本文出自

數位抗疫力

數位抗疫力

機器學習幫你找出資安弱點

How Machine Learning Can Help Identify Cyber Vulnerabilities
拉維.斯里尼瓦森 Ravi Srinivasan
瀏覽人數:3004
讓員工擔負重責,無法解決問題。

員工無疑是你公司裡最重要的資產。但若你問資訊安全專家是否同意這個說法,他們大部分會說,人是你最大的負債。

長久以來,無論組織花了多少錢在網路安全上,還是有個靠技術無法解決的難題:人為因素。顧能公司(Gartner)估計,2017年全世界花在資訊安全上的費用約為864億美元,而在2018年會增加為930億美元,為的是提升整體網路安全和教育計畫,以防止人們的行為傷害到布局精良的安全計畫。但這還不夠,因為人為錯誤仍舊是最大的威脅。

根據IBM的網路安全智慧指數(Cyber Security Intelligence Index),高達95%的資安意外都與人為過失有關。這真是個驚人的數字,這多半是因為員工點擊了惡意連結、行動裝置或電腦遺失或被偷走,或者網路部門人員不經意的設定疏失。設定疏失所造成的災難最近發生過不少,光是今年,就有超過十億筆資料紀錄因為伺服器不當設定而外洩。組織可以想見,錯誤無可避免,網路罪犯正虎視眈眈,準備好好利用這些錯誤。

既然如此,企業組織該如何同時監控外來的可疑威脅,並且注意員工的行為,以確保網路安全?有句話說:「人類難免犯錯」,只要是人,總會犯錯。所以我們得找出方法加深對人的了解,以預測錯誤或是異常行為,這不只是為了防禦資安風險,也是為了好好服務內部的利害關係人。

在網路安全有個新興的專業領域,專門分析使用者的行為,有可能協助處理來自外部的威脅,同時也提供必要的見解,以解決與人有關的問題。它使用新的技術,結合大數據和機器學習(machine learning),讓安全團隊得以更加了解員工,並在可能發生不尋常的事情時,很快看出情況有問題。

首先,要找出重要的行為和情境的資料點,像是某員工慣用的IP位址、每天通常開始登入上網的時間、使用多部機器/IP位址的情形、最常使用的檔案和資訊等,把這些資料和其他資料彙集起來,進行監控,以建立常見行為的側寫。舉例來說,若人力資源團隊的某位員工突然設法取用工程資料庫,且達到每分鐘數百次,安全團隊很快就會收到警示,預防意外事件發生。

這麼做的真正價值在於,公司可以運用從當中學到的東西,建立一個以風險為基礎的驗證系統,供員工取用資料或進入系統。這基本上是表示,這套系統會根據員工過往行為的風險分數高低,並對照他們所要求取用的資料或系統,特別針對個別員工制定專門的取用資料層級。這種以風險為基礎的驗證,更能夠辨識出可能出錯的使用者,或者那些過去曾為網路罪犯製造過機會的人,以協助解決網路安全中的「人類」問題。

為了做到這一點,我們首先必須了解,並非所有的使用者都處於同樣位置。在同一家公司中的每一位員工,對科技的「熟稔」程度會很不同:有些很嫻熟科技和啟動防護措施,像是生物識別技術(biometrics)和多重要素驗證(multi-factor authentication);其他員工則沒這麼小心,可能在幾個常用的帳號都重複使用相同的密碼(令人發抖行為),導致密碼很容易外洩或資料外流;或是從可疑的電子郵件地址下載檔案。

除此之外,每家公司裡的不同員工,可能有不同的角色和需求,有的使用者只需要基本的電腦設備即可,有的可能需要五部不同的機器,才能完成工作。因此,在探索網路安全中的人為因素時,並沒有「一體適用」的方法,而組織也不能再仰賴傳統的自動化科技,傳統做法的心態是,設定好之後就可一勞永逸。

傳統上對網路安全的想法,通常是靠控制和限制來防範人為錯誤,但其實,最好的辦法就是讓員工做自己,然後設計一套能夠應付人類行為的系統。了解員工平時使用資訊科技的情況,再加上有能力即時分析每一種可能的情境,就能夠幫助安全團隊為所有員工,設定更恰當的驗證層級,從嫻熟科技的軟體開發人員到會議室裡不太用電腦的老派人員,都有專屬的驗證層級。這樣一來,就能在網路安全、隱私和使用者經驗之間取得平衡,同時也保護組織和組織裡的人員,避免因自己犯錯而受累。

(陳佳穎譯)



拉維.斯里尼瓦森 Ravi Srinivasan

IBM Security策略與產品管理副總裁。


本篇文章主題分析