BLOG

Threat Stack adiciona aprendizado supervisionado avançado ao ThreatML™ para detecção em profundidade

Miniatura de John Pinkham
João Pinkham
Publicado em 07 de junho de 2022

O Threat Stack agora é F5 Distributed Cloud App Infrastructure Protection (AIP). Comece a usar o Distributed Cloud AIP com sua equipe hoje mesmo .

Porque a detecção de anomalias não é mais suficiente para a segurança nativa da nuvem

Até agora, as organizações que protegiam a infraestrutura nativa da nuvem tinham que confiar na detecção de anomalias. Até mesmo a promessa desse tipo de aprendizado de máquina foi limitada por dificuldades técnicas e falta de dados, impedindo a detecção de ameaças em profundidade.

Não mais.

A versão mais recente do ThreatML do Threat Stack agora é alimentada por aprendizado de máquina supervisionado. Disponível para clientes do Threat Stack, o ThreatML agora vai além da simples detecção de anomalias, que é o padrão atual do setor. O ThreatML oferece detecção de ameaças altamente eficaz e focada com base em comportamentos para uma abordagem de detecção em profundidade que combina o sofisticado conjunto de regras do Threat Stack com aprendizado de máquina supervisionado.

Indo além do estado atual de detecção de intrusão e ameaças

As equipes de DevSecOps e outros grupos de segurança são continuamente restringidos na execução adequada das operações de segurança. De acordo com um estudo recente com mais de 200 diretores e gerentes de equipes de DevSecOps, CISOs (Chief Information Security Officer), engenheiros e arquitetos de segurança de nuvem e outros, as equipes de segurança de nuvem enfrentam rotineiramente:

  • Problemas de pessoal / falta de mão de obra
  • Pequenos orçamentos
  • Percepção de “nenhum valor agregado” por parte dos líderes de nível C
  • Demandas de tempo e recursos
  • Muitas prioridades diárias concorrentes
  • Pressão para atingir eficiência operacional

Além disso, ameaças cada vez mais sofisticadas estão criando ameaças e vulnerabilidades em evolução que as equipes de segurança precisam ficar atentas.

A maioria dos fornecedores de segurança em nuvem procura oferecer uma combinação de segurança em nuvem e eficiência operacional, então eles tentam resolver esses problemas oferecendo detecção e relatórios de anomalias. Ou seja, eles desenvolvem programas e soluções que se concentram em encontrar e relatar itens que parecem ser diferentes do que historicamente tem sido o comportamento básico de uma organização.

Porquê?Bem simples: Ferramentas e soluções que apenas revelam anomalias, ou o que é diferente do comportamento normal da linha de base, não exigem muito ajuste, treinamento, triagem ou revisão de alertas. Isso oferece aos clientes um método necessário de detecção de intrusão que alivia a pressão na execução das operações diárias de segurança. Na verdade, algumas empresas se gabam de fornecer “apenas alguns” relatórios de detecção de anomalias por dia. Como escrevemos no passado, ter um limite artificial no número de alertas gerados não é uma boa métrica – e, na verdade, pode ser perigoso para a segurança nativa da nuvem de uma organização. Com a detecção de anomalias, as organizações devem sempre se perguntar: Quais ameaças e alertas de intrusão podemos ignorar?

Ter apenas um método de detecção como esse, por si só, é insuficiente.

Há algumas razões pelas quais a detecção de anomalias não é suficiente para proteger ambientes de nuvem:

  1. Comportamento anormal, anômalo ou discrepante em relação a uma linha de base típica nem sempre é uma ameaça. Alertar sobre esse tipo de comportamento pode criar um falso positivo.
  2. Um comportamento que parece normal não significa necessariamente que seja bom. Ignorar certos comportamentos só porque as regras os consideram normais gera falsos negativos.

Ferramentas que oferecem apenas um método de detecção, como detecção de anomalias, perdem comportamentos críticos que indicam ameaças reais. Esses sistemas são projetados para revelar apenas o que parece diferente. Resumindo, usar a detecção de anomalias por si só sacrifica a segurança em prol da eficiência operacional.

