Bảo mật bởi học máy phụ thuộc vào dữ liệu tốt và kinh nghiệm con người
Bảo mật được hỗ trợ bởi học máy
Hơn một phần ba các nhà quản trị bảo mật CNTT và nhà phân tích bảo mật vô tình bỏ qua nhiều cảnh báo về mối đe dọa khi đã có quá nhiều cảnh báo. Đây là một vấn đề phổ biến thúc đẩy nhu cầu cao về phân tích dựa trên học máy, vì nó giúp các nhóm bảo mật sàng lọc lượng dữ liệu khổng lồ để ưu tiên các rủi ro, lỗ hổng và có thể đưa ra quyết định tốt hơn.
Tuy nhiên, các chuyên gia cảnh báo rằng, khi sử dụng công nghệ dựa trên học máy cho bảo mật, thì có thể phải đối mặt với nguyên lý chất lượng đầu vào không tốt thì chất lượng đầu ra cũng không tốt (GIGO). Nếu dữ liệu xấu thì các công cụ học máy sẽ không có tác dụng, khiến cơ sở hạ tầng bảo mật dễ bị tấn công và khiến tổ chức có nguy cơ bị vi phạm bảo mật trên diện rộng.
Tìm kiếm chiến lược bảo mật từ khoa học dữ liệu
An ninh mạng được hỗ trợ bởi học máy cũng phải có dữ liệu tốt, kết hợp nhiều kinh nghiệm trong ngành và các bộ quy tắc đã xác định để khai thác được sức mạnh của các thông tin này. Bằng cách có một chiến lược bảo mật bắt nguồn từ khoa học dữ liệu và được hỗ trợ bởi chuyên môn của con người, các tổ chức sẽ có cái nhìn đầy đủ về sự tuân thủ và bảo mật trong môi trường đám mây của họ.
Các giải pháp bảo mật dựa trên học máy sẽ thu thập và sử dụng hiệu quả dữ liệu chất lượng cao để cung cấp khả năng hiển thị rủi ro trên toàn bộ cơ sở hạ tầng đám mây, bao gồm lớp ứng dụng, dịch vụ đám mây containers-as-a-service, nền tảng Kubernetes, thành phần thực thi container (container runtime), máy chủ...
Việc thu thập liên tục dữ liệu sẽ tạo sự khác biệt cho chiến lược bảo mật đám mây dựa trên học máy. Qua đó, cần làm việc với một đối tác đáng tin cậy để thu thập hiệu quả dữ liệu thô cần thiết, nhằm có được cái nhìn đầy đủ về các hành vi tiềm ẩn rủi ro trong môi trường. Đây chính là nền tảng cho các phân tích nâng cao và kịp thời và lợi ích của giải pháp này có thể hiệu quả gấp đôi.
Đầu tiên, nó mở rộng phạm vi sẵn có, mang lại nhiều thông tin có ý nghĩa hơn và giảm thời gian cho điều tra bảo mật. Thứ hai, nó giảm bớt gánh nặng hoạt động trong việc quản lý các tập dữ liệu bảo mật lớn, giảm chi phí nhân lực và công nghệ cho việc thiết kế các hệ thống tại chỗ.
Áp dụng quy tắc và học máy để thúc đẩy phương thức phát hiện
Việc hiển thị thông tin chi tiết có ý nghĩa bảo mật và tuân thủ cho một lượng lớn dữ liệu đòi hỏi nhiều phương pháp phát hiện. Đây có thể là các quy tắc cảnh báo dựa trên hành vi, tính điểm danh tiếng cho địa chỉ IP và các phát hiện bất thường dựa trên học máy. Các giải pháp hiệu quả nhất sử dụng kết hợp các phương pháp này cho phép các nhóm bảo mật:
- Theo dõi những thông tin đã biết - sức mạnh của công cụ quy tắc: Các quy tắc cảnh báo và học máy phải tồn tại cùng nhau để phát hiện cả mối đe dọa và sự bất thường đã biết lẫn chưa biết. Các quy tắc giúp nắm bắt được rủi ro trong các kiểu hành vi phổ biến trong môi trường. Tổ chức xác định trước những gì cần quan tâm và các quy tắc sẽ giám sát và cảnh báo về những kiểu hành vi này một cách đáng tin cậy mỗi khi phát hiện được hành vi đáng ngờ. Điều này là cần thiết khi theo dõi các mối đe dọa nội bộ hoặc cung cấp lịch sử truy cập hệ thống đầy đủ cho việc đánh giá tuân thủ.
