Tech

Når antivirus og firewall giver op: Statistik og kunstig intelligens renser dit netværk, når malware er sluppet ind

Hvis der går hul på dit netværksforsvar og ubudne gæster trænger ind, så kan statistik og algoritmer udgøre den dørmand, som du står og har brug for. Den retrospektive sikkerhed vinder mere og mere frem i erkendelse af, at man ikke kan stoppe alt.

Artiklens øverste billede
Foto: Toby Talbot/AP Images

Den gængse vej mod bedre sikkerhed har gennem mange år været at bygge sine forsvarsværker højere og højre.

Men i erkendelse af at de it-kriminelle hele tiden er et skridt foran, så er oprydningen efter sikkerhedsuheld kommet i fokus i it-afdelingerne.

Denne del af sikkerhedskæden kan selvfølgelig ikke stå alene, men skal gå hånd i hånd med de mere traditionelle sikkerhedstiltag i netværket.

Den retrospektive sikkerhed er sådanset ikke en ny ide, eksempelvis har Czech Technical University i Prag arbejdet med teknologier til denne form for sikkerhedsbeskyttelse i mere end ti år. Arbejdet blev dengang sendt i udbudt af den amerikanske hær og flåde, der ønskede at se nærmere på mulighederne.

Grund-ideen i det, man kalder network behavior analysis (NBA), bestå i at anvende kunstig intelligens og machine learning - altså automatiske processer - til at holde øje med trafikken i netværket og gå på jagt efter den mistænkelige trafik.

Cloud-teknologien har samtidig tilføjet en ekstra dimension til teknologien, da sikkerhedsleverandørerne nu hurtigt og effektivt kan samle sikkerhedsproblemer frahele internettet i en pulje, som så kan bruges til at opdatere de enkelte virksomheders netværk i næsten realtid.

En af de virksomheder, der slår på tromme for retrospektiv sikkerhed, er Cisco.

Christian Heinel, der er sikkerhedsekspert i den virksomhed fortæller, at det langt hen ad vejen handler om kommunikation mellem traditionelle og nye sikkerhedsteknologierne - præcis som kommunikationen mellem forretning og it er vigtig.

"Hvis vi skal imødegå den voksende trussel, bliver vi nødt til at gøre som hackerne, der flittigt kommunikerer med hinanden. Derfor skal virksomheder sørge for, at deres sikkerhedsløsninger taler sammen, så de kan supplere hinanden og derved kan beskytte virksomheden mere effektivt," siger han.

På den måde kan den præventive sikkerhed eksempelvis i form af virksomhedens firewall eller antivirus-program kommunikere med de teknologier, der skal tage over, hvis der går hul på netværket.

Jagten på problemer i netværket er baseret sig på kunstig intelligens, machine learning og statistiske modeller.

Da sikkerhedsfirmaerne indsamler enorme mængder af data om sikkerhedsproblemer i skyen, så er løsningerne som udgangspunkt også cloud-baserede.

Teknologien går først på jagt i netværket for at lede efter afvigelser.

Når der opdages mistænkelig trafik, så kan resultaterne fra netværket sammenlignes med indholdet i den store sky-baserede database med sikkerhedsproblemer for at se, om der er tale om ulovlig indtrængen eksempelvis i form af malware i netværket.

"Det, der er fælles for en virksomheds ansatte er, at de bruges netværket i et ret fast mønster. Når man analyserer på trafikken, så vil langt hovedparten være ganske almindelig trafik, men hvis der eksempelvis er en udgående forespørgsel, på et bestemt tidspunkt hver dag så bør alarmklokkerne lyde. På denne måde kommer man også uden om signaturer, og man behøver ikke åbne pakkerne, der jo også ofte vil være krypterede. Det er en lukket model i det enkelte firma."

Trafikkarakteristika opfanges typisk gennem log-data, hvor teknologien hurtigt kan sortere alt den lovlige trafik fra.