Como o Threat Stack expandiu o ThreatML com base no feedback do cliente

À medida que as equipes de engenharia da Threat Stack conversavam com os clientes, ficou cada vez mais óbvio: DevSecOps e outras equipes de segurança em nuvem precisam de uma ferramenta de segurança em nuvem robusta e inovadora que forneça diversas soluções. Deve:

  1. Fornecer cobertura abrangente de ameaças de segurança conhecidas e desconhecidas;
  2. Elimine falsos negativos;
  3. Reconhecer e lidar com falsos positivos
  4. Mantenha as restrições operacionais baixas
  5. Limite as descobertas a ameaças reais e acionáveis
  6. Crie filtros e modelos que não percam comportamentos críticos
  7. Seja fácil de implantar, gerenciar e executar diariamente

Indo além da detecção de anomalias para a detecção de ameaças em profundidade

Para atender a essas necessidades dos clientes, a Threat Stack procurou criar uma abordagem de detecção em profundidade que pudesse descobrir ameaças conhecidas e desconhecidas, ao mesmo tempo em que eliminava os falsos negativos. O objetivo era avançar além da detecção de anomalias e fornecer uma imagem melhor do ambiente do cliente.

A solução? A versão avançada do ThreatML, que usa aprendizado supervisionado para fornecer detecção de ameaças de alta eficácia em comportamentos por meio de uma abordagem de detecção em profundidade. O uso inovador do aprendizado supervisionado pela Threat Stack para segurança na nuvem permite que as equipes de segurança mantenham os dados de suas organizações seguros, ao mesmo tempo em que fornecem eficiência operacional.

ThreatML com Aprendizado Supervisionado: Aprendizado de máquina feito corretamente

Um dos principais motivos pelos quais os fornecedores não aproveitam o aprendizado supervisionado é que usá-lo exige a rotulagem de bilhões de eventos diariamente para treinar os algoritmos. Em outras palavras, o aprendizado supervisionado precisa de dados, muitos dados, e esses dados devem ser classificados. E classificar dados pode ser uma atividade extremamente trabalhosa, exigindo muitos engenheiros de dados.

O ThreatML adota uma abordagem inovadora para o aprendizado supervisionado usando o mecanismo de regras abrangente do Threat Stack para classificar e rotular mais de 60 bilhões de dados por dia, em tempo real. Esse tipo de dados rotulados em escala é um requisito para concretizar totalmente o potencial do aprendizado supervisionado.

Depois que um comportamento passa pelo mecanismo de regras, ele pode ser analisado. O Threat Stack criou um mecanismo de inferência que usa dados rotulados e classificados para fazer previsões sobre comportamento. O mecanismo de inferência determina se o comportamento é previsível com base em dados de eventos circundantes. Comportamento imprevisível representa uma ameaça de alta prioridade, que é apresentada ao cliente como um alerta.

Adicionar aprendizado supervisionado ao nosso mecanismo de regras oferece aos clientes do Threat Stack vários métodos de detecção para capturar ameaças ao seu ambiente de nuvem. Ela permite que as organizações respondam à pergunta: “Dado o comportamento histórico desta carga de trabalho, esse comportamento era previsível ou não?” Comportamentos previsíveis podem ser ignorados com segurança, enquanto comportamentos imprevisíveis representam ameaças reais e acionáveis.

Como resultado, o ThreatML permite que os clientes se concentrem apenas nas ameaças de maior prioridade ao seu ambiente. Isso limita a fadiga de alerta e utiliza menos recursos. A abordagem de aprendizado supervisionado depende de regras para treinar modelos de forma automática e contínua, oferecendo aos clientes uma maneira de baixo contato para obter detecção de ameaças de alta eficácia. É semelhante às promessas de detecção de anomalias de eficiência operacional – mas o método de aprendizagem supervisionada não corre o risco de perder as ameaças de maior prioridade ao ambiente de uma organização.

Para discutir como o novo ThreatML da Threat Stack com aprendizado supervisionado pode ajudar nas operações diárias de segurança em nuvem da sua organização, entre em contato conosco hoje mesmo.

O Threat Stack agora é F5 Distributed Cloud App Infrastructure Protection (AIP). Comece a usar o Distributed Cloud AIP com sua equipe hoje mesmo .