataki jak credental stuffing, scrapping, ataki DOS, skany podatności itd. I to właśnie wzrost zagrożeń pochodzących z botów wskazałbym jako główny problem i wyzwanie stojące przez organizacjami posiadającymi aplikacje. Dodatkowo ten problem komplikuje zmieniająca się architektura aplikacji i coraz częściej stosowane interfejsy API, które poprzez publikację na zewnątrz API poszerzają przestrzeń ataku.
Wiele mówi się o zastosowaniach sztucznej inteligencji w narzędziach ochrony aplikacyjnej. W jaki sposób wykorzystujecie uczenie maszynowe czy uczenie głębokie i jakie są granice zastosowania tych metod?
– Oprócz metod ochrony opartych o tradycyjne algorytmy, F5 Networks wykorzystuje również algorytmy sztucznej inteligencji. Na dziś wykorzystujemy technologie Big Data, Machine Learning (ML) i Deep Learning, jednak stosujemy je w połączeniu z innymi procesami, jeśli jest to właściwe.
Już teraz technologie te stosowane są w produktach ochrony przed zautomatyzowanym ruchem (w tym ruchem złośliwym pochodzącym od botów), jak i rozwiązaniach anti-fraud, z perspektywą implementacji ML w pozostałych produktach F5 Networks.
W ogóle, ML używamy do wykrywania anomalii i ostrzegania, do modelowania i klasyfikowania zachowań użytkowników i botów oraz do automatyzacji zabezpieczeń. Polega to na tym, że zabezpieczenia mają adoptować się do zmiennych ataków dostosowywanych przez cyberprzestępców w trakcie, celem ominięcia technologii bezpieczeństwa. Powinniśmy jednak podkreślić, że ML nie jest magiczną kulą. Zdolność do użycia jego wartości zależy w dużej mierze od posiadania odpowiednich cech i właściwych form nadzoru. W przypadku rozwiązań F5 Networks są to sygnały i telemetria zbierane od urządzeń generujących ruch w Internecie oraz wiedza naszych zespołów SOC, SIC.
Jeżeli chodzi o konkretne narzędzia to używamy mieszanki wewnętrznych i zewnętrznych komponentów ML, w tym Scikit-learn, XGBoost i Tensorflow. Używamy kombinacji modeli nadzorowanych i nienadzorowanych do ostrzegania, grupowania i reagowania.
Czytaj również:
Jakie są nowe możliwości technologiczne wsparcia ochrony aplikacyjnej w środowiskach wielochmurowych – w szczególności mam tutaj na myśli wykorzystanie AI oraz wzorców behawioralnych?
– Technologie ML wykorzystywane przez F5 Networks koncentrują się na funkcjach specyficznych naszej firmy, pochodzących z naszego JavaScript lub SDK – czyli z sygnałów i telemetrii, które zbierany z urządzeń generujących ruch w Internecie. W związku z tym te funkcje, a tym samym również ML, mają zastosowanie w dowolnej chmurze lub środowisku lokalnym.
Dzięki rozwiniętym algorytmom AI, możemy łączyć zdarzenia w agregacje, sekwencje i wykresy na wiele różnych sposobów, zapewniając szerokie możliwości modeli statystycznych i uczenia maszynowego. Nasze modele jak i nadzorujący je analitycy są w stanie stworzyć mechanizmy ochrony, które mogą być specyficzne, zróżnicowane, nakładające się i nieczytelne dla cyberkryminalistów, po to, żeby uniemożliwić adaptację przeciwnikowi.
Czy są obszary, w których wykorzystujecie te metody w praktyce?
– Używamy ML w procesach wykrywania anomalii i ostrzegania, klasyfikowania zachowań botów, ludzi, oszustów i projektowania zabezpieczeń. Algorytmów maszynowego uczenia zwykle wykorzystujemy do wspierania procesów ludzkich, na przykład do wysyłania alertów o anomaliach, które nasz SOC może zbadać, zasugerować zasady umożliwiające zespołom bezpieczeństwa naszych klientów szybką reakcję na nowe formy automatyzacji. W ten sposób istnieje nadzór człowieka nad alertami i mechanizmami obronnymi pochodzącymi z ML.
Jaka jest skuteczność zastosowania tych technologii?
– Żeby odpowiedzieć na to pytanie należy przede wszystkim zdać sobie sprawę ze skali, w której operujemy. F5 Networks zbiera dziennie miliardy sygnałów, a na ich podstawie telemetrii, pochodzących z setek milionów urządzeń generujących ruch do aplikacji naszych klientów. Wobec takiej skali zastosowanie ML daje znacznie lepsze rezultaty w porównaniu do klasycznych metod, a nawet odważę się na stwierdzenie, że klasyczne metody zawodzą przy takiej skali.
Wykorzystanie ML pozwala nam na skalowanie w celu ochrony największych marek na świecie przed najbardziej wyrafinowanymi oszustwami powodowanymi przez boty i ludzi. Algorytmy uczenia maszynowego umożliwiają nam zarówno skalowanie, jak i szybkie reagowanie na nowe formy ataku.
Czy wasi klienci korzystają bezpośrednio z narzędzi opartych na metodach uczenia maszynowego?
– Firma F5 Networks oferuje technologie ML jako część usług swoim klientom. W usłudze klienci nie mają bezpośredniego dostępu do algorytmów uczenia maszynowego. Implementacja ML jest wyodrębniona z procesu wdrożenia usługi u klienta. Klienci firmy F5 wdrażają JavaScript lub mobilny SDK używany do generowania sygnałów i telemetrii. Jednocześnie specjaliści firmy F5 wdrażają i odpowiednio dostosowują ML, aby przy udziale jej pracy zapewnić ochronę naszym klientom przed oszustwami i nadużyciami aplikacji. Dlatego też ML jest używany przez zespół F5 SOC do wykrywania nowych ataków oraz do „wzmacniania” sieci F5 przed coraz bardziej wyrafinowanymi nadużyciami i oszustwami w atakach na aplikacje. Rozwiązania F5 mają zastosowanie do aplikacji webowych i mobilnych przed atakami typu credential stuffing, automatic account takeover, scrapping itp.
Czy jest jakaś szczególna grupa klientów zainteresowana waszymi rozwiązaniami?
– Zwykle naszymi klientami są organizacje B2B I B2C, ponieważ posiadają cenne dane klientów – duże zbiory przyciągające uwagę kryminalistów.
Zdobywaj praktyczną wiedzę i buduj kompetencje chmurowe
Zapisz się na newsletter Cloud Forum
Tak, chciałbym/abym otrzymywać od Cloud Forum najnowsze informacje drogą elektroniczną, w tym w szczególności w formie dedykowanego Newslettera. Zostałem/am poinformowany/a, że zgoda może zostać cofnięta w dowolnym momencie.
