Pięć obszarów innowacji w dziedzinie cyberzabezpieczeń w 2017 r.

Firmy technologiczne muszą być innowacyjne, aby przetrwać. Jest to szczególnie istotne w branży cyberbezpieczeństwa. W 2017 roku cyberprzestępcy postawią przed dostawcami zabezpieczeń nowe wyzwania. Wielu hakerów to przecież niezwykle błyskotliwi ludzie i aby ich pokonać, trzeba być sprytniejszym od nich.

Dostawcy cyberzabezpieczeń muszą dziś oferować klientom otwarte, zintegrowane technologie ochronne i sieciowe. Za ich pomocą można  dostrzegać zmieniające się techniki ataków, szybko na nie reagować oraz rozwijać system bezpieczeństwa wraz ze wzrostem swojego biznesu.

Oto kilka obszarów, które branża cyberbezpieczeństwa obejmie w tym roku intensywną działalnością badawczo-rozwojową:

1. Uczenie maszynowe metodą deep learning na potrzeby analizowania ataków

Na przestrzeni lat pojawiały się różne typy technologii wykrywania zagrożeń.

Na początku były to sygnatury – technika porównująca niezidentyfikowany fragment kodu ze znanym szkodliwym oprogramowaniem.

Jako kolejne pojawiły się metody heurystyczne, które próbują zidentyfikować szkodliwe oprogramowanie w oparciu o charakterystykę zachowań w kodzie.

Następnie stworzono wydzielone środowiska uruchamiania aplikacji, czyli sandboxing. W jego ramach nieznany kod jest uruchamiany w środowisku wirtualnym w celu stwierdzenia, czy ma szkodliwy charakter.

Kolejne było uczenie maszynowe, w którym zaawansowane algorytmy są wykorzystywane do klasyfikowania zachowania określonego pliku jako szkodliwego lub nie, zanim analityk — człowiek — podejmie ostateczną decyzję.

Obecnie na rynek wchodzi nowa technologia — deep learning. Deep learning to zaawansowana forma sztucznej inteligencji, której zasada działania przypomina sposób, w jaki mózg człowieka uczy się rozpoznawać obiekty. Może ona wywrzeć duży wpływ na cyberbezpieczeństwo, zwłaszcza w wykrywaniu oprogramowania typu zero-day, nowych odmian malware’u oraz wyrafinowanych zagrożeń APT.

Gdy maszyna nauczy się, jak wygląda złośliwy kod, jest go w stanie w czasie zbliżonym do rzeczywistego zaklasyfikować jako szkodliwy lub nie, z niezwykle dużą precyzją. Na tej podstawie można wprowadzić reguły usuwania lub przenoszenia plików do kwarantanny bądź wykonywania innych zdefiniowanych czynności. Nowe informacje mogą być automatycznie udostępniane w całym środowisku zabezpieczeń.

2.     Wielkie zbiory danych do wyszukiwania korelacji w dziennikach

Im więcej danych ma do dyspozycji dostawca zabezpieczeń, tym większą ma szansę na  wyciągnięcie wniosków, zrozumienie zagrożeń i zapewnienie ochrony. Wykorzystanie wielkich zbiorów danych, mieszczących się w gwałtownie rosnących dziennikach zdarzeń, będzie więc ważnym obszarem badań w 2017 r.

Prace nad udoskonaleniem narzędzi do zarządzania informacjami związanymi z bezpieczeństwem i zdarzeniami (SIEM, ang. Security Information & Event Management) będą z pewnością kontynuowane. Fortinet także chce zwiększyć możliwości swoich rozwiązań, aby lepiej wykorzystywały przygotowywane przez FortiGuard Labs dane na temat zagrożeń. Umożliwi to jeszcze lepszy wgląd w cyberataki.

3. Wzmacnianie bezpieczeństwa kontenerów

Uruchamianie aplikacji w kontenerach, a nie na maszynach wirtualnych, staje się coraz popularniejsze. Centrum środowisk tego typu są rozwiązania, takie jak Docker — projekt open source, a zarazem platforma, która umożliwia użytkownikom pakowanie, dystrybucję i kontrolę aplikacji Linux w kontenerach.

Technologia Docker ma wiele zalet, do których należą: prostota, szybsza konfiguracja i możliwość sprawniejszego wdrożenia. Ma ona też jednak pewne wady związane z bezpieczeństwem. Oto kilka z nich: