Эффективная кибербезопасность начинается и заканчивается данными.
Поскольку злоумышленники могут развернуть свои полезные данные за считанные секунды, обеспечение того, чтобы ваша группа безопасности не ждала минуты или часы, пока их платформа безопасности заметит, что атака уже началась, может означать разницу между изолированной угрозой и широкомасштабным взломом. Хотя большинство современных продуктов кибербезопасности могут быстро обнаруживать угрозы, в конечном итоге на их общую производительность влияет выбор конструкции, сделанный на ранних этапах процесса разработки продукта, в частности, то, как продукт управляет управлением и обработкой данных. В этом блоге я расскажу, как обнаружение угроз на основе ИИ может работать при каждом подходе с использованием вымышленной организации, работающей с пятьюдесятью различными продуктами безопасности и пятьюдесятью различными источниками данных для защиты своей среды.
Небольшое отступление об обнаружении угроз с помощью искусственного интеллекта
Два разных подхода к управлению данными
Схема при чтении
Schema-on-Read — это подход к управлению данными, при котором прием необработанных данных происходит без применения какой-либо заранее определенной схемы. Этот подход быстрее интегрирует множество различных источников данных, поскольку нет необходимости заранее понимать формат источника данных. Вместо этого необработанные данные сохраняются как есть, и любая схема, необходимая для обработки, создается во время чтения без изменения необработанных данных. Многие инженеры данных предпочитают Schema on Read, поскольку это позволяет им:
- Принимайте данные быстрее, поскольку предварительное структурирование не требуется.
- Адаптируйтесь к ситуациям, когда форматы данных постоянно меняются.
- Обрабатывайте широкий спектр источников данных без изменения их схемы.
Как и в любой технологии, у подхода Schema-on-Read к управлению данными есть свои недостатки:
- Производительность поиска страдает
- Аналитика данных требует больших вычислительных ресурсов.
- Более высокая склонность к несогласованности данных и ошибкам.
Обнаружение угроз с помощью искусственного интеллекта в мире чтения схем
Теперь, когда мы обсудили плюсы и минусы Schema-on-Read. Давайте рассмотрим, как обнаружение угроз с помощью ИИ может работать без схемы данных. Как упоминалось ранее, обнаружение угроз с помощью ИИ выявляет аномалии по сравнению с ожидаемым поведением. Учитывая это требование, продукту безопасности на основе искусственного интеллекта потребуется сложная логика, предназначенная для нормализации и обогащения данных «на лету» среди хранящихся данных в различных форматах. Каждая запись должна обрабатываться «на лету», чтобы не пропустить какую-либо аномалию. Нетрудно представить, что этот подход может быстро стать дорогим, поскольку он потребует постоянной значительной вычислительной мощности и памяти для временного хранения обработанных данных для различных обнаружений, управляемых искусственным интеллектом. Таким образом, хотя идея приема необработанных данных звучит хорошо и может быть полезна для некоторых случаев использования, не связанных с кибербезопасностью, в отношении обнаружения угроз с помощью ИИ, текущие затраты могут быстро выйти из-под контроля. Цена может стать невероятно высокой и непредсказуемой, если хранение данных и обнаружение на основе искусственного интеллекта производятся разными поставщиками.
Схема при записи
В отличие от схемы при чтении, схема при записи выполняет ETL (извлечение, преобразование, загрузку), который заранее применяет некоторую структуру (схему) к данным, преобразует и проверяет принятые данные перед записью в любое хранилище данных. Как и следовало ожидать, преимущества Schema on Write:
- Повышенная целостность данных и минимизация их несогласованности
- Быстрый и эффективный поиск
- Простой и быстрый анализ данных
Честно говоря, существует несколько ограничений, когда речь идет о подходах к управлению данными на основе схемы при записи:
- Изменения форматов данных источника данных могут потребовать обновления схемы.
- Схему данных необходимо обновить для размещения новых источников данных.
Обнаружение угроз с помощью искусственного интеллекта в мире чтения схем
Определив плюсы и минусы схемы при записи, давайте теперь посмотрим на обнаружение угроз с помощью ИИ с применением схем данных перед записью в базу данных. Мы предполагаем, что работаем с одной и той же организацией, предлагающей пятьдесят различных продуктов безопасности для защиты их среды. Преобразования данных происходят перед загрузкой в базу данных при агрегировании данных в платформу безопасности с схемой при записи. В ходе предварительной обработки все данные нормализуются и дополняются данными из других источников. Возможности обнаружения угроз на основе искусственного интеллекта теперь работают с чистым набором данных в стандартном формате с контекстом, создавая различные базовые показатели и быстро, эффективно и точно выявляя аномалии. Например, обнаружение скомпрометированных действий с учетными данными из необычного физического местоположения легко оптимизировать, поскольку географическое местоположение было добавлено к данным во время процесса обогащения перед записью в базу данных. Аналогично, например, все IP-адреса могут быть дополнены информацией о местоположении благодаря процессу нормализации, что позволяет легко обнаружить любую необычную активность пользователя.
Какой выбор для вас правильный?
Когда вы думаете об устойчивом конкурентном преимуществе перед злоумышленниками, подход к управлению данными, возможно, не первое, что приходит на ум, но так оно и есть. Несмотря на то, что у каждого подхода к управлению данными, рассмотренного выше, есть свои плюсы и минусы, в конечном итоге вы должны взвесить влияние стратегии управления данными о продуктах на ваши цели, прежде чем принимать ее, поскольку это имеет огромное влияние на стоимость, вашу способность к поиску угроз посредством эффективного поиск и вашу способность разрабатывать собственные правила обнаружения угроз на основе искусственного интеллекта или даже вручную.
Stellar Cyber построена на подходе управления данными Schema-on-Write, предоставляя нашим клиентам эффективные и точные результаты обнаружения угроз с помощью ИИ, быструю охоту за угрозами и гибкие возможности разработки для анализа угроз. Кроме того, при использовании нашей платформы функции Bring Your Own Data Lake (BYODL) организации могут значительно сэкономить средства, храня в своем озере данных или в существующем хранилище только результаты. SIEMЧтобы узнать больше о том, как Stellar Cyber оптимизирует взаимодействие с вашими данными, свяжитесь с нами сегодня, чтобы назначить индивидуальную консультацию.