- Theo dõi những thông tin chưa biết - áp dụng học máy để phát hiện sự bất thường: các kỹ thuật học máy vượt trội trong việc phát hiện những rủi ro chưa biết trong môi trường. Chúng vượt trội trong việc học hỏi và phân biệt hành vi để phát hiện ra các hành vi bất thường, đáng chú ý nhất là hoạt động đáng ngờ mà hầu như không thể dự đoán được khi thiết lập các quy tắc cảnh báo. Vì vậy, tính năng phát hiện bất thường được hỗ trợ bởi học máy có thể thêm các thông tin có giá trị để bổ sung cho các quy tắc. Ví dụ: với tính năng phát hiện bất thường được hỗ trợ bởi học máy, các nhà phân tích bảo mật có thể nhận biết được các xu hướng đáng ngờ được gây ra bởi các hành vi không kích hoạt được cảnh báo. Nhưng khi các hoạt động này được nhóm lại và xem xét một cách tổng thể, chúng có thể phát hiện ra đáng kể các lỗ hổng và mối đe dọa về bảo mật và tuân thủ.
Tóm lại, các quy tắc cùng với học máy sẽ cho phép người dùng phát hiện cả các mối đe dọa đã biết và chưa biết từ bất kỳ đâu trong cơ sở hạ tầng, nhưng chuyên môn của con người cũng đóng vai trò quan trọng. Trên thực tế, đó là cách người dùng loại bỏ hoặc chú trọng các cảnh báo khác nhau, hoặc sửa đổi quy tắc và ảnh hưởng đến chiến lược bảo mật.
(Quy tắc + học máy) + chuyên môn của con người = Một thế trận bảo mật vững chắc
Với việc thu thập dữ liệu từ xa và phát hiện rủi ro, tổ chức có hai thành phần chính trong chiến lược bảo mật đám mây của mình. Thành phần thứ ba là yếu tố con người, tức là chuyên môn của các chuyên gia bảo mật và vận hành CNTT dày dặn kinh nghiệm.
Ngay cả với các công nghệ và kỹ thuật bảo mật hiện đại, tổ chức cũng không thể loại bỏ con người ra khỏi quy trình bảo mật. Máy tính có thể thực hiện tính toán tốt, nhưng con người phải bối cảnh hóa tính toán đó và đưa ra quyết định đúng đắn. Sự tham gia của các chuyên gia bảo mật vẫn cần thiết trong việc xác thực cảnh báo, thu thập bối cảnh và xác định các hành động khắc phục rủi ro.
Phương pháp tiếp cận phân lớp dựa trên học máy cho bảo mật đám mây thông minh
Đối với môi trường đám mây hiện đại và cơ sở hạ tầng tại chỗ đang chuyển đổi sang đám mây, bảo mật và sự tuân thủ yêu cầu các quy tắc cảnh báo dựa trên hành vi, thông tin chi tiết do học máy thống kê và chuyên môn của con người. Các yếu tố này phải được kết hợp cùng nhau để cung cấp khả năng phát hiện có độ chính xác cao, tối đa hóa phạm vi phát hiện các mối đe dọa đã biết và chưa biết, cung cấp bối cảnh cần thiết để nhanh chóng phát hiện, điều tra và ứng phó với rủi ro.
Đỗ Đoàn Kết
(theo Help Net Security)