Conecte los puntos con algoritmos genéticos en CNAPP


Durante la última década, hemos visto un aumento dramático en las migraciones a la nube. Las soluciones locales se están convirtiendo en una cosa del pasado, y la nube se está convirtiendo en la opción predeterminada en el presente. Pero, ¿por qué nube y por qué ahora?

Muchas organizaciones están experimentando actualmente una transformación electronic. Gran parte de esto se acelera debido a la pandemia de COVID-19. Migrar a la nube ofrece numerosos beneficios: la escalabilidad, la agilidad y la reducción de costos son algunos de los más significativos. Las soluciones heredadas requieren configurar más servidores físicos, lo que aumenta la complejidad y el esfuerzo operativo, lo que genera costos más altos. Mientras tanto, la nube nos permite hacer todo, y más, con solo unos pocos clics.

El paso a la nube plantea nuevos desafíos. Una de las formas más sencillas en que los atacantes pueden llegar a las joyas de la corona de una organización en la nube es despejar las rutas de ataque a través de una combinación de permisos y acceso a la pink. En lo que se está convirtiendo rápidamente en un método de acceso, muchos atacantes utilizan técnicas de escalada de privilegios nativas de la nube como PassRole para obtener acceso privilegiado. La desviación más pequeña en un entorno puede abrir estas rutas de ataque en segundos, creando una locura whole para una empresa. Con los privilegios correctos, la exfiltración de datos toma solo unos minutos y es casi imposible de detectar.

Para exponer estos tipos de rutas de ataque, DevOps y los equipos de seguridad pueden usar capacidades de aprendizaje automático integradas en un plataforma de protección de aplicaciones nativas de la nube (CNAPP) solución para detectar permisos anormales, correlacionar todas las señales y buscar privilegios que colisionen con exposiciones públicas y vulnerabilidades.

Uno de los problemas que hemos visto con más frecuencia, y que es difícil de rastrear y detectar, es que se otorgan permisos adicionales a muchos usuarios dentro de un arrendatario. En estos casos, la mayoría de los permisos no se utilizan y los atacantes pueden aprovecharlos. Una solución CNAPP puede detectar permisos anormales de identidades dentro de un arrendatario mediante metodologías específicas de aprendizaje automático.

Nuestra definición de «anormal» es basic: procesable + más riesgoso = anormal. Por ejemplo, cuando los usuarios de un grupo determinado tienen más o menos el mismo conjunto de permisos en un entorno, pero un usuario tiene permisos adicionales en otro entorno, consideramos que los permisos adicionales son anormales.

En el caso de valores atípicos sobre datos que consisten en una gran cantidad de características, los modelos nativos de aprendizaje automático suelen ser PCA, DBSCAN, LOF o Isolation Forest. Sin embargo, descubrimos que el modelo perfecto es un algoritmo genético. Los algoritmos genéticos tienen como objetivo detectar mutaciones dentro de una serie de genes.

¿Cómo exactamente hacemos eso? Echemos un vistazo a un ejemplo específico.

Captura de pantalla de un marco de datos de Python que muestra los permisos asignados a las cuentas Amos, Augustus y David

En la tabla anterior, podemos ver que Amos tiene algún permiso adicional en el entorno de producción, lo que consideramos anormal. Ahora vamos a convertir ese gráfico en un vector de ADN (asignación de ADN).

Conversión del gráfico a vector de ADN para mostrar mutaciones

Vemos aquí que Amos tiene mutaciones. El objetivo es buscar comunidades cercanas que tengan permisos additional importantes solo entonces se puede considerar una anomalía. Además, si las comunidades están lejos unas de otras, no es necesariamente anómalo.

Marco de datos de Python que muestra la distancia entre nodos

Después de cálculos de ML más profundos para eliminar los falsos positivos, obtendrá un algoritmo genético que puede ayudar a detectar valores atípicos con permisos anormales. Es rápido, very simple y efectivo. Tratar de realizar este tipo de análisis con un enfoque heredado requeriría un esfuerzo manual masivo para comprender primero el impacto comercial de cada permiso y luego detectar los permisos excesivos. Por otro lado, un enfoque basado en ML sugiere un método de autoaprendizaje sin la necesidad de comprender todos y cada uno de los permisos, lo que ayuda a acelerar el proceso.

Con las amenazas en la nube en constante evolución, los métodos basados ​​en detección automática/aprendizaje profundo se convertirán en una necesidad cuando evaluando soluciones CNAP. No espere a que la próxima desviación energetic una cadena de eventos catastróficos: adelántese a la curva de detección de su próxima brecha con el poder del aprendizaje automático.

Lee mas Perspectivas de socios de Zscaler.



Enlace a la noticia initial