サイバーセキュリティにおける機械学習の欠点？

あなたは一度にいくつかの異なる質問をしている：特定のベンダーによってどのようにが実装されているかMLがどのようにできたかbeが効果的であるように実装されています。後者に焦点を当てましょう。

私はそのようなアルゴリズムを世界の主要な金融機関のために設計しました、そしてあなたに広い範囲を与えることができます。

本当であるにはあまりにも良いことではありません。セキュリティアナリストは、ログを見て、社内でのユーザーの運用状況を把握し、「通常の」状態を「理解」します。これは「ベースライン」と呼ばれます。しばらくすると、何かが怪しいように見えたときに「知っている」だけで、調査する必要があります。理由は次のとおりです。

• ネットワークは毎週金曜日の午後に静かになります（当時のオフィスにいる人間には明らかな理由によります）。
• ワールドカップがオンのときにネットワーク帯域幅が最大になります（DDoSではなくストリーミング）
• そのサーバーは常にそのエラーをスローします（悪い設定は誰も修正する方法を知りません）
• ユーザーは自分のパスワードを決して思い出せず、常にロックアウトされます
• 誰もが彼らにもっと安全に行動するように言うことを恐れているので、私たちはその幹部に目を向けないだけです
• 等.

他のすべての奇妙な点は、過度のエラーでも異常に低いエラーでも（そのサーバーがなぜそのエラーをスローしなかったのか）、調査に値します。これは以前はinfosecのパンとバターでしたが、今では「脅威の狩猟」という派手な用語の下になっています。

しかし、このベースラインはコンピューターに教えるのが簡単です。そして、あなたが正しいです、それはすべて、コンピュータが「正常」であるものを理解する能力に依存しています。

ネットワークの現在の状態を取り、それが「正常」であると判断するのは、大雑把なアプローチです。悪い行動を受け入れるようにアルゴリズムをトレーニングします。あなたはまだこれを要因としてしますが、完全にそれに依存することはできません。データを見る別の方法が必要です。別の視点を追加するには、いくつかの方法があります。

派手な用語はたくさんありますが、アルゴリズムを使わない人と話すときは、'weirdness'および'badness'という用語を使用します。現在の状態のベースラインは、「奇妙さ」を判断するのに役立ちます。ネットワークがすでにハッキングされており、ハッカーが自由にネットワーク上を浮遊している場合、それはこのネットワークにとって「奇妙」ではありません。それは「悪い」ですが、「奇妙」ではありません。 「奇妙さ」を判断するのが得意な場合、新しいハッカーが侵入したかどうか、または現在のハッカーが戦術を変更したかどうかを確認できます。

ネットワークのサブセットをベースライン化することにより、ユーザータイプの「奇妙な」ものを決定することにより、ネットワークベースラインを拡張できます。開発者は特定の方法で行動し、幹部は特定の方法で行動し、清掃スタッフは特定の方法で行動します。清掃スタッフアカウントが現在の状態で通常はエグゼクティブアカウントのように機能する場合、現在の状態では「正常」であっても、調査する必要があります。したがって、この再帰ベースラインは、MLの観点を強化する1つの方法です。

パースペクティブに追加するもう1つの方法は、'badness'を定義することです。正常な場合もありますが、その活動を断定的に「悪い」と定義することができます。このプリンターがDC内のすべてのサーバーにログインしようとするのは「正常」である可能性がありますが、これは明らかに「悪い」ことです。したがって、これらのパラメーターをアルゴリズム（署名テーブルへのルックアップ）に入力できれば、通常のネットワークアクティビティの悪さを明らかにできます。

約3年前に新しいUBA製品のデモを実行した後、最初にUBAに入りました。私は自分のネットワークを前後に知っていて、何が正常で何が異常であるかを直感的に知っていました。私はUBA製品を私と私の小さなチームのバックアップとして検討し、休暇中やチームを去ったときのスキルセットをカバーしました。あまり期待していなかった。しかし、この製品にはこの「悪さ」の見方が含まれており、ベースラインを設定して毎日脅威ハンティングを行っていたとしても、すぐに（2時間以内に）ネットワークの悪さを発見しました。

MLは本当であるには余りにも良くない。完璧ではありませんが、幅、速度、一貫性において人間より優れています。