Når antivirus og firewall giver op: Statistik og kunstig intelligens renser dit netværk, når malware er sluppet ind

Hvis der går hul på dit netværksforsvar og ubudne gæster trænger ind, så kan statistik og algoritmer udgøre den dørmand, som du står og har brug for. Den retrospektive sikkerhed vinder mere og mere frem i erkendelse af, at man ikke kan stoppe alt.

Den gængse vej mod bedre sikkerhed har gennem mange år været at bygge sine forsvarsværker højere og højre.

Men i erkendelse af at de it-kriminelle hele tiden er et skridt foran, så er oprydningen efter sikkerhedsuheld kommet i fokus i it-afdelingerne.

Denne del af sikkerhedskæden kan selvfølgelig ikke stå alene, men skal gå hånd i hånd med de mere traditionelle sikkerhedstiltag i netværket.

Den retrospektive sikkerhed er sådanset ikke en ny ide, eksempelvis har Czech Technical University i Prag arbejdet med teknologier til denne form for sikkerhedsbeskyttelse i mere end ti år. Arbejdet blev dengang sendt i udbudt af den amerikanske hær og flåde, der ønskede at se nærmere på mulighederne.

Grund-ideen i det, man kalder network behavior analysis (NBA), bestå i at anvende kunstig intelligens og machine learning - altså automatiske processer - til at holde øje med trafikken i netværket og gå på jagt efter den mistænkelige trafik.

Cloud-teknologien har samtidig tilføjet en ekstra dimension til teknologien, da sikkerhedsleverandørerne nu hurtigt og effektivt kan samle sikkerhedsproblemer frahele internettet i en pulje, som så kan bruges til at opdatere de enkelte virksomheders netværk i næsten realtid.

En af de virksomheder, der slår på tromme for retrospektiv sikkerhed, er Cisco.

Christian Heinel, der er sikkerhedsekspert i den virksomhed fortæller, at det langt hen ad vejen handler om kommunikation mellem traditionelle og nye sikkerhedsteknologierne - præcis som kommunikationen mellem forretning og it er vigtig.

"Hvis vi skal imødegå den voksende trussel, bliver vi nødt til at gøre som hackerne, der flittigt kommunikerer med hinanden. Derfor skal virksomheder sørge for, at deres sikkerhedsløsninger taler sammen, så de kan supplere hinanden og derved kan beskytte virksomheden mere effektivt," siger han.

På den måde kan den præventive sikkerhed eksempelvis i form af virksomhedens firewall eller antivirus-program kommunikere med de teknologier, der skal tage over, hvis der går hul på netværket.

På jagt efter det unaturlige
Jagten på problemer i netværket er baseret sig på kunstig intelligens, machine learning og statistiske modeller.

Da sikkerhedsfirmaerne indsamler enorme mængder af data om sikkerhedsproblemer i skyen, så er løsningerne som udgangspunkt også cloud-baserede.

Teknologien går først på jagt i netværket for at lede efter afvigelser.

Når der opdages mistænkelig trafik, så kan resultaterne fra netværket sammenlignes med indholdet i den store sky-baserede database med sikkerhedsproblemer for at se, om der er tale om ulovlig indtrængen eksempelvis i form af malware i netværket.

"Det, der er fælles for en virksomheds ansatte er, at de bruges netværket i et ret fast mønster. Når man analyserer på trafikken, så vil langt hovedparten være ganske almindelig trafik, men hvis der eksempelvis er en udgående forespørgsel, på et bestemt tidspunkt hver dag så bør alarmklokkerne lyde. På denne måde kommer man også uden om signaturer, og man behøver ikke åbne pakkerne, der jo også ofte vil være krypterede. Det er en lukket model i det enkelte firma."

Malware lever i 100 dage
Trafikkarakteristika opfanges typisk gennem log-data, hvor teknologien hurtigt kan sortere alt den lovlige trafik fra.

Den trafik, der så bliver tilbage, analyseres så for at finde eventuelle problemer. Opklaringsarbejdet handler således om, hvor trafikken går hen, hyppighed og lignende faktorer.

"På den måde kan man stadfæste om afvigelserne er malware eller ej. Derved kan man meget hurtigt opdage sikkerhedsproblemer, der ellers kan leve meget længe i et netværk, når de først er kommet ind."

Ifølge Cisco går der i gennemsnit 100 dage fra virksomheder bliver inficerede med ukendt malware til de opdager den.

Samtidig kan teknologien sætte spotlight på den eller de steder, maskiner eller brugere, der opstår mistænkelig trafik omkring.

Bare for at slå det fast. Denne teknologi virker kun, når det er gået galt?


"Ja, det er korrekt. Det handler om at finde usikkerheder i netværket så hurtigt som mulig, for at få dem ud af verden uden at de ødelægger for meget."

Der findes flere forskellige udgaver af disse løsninger, men et af de parametre som de forskellige sikkerhedsfirmaer konkurrerer om, er hastigheden. Hvem kan hurtigst opdage problemerne.

Er det i retning af retrospektiv sikkerhed eller NBA, at sikkerheds-branchen nu bevæger sig


"Ja, absolut. Teknologier som antivirus, netværksfiltre eller firewalls fejler hver dag. Derfor er det nødvendigt at rydde op efter de trusler, der slipper igennem. Mange firmaer flytter også budget fra det præventive til retrospektive område," siger han, og fortsætter:

"Der er en grænse for, hvor høje mure man kan bygge omkring sit netværk."

Er det ikke en falliterklæring, at opgive sit forsvar og acceptere, at netværket er hullet?


"Der er nok enighed om, at præventiv sikkerhed aldrig bliver 100 procent sikker. Hvis det er præmissen, så giver det rigtig god mening at følge op på sikkerheden på denne måde. Samtidig er teknologien velegnet til eksempelvis at overvåge IoT-enheder, der ofte vil have et simpelt trafikmønster, hvor man hurtigt vil opdage uregelmæssigheder," fortæller Cisco-manden.

Læs også:
CSC's sikkerhedsdirektør: Ni ud af ti sikkerhedshændelser opstår på grund af manglende hjemmearbejde

Ransomware-banditterne er i direkte krig med hinanden bag frontlinjen - det kan faktisk gavne dig

Sikkerhedsekspert advarer: Vi er i gang med at smadre det internet, vi kender i dag



mest debatterede artikler

Premium
Her er Microsofts planer med Windows for 2021: Pønser på fire nye versioner
Windows 10 vil udkomme i et væld af nye afskygninger i det kommende år. Få overblikket her.
Computerworld
Stein Bagger gør comeback i ny branche: "De lignede et mafiahold, førte sig frem som nyrige og plaprede løs om urealistiske drømme"
Stein Bagger har skiftet navn og fører sig nu frem i store biler i en helt ny branche, skriver en dansk avis.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Hyperkonvergeret infrastruktur: Få det bedste fra on-premise og cloud
Det står stadig mere klart, at cloud ikke er løsningen på alle udfordringer. Høje og ofte uigennemskuelige omkostninger er én årsag – omfattende krav til standardisering er en anden. Det efterlader organisationen i et limbo, hvor det kan være svært at finde den rette balance mellem cloudløsninger og det on-premise baserede datacenter. I denne hvidbog kan du få inspiration til, hvordan du opbygger en hyperkonvergeret infrastruktur, der opfylder kravene til hurtig skalering og forretningsmæssig agilitet med XaaS.