Pe plan internaţional s-au remarcat recent câteva lansări de soluţii şi produse care până de curând ar fi părut cel puţin ciudate. E vorba de soluţii şi produse de tehnologie legată de analiza comportamentală. Interesul stârnit de astfel de lansări a fost suficient de mare încât să se genereze chiar un curent de fuziuni şi achiziţii pe această piaţă de nişă.
La fel ca în multe alte cazuri, nici în cazul acestei pieţe de nişă nu a existat un singur factor de dezvoltare, ci o întreagă pleiadă, însă ceea ce a reprezentat un cadru particular a fost faptul că mai mulţi factori cheie s-au reunit simultan pentru a genera un fenomen.
Practic, în cazul tehnologiei de analiză comportamentală, au existat trei factori esenţiali care au declanşat totul. În primul rând, tehnologia stocării de date s-a îmbunătăţit şi a devenit mai ieftină, fapt care a permis entităţilor utilizatoare de date să stocheze din ce în ce mai multe date. În al doilea rând, distribuirea capacităţii de procesare date permite actualmente colectarea şi analizarea de date în timp real. În fine, tehnologiile tradiţionale de securitate IT, bazate pe semnături, sau tehnologiile proiectate să detecteze genuri specifice de atacuri, eşuează din ce în ce mai mult în tentativa de a bloca atacatorii din ce în ce mai sofisticaţi.
Pe măsură ce firmele şi-au instalat controale de securitate tot mai performante, atacatorii şi-au schimbat atenţia de la lansarea de malware la persoanele din cadrul organizaţiilor, fie furându-le numele de utilizator şi parola ca să acceseze şi să navigheze prin reţeaua firmei fără să fie detectaţi, fie obţinând colaborarea acestora prin şantaj sau alte forme de coerciţie.
Furtul de identitate legitimă a utilizatorului, atât în cazul reţelelor instalate în firme, cât şi în cel al serviciilor de tip cloud, devine tot mai popular în rândurile atacatorilor ca modalitate de a pătrunde într-o organizaţie. Şi mai trist este faptul că un asemenea act este foarte uşor de comis, conform experţilor în securitate. De exemplu, utilizatorul primeşte un mail foarte credibil care pare să vină de la departamentul IT al firmei şi în care utilizatorul este anunţat că i s-a umplut căsuţa poştală cu mesaje şi, ca atare, i s-a blocat contul. Tot ce trebuie să facă el este să tasteze numele de utilizator şi parola ca să-şi acceseze contul şi să şteargă mesajele. Numai că, printr-o asemenea acţiune, atacatorii reuşesc să fure date legitime ale utilizatorului fără să folosească malware şi, astfel, pătrund în sistemele IT ale firmei fără să fie detectaţi.
Ei bine, tocmai intensificarea utilizării unor astfel de tehnici de către atacatori a dus la creşterea cererii, din partea organizaţiilor, de tehnologii inovatoare precum analiza comportamentală, care să le permită acestora să construiască tablouri corecte de activitate normală pentru toţi angajaţii. Cu alte cuvinte, dacă unui utilizator i se fură datele sau un angajat este constrâns prin diverse mijloace să coopereze cu atacatorii, astfel de sisteme sunt capabile să semnaleze tipare comportamentale neobişnuite.
Instrumente în timp real
Dezvoltarea instrumentelor IT de analiză comportamentală a fost suficient de accelerată încât la ora actuală instrumentele noi care apar pe piaţă să fie capabile să efectueze analize în timp real sau aproape de timpul real, fapt care permite organizaţiilor atacate să răspundă rapid, şi în acelaşi timp să aplice analiza în mod retrospectiv. Iar toate acestea reprezintă doar începutul.
Unele firme producătoare de soluţii IT de acest gen ţintesc, de pildă, la integrarea inteligenţei artificiale în cadrul produselor, fapt care va permite organizaţiilor să integreze date care nu ţin de spectrul securităţii IT pentru construcţia unor profile şi mai corecte de utilizator, care să reducă la minimum apariţia de incidente fals pozitive. Aşa cum arată analizele de piaţă, inteligenţa artificială a ajuns suficient de matură încât să fie folosită la detectarea fraudelor cu carduri. Ca atare, nu ar exista niciun motiv care să împiedice în viitorul imediat folosirea acestei tehnologii la detectarea activităţilor de natură răuvoitoare sau criminală din cadrul reţelelor IT ale organizaţiilor.
Mergând în paralel cu analiza comportamentală, zona de răspuns la apariţia de incidente este şi ea supusă, conform experţilor, unei schimbări radicale. Iar sensul primordial aici este cel al automatizării răspunsului. O astfel de automatizare înseamnă, de pildă, apariţia instantanee a unei cerinţe suplimentare de autentificare la accesul în reţea sau blocarea automată a unui proces sau a unei tranzacţii în cazul depistării unor comportamente neobişnuite.
Iar lucrurile nu se opresc aici. Intenţia de viitor a furnizorilor de astfel de soluţii de securitate este aceea de a se ajunge la identificarea rapidă a atacatorilor aflaţi în spatele unor atacuri. Tendinţa este facilitată şi de faptul că tehnologia de analiză comportamentală se bazează pe analizarea activităţilor în mod centralizat, fapt care permite organizaţiilor să identifice rapid victimele unui atac sau utilizatorii ale căror date de utilizator au fost compromise.
Promisiunea lansată de instrumentele de analiză comportamentală este aceea că va permite organizaţiilor să ştie ce, unde şi când s-a produs un eveniment de securitate, precum şi faptul dacă acel eveniment a fost o anomalie demnă de a fi investigată. Tocmai o asemenea promisiune face din analiza comportamentală posibilul obiect de interes al investiţiilor în dezvoltarea de soluţii de securitate în viitorul imediat.
de Bogdan Marchidanu
