È innegabile che l’apprendimento automatico (ML) stia cambiando il gioco per la protezione dell’infrastruttura cloud. I fornitori di sicurezza hanno adottato rapidamente il ML come parte delle loro soluzioni e per una buona ragione: analizzando enormi quantità di dati, può aiutare a identificare le minacce, accelerare la risposta agli incidenti e alleviare il carico sui team delle operazioni di sicurezza troppo tassati.
Il problema? La campagna pubblicitaria dei venditori ha creato aspettative molto elevate per la tecnologia, rendendo difficile separare i fatti dalla realtà. Nonostante le affermazioni di marketing, non è un proiettile d’argento. L’apprendimento automatico non è appropriato per ogni caso d’uso. È, tuttavia, uno strumento molto potente che dovrebbe essere nella cassetta degli attrezzi di ogni professionista della sicurezza per identificare e porre rimedio alle minacce nell’infrastruttura cloud.
In che modo i leader della sicurezza possono superare queste elevate aspettative e trovare usi pragmatici per l’apprendimento automatico? Inizia con la comprensione di cosa può fare e cosa non può . Per mantenere la promessa del ML, dobbiamo prima dissipare alcuni dei pregiudizi che lo circondano. Questo articolo metterà in evidenza alcune di queste idee sbagliate e offrirà consigli pratici per iniziare.
Mito: l’apprendimento automatico sostituirà il team di sicurezza
Il ML promette di automatizzare le attività ripetitive e manuali durante il ciclo di rilevamento e risposta agli incidenti. In primo luogo, può aiutare a ridurre il “tempo medio di rilevamento” (MTTD) identificando comportamenti anomali su larga scala. Questo è fondamentale quando si analizzano miliardi di eventi da più fonti di telemetria di sicurezza ed è qualcosa che gli esseri umani non sono attrezzati per fare. In secondo luogo, il ML può aiutare a fornire il contesto tanto necessario che aiuta gli analisti della sicurezza a valutare e analizzare i risultati.
ML è qui per accettare i nostri lavori come professionisti della sicurezza? Assolutamente no. Nonostante le affermazioni dei fornitori di operazioni “a mani libere”, gli esseri umani sono fondamentali per una corretta implementazione, formazione e uso continuo dei dati per rilevare e porre rimedio alle minacce.
Ricorda: l’apprendimento automatico utilizza l’analisi statistica dei dati per trovare modelli e fare osservazioni. Prendiamo ad esempio il rilevamento delle anomalie: il rilevamento delle anomalie utilizza l’apprendimento non supervisionato per evidenziare i valori anomali nei dati di sicurezza. Il rilevamento delle anomalie non dà giudizi su buono o cattivo o a basso rischio rispetto ad alto rischio. Data la natura estremamente dinamica ed effimera dell’infrastruttura cloud, tali decisioni devono essere prese da persone con esperienza di sicurezza e comprensione del contesto organizzativo. Abbiamo ancora bisogno che gli esseri umani traggano conclusioni dai risultati di ML; infatti, stabilire un ciclo di feedback uomo-macchina ottimizzerà e migliorerà i modelli, renderà i risultati più rilevanti nel tempo e consentirà agli esseri umani di concentrarsi su un lavoro di valore superiore. In questo modo, è utile vedere il ML come un moltiplicatore di forza.
Mito: il ML può generare informazioni significative da qualsiasi dato
Strategie di sicurezza efficaci basate sul ML richiedono dati, e molti di essi, per addestrare adeguatamente i modelli. Man mano che l’infrastruttura e lo stack dell’applicazione diventano più stratificati, la telemetria della sicurezza diventa fondamentale per la valutazione olistica del rischio e la creazione di modelli ML efficaci.
Il tipo di dati necessari dipende fortemente dagli obiettivi dell’organizzazione e del team per il ML. Per la sicurezza dell’infrastruttura cloud, è necessario disporre di una telemetria di sicurezza ampia e profonda che possa consentire al sistema ML di analizzare i punti dati dall’intera infrastruttura. Senza una visione completa della tua infrastruttura, il tuo sistema ML continuerà a trarre false conclusioni a causa della mancanza di profondità e ampiezza nei dati. Questa profondità di telemetria si dimostrerà utile anche per stabilire il contesto per lo studio dei risultati. Attenzione alle implementazioni ML “scatola nera” che non sono in grado di spiegare perché sono emerse una particolare scoperta.
La qualità dei dati è anche un fattore chiave per l’efficacia del ML. Immondizia dentro, spazzatura fuori come dice il proverbio popolare. I dati devono essere normalizzati e ben modellati in modo che possano essere analizzati su larga scala, con esperti di sicurezza che forniscono input sull’ingegneria delle funzionalità.
Mito: il ML può essere utilizzato come unico mezzo di rilevamento delle minacce
Alcuni fornitori posizionano il ML come un’unica soluzione per tutte le sfide relative all’infrastruttura cloud di sicurezza. Lo annunciano come un “pulsante facile”, promettendo un approccio imposta e dimentica.
La realtà: l’ML è solo un pezzo del puzzle. È importante ricordare che il machine learning può rilevare anomalie nei dati di sicurezza, ma non tutte le anomalie sono minacce e non tutte le minacce sono anomalie. Inoltre, il comportamento anomalo può cambiare nel tempo e diventare normale quando i modelli si riaddestrano.
Per affrontare questa limitazione, il machine learning dovrebbe essere associato a un rilevamento approfondito e basato su regole per coprire sia le minacce note che le minacce “sconosciute”. Con il monitoraggio basato su regole per i rischi noti e il monitoraggio tramite machine learning per le anomalie, i team di sicurezza possono garantire di avere la copertura per tutte le minacce.
Con una comprensione dei miti di cui sopra, i leader della sicurezza possono trovare modi pratici per sfruttare il ML come parte di una pratica di sicurezza cloud. Le macchine sono estremamente brave nell’applicare analisi statistiche ai dati, ma non è sufficiente. Gli esseri umani apportano le competenze di sicurezza, il contesto organizzativo e il processo decisionale ancora tanto necessari all’interpretazione dei risultati del ML. Insieme al rilevamento basato su regole, i team di sicurezza possono garantire di avere visibilità su minacce note e sconosciute. Questa è la vera promessa dell’apprendimento automatico: il rilevamento delle minacce che risolve i problemi del mondo reale, migliora e diventa più rilevante nel tempo e consente agli esseri umani di concentrarsi su attività di maggior valore aggiunto.