Den trafik, der så bliver tilbage, analyseres så for at finde eventuelle problemer. Opklaringsarbejdet handler således om, hvor trafikken går hen, hyppighed og lignende faktorer.

"På den måde kan man stadfæste om afvigelserne er malware eller ej. Derved kan man meget hurtigt opdage sikkerhedsproblemer, der ellers kan leve meget længe i et netværk, når de først er kommet ind."

Ifølge Cisco går der i gennemsnit 100 dage fra virksomheder bliver inficerede med ukendt malware til de opdager den.

Samtidig kan teknologien sætte spotlight på den eller de steder, maskiner eller brugere, der opstår mistænkelig trafik omkring.

Bare for at slå det fast. Denne teknologi virker kun, når det er gået galt?

"Ja, det er korrekt. Det handler om at finde usikkerheder i netværket så hurtigt som mulig, for at få dem ud af verden uden at de ødelægger for meget."

Der findes flere forskellige udgaver af disse løsninger, men et af de parametre som de forskellige sikkerhedsfirmaer konkurrerer om, er hastigheden. Hvem kan hurtigst opdage problemerne.

Er det i retning af retrospektiv sikkerhed eller NBA, at sikkerheds-branchen nu bevæger sig

"Ja, absolut. Teknologier som antivirus, netværksfiltre eller firewalls fejler hver dag. Derfor er det nødvendigt at rydde op efter de trusler, der slipper igennem. Mange firmaer flytter også budget fra det præventive til retrospektive område," siger han, og fortsætter:

"Der er en grænse for, hvor høje mure man kan bygge omkring sit netværk."

Er det ikke en falliterklæring, at opgive sit forsvar og acceptere, at netværket er hullet?

"Der er nok enighed om, at præventiv sikkerhed aldrig bliver 100 pct. sikker. Hvis det er præmissen, så giver det rigtig god mening at følge op på sikkerheden på denne måde. Samtidig er teknologien velegnet til eksempelvis at overvåge IoT-enheder, der ofte vil have et simpelt trafikmønster, hvor man hurtigt vil opdage uregelmæssigheder," fortæller Cisco-manden.

Læs også på Computerworld:

CSC's sikkerhedsdirektør: Ni ud af ti sikkerhedshændelser opstår på grund af manglende hjemmearbejde

Ransomware-banditterne er i direkte krig med hinanden bag frontlinjen - det kan faktisk gavne dig

Sikkerhedsekspert advarer: Vi er i gang med at smadre det internet, vi kender i dag

Top job

Forsiden lige nu

Anbefalet til dig

Giv adgang til en ven

Hver måned kan du give adgang til 5 låste artikler.
Du har givet 0 ud af 0 låste artikler.

Giv artiklen via:

Modtageren kan frit læse artiklen uden at logge ind.

Du kan ikke give flere artikler

Næste kalendermåned kan du give adgang til 5 nye artikler.

Teknisk fejl

Artiklen kunne ikke gives videre grundet en teknisk fejl.

Ingen internetforbindelse

Artiklen kunne ikke gives videre grundet manglende internetforbindelse.

Denne funktion kræver Digital+

Med et Digital+ abonnement kan du give adgang til 5 låste artikler om måneden.

ALLEREDE ABONNENT?  LOG IND

Denne funktion kræver abonnement

Med et abonnement kan du lave din egen læseliste og læse artiklerne, når det passer dig.

Teknisk fejl

Artiklen kunne ikke tilføjes til læselisten, grundet en teknisk fejl.

Forsøg igen senere.

Del artiklen
Relevant for andre?
Del artiklen på sociale medier.

Du kan ikke logge ind

Vi har i øjeblikket problemer med vores loginsystem, men vi har sørget for, at du har adgang til alt vores indhold, imens vi arbejder på sagen. Forsøg at logge ind igen senere. Vi beklager ulejligheden.

Du kan ikke logge ud

Vi har i øjeblikket problemer med vores loginsystem, og derfor kan vi ikke logge dig ud. Forsøg igen senere. Vi beklager ulejligheden.