INTRODUCING THE DARKTRACE AI-BASED THREAT PROTECTION SOLUTION

Published by HEiSENBERG - Walter White, July 23rd, 2018

à¸£à¸¹à¸›à¸ à¸²à¸žà¸—à¸µà¹ˆà¹€à¸�à¸µà¹ˆà¸¢à¸§à¸‚à¹‰à¸à¸‡

UFABET : เมื่อเร็วๆนี้พวกเราได้ไปพบกับสินค้าน่าดึงดูดตัวหนึ่งที่ถูกดีไซน์มาให้ตรวจหาภัยรุกรามแบบต่างๆด้วยการใช้ Machine Learning ซึ่งพวกเราก็มีความเห็นว่าน่าดึงดูดดีเพราะเหตุว่าเป็นแถวคิดที่ค่อนข้างจะล้ำยุค พวกเราก็เลยเข้าไปเรียนตัวสินค้ารวมทั้งมานำเสนอให้คนอ่านได้ติดตามกันจะคืออะไรนั้นไปดูกันเลย

ทำไม MACHINE LEARNING จึงมีความสำคัญต่อด้าน SECURITY?

ในด้าน Security ผู้ที่มีความชำนาญโดยมากเห็นเหมือนกันว่าไม่มีเครื่องไม้เครื่องมือหรือโซลูชันใดป้องกันตัวรุกรามได้ 100% ซึ่งโซลูชันแบบ Signature-based สิ่งเดียวไม่สามารถที่จะประมือกับภัยรุกรามยุคที่เน้นเพื่อหลีกเลี่ยงการตรวจจับรวมทั้งหลบซ่อนให้ได้นานเพื่อลักขโมยข้อมูล (APT) ด้วยเหตุดังกล่าวก็เลยเป็นสิ่งที่ทำให้เกิดโซลูชันการปกป้องแบบ Behavior-based ที่นำเทคโนโลยีของ Machine Learning เข้ามาใช้เพื่อทำความเข้าใจความไม่เหมือนระหว่างความประพฤติการใช้แรงงานธรรมดารวมทั้งที่ผิดแผกไปจากเดิม (anomaly)

DARKTRACE คืออะไร ?

Darktrace เป็นผลิตภัณฑ์ป้องกันตัวรุกรามครั้งดีไซน์ด้วย Machine Learning อย่างแท้จริงด้วยโมเดลทางคณิต ซึ่งทำให้การตรวจจับมีคุณภาพถูกต้องแม่นยำ ลดค่า False Positive ลง รวมทั้งด้วยหน้า GUI ซึ่งสามารถ Investigate ข้อมูลได้ครบถ้วนบริบูรณ์ถลายในหน้าเดียว ทำให้ผู้ใช้สบาย ง่าย และไม่จะต้องเข้าใจเลขคณิตระดับสูง

องค์ประกอบของและรูปแบบการทำงานของ DARKTRACE

องค์ประกอบมีอยู่ด้วยกัน 3 ส่วนดังนี้

Darkflow
ส่วนที่เก็บข้อมูลโครงข่ายแล้วก็คัดเลือกกรองเฉพาะสิ่งที่พวกเราพอใจให้กับโมเดลซึ่งDarkflow สามารถรองรับข้อมูลได้ถึง 350 มิติ อย่างยิ่งจริงๆ ได้แก่ ขนาดของไบต์ที่ส่งในเวลาที่ส่ง ความยาวของข้อมูล ฯลฯ จะมองเห็นได้ว่ายังมีอีกเยอะมากตามรูปข้างล่าง
MODEL
สมการทางเลขที่ใช้สำหรับในการจำแนกแยกแยะข้อมูลของ Darktrace เป็นสมการที่ชื่อRecursive Bayesian Estimation หรือ Bayes Filter (ผู้ที่รากฐานด้าน Data Scienceหรือ Machine Learning คงจะรู้จักอย่างดีเยี่ยมแล้ว) โดยกลุ่มนักเลขรวมทั้งผู้ชำนาญของ Darktrace ได้สร้างโมเดลความประพฤติปฏิบัติที่ธรรมดามาให้แล้วเป็น 3 กรุ๊ปเป็นการกระทำของผู้ใช้งาน ความประพฤติของเครื่องใช้ไม้สอย และก็ การกระทำของโครงข่าย ซึ่งโมเดลเริ่มนี้ผู้ที่มีความชำนาญวินิจฉัยแล้วว่าการใช้งานธรรมดาคืออะไร เพราะฉะนั้นเมื่อนำ Darktrace มาใช้งานกับหน่วยงานของลูกค้า โมเดลเริ่มนี้จะมีการอัปเดตผ่าน Call Home อยู่เรื่อยเพื่อปรับให้เหมาะสมกับแต่ละหน่วยงาน UFABET นอกเหนือจากนี้Darktrace เองยังมีวัสดุให้ผู้ใช้งานที่มีความรู้ความสามารถด้าน Machine Learningแล้วก็ Security เข้ามาปรับปรุงโมเดลได้ในเชิงลึก
THREAT VISUALIZER

ส่วนแสดงผลลัพธ์แจ้งเตือนต่างๆ(อารมณ์ราวกับพวกเรามองผลสรุปบน Firewall) แม้กระนั้นจุดเด่นคือมีการแสดงผลลัพธ์เป็น 3 มิติทำให้รู้เรื่องได้ง่าย ทั้งยังยังมีการวางแบบมาให้ทำ Query ที่สลับซับซ้อนได้ผ่านทางช่อง Search ซึ่งช่วยทำให้ผู้ดูแลเรียกมองข้อมูลของ Object ที่พึงพอใจได้โดยตรง

โดยต้นตอแสดงผลลัพธ์มีทางเลือกได้ 4 หนทางเป็น
1. HREAT TRAY จะเป็นหน้าจอ 3 มิติในโปรแกรมเมื่อเราล็อกอินเข้าตัว DARKTRACE
2. Dynamic Threat Dashboard เป็นจอแสดงอีเว้นต์ของเรื่องราวต่าง โดยได้มีการวางแบบให้ง่ายต่อกลุ่มพินิจพิจารณาข้อมูลด้วยการแบ่งแยกข้อมูลกริ้วโกรธดับหนึ่งเพื่อดูภาพความเกี่ยวข้องของเรื่องได้และก็ขุดลึกไปถึงเนื้อหาเบ็ดเตล็ดได้ถัดไป
3. SOC Dashboard จอที่แสดงผลลัพธ์อีเว้นต์เรื่องราวต่างๆบนโทรศัพท์เคลื่อนที่ ซึ่งรองรับกับแพลตฟอร์มของ iOS ได้นั่นเอง
4. Automatic Alert ตัว Darktrace สามารถ Export ข้อมูลไปให้กับระบบ SIEM ได้หรือผ่านทาง API ไปยังระบบของ SOC รวมทั้งลิงก์ย้อนกลับมายังข้อมูล incident ในVisualizer ได้

ส่วนการตอบสนองภัยคุกคามต่างๆ อย่างอัตโนมัติ

Darktrace เรียกส่วน Automatic Respond ว่า Antigena ซึ่งด้านในนั้นมีโมเดลสำหรับภัยรุกรามแต่ละต้นแบบ ดังเช่นว่า Ransomware ใช้พอเพียงร์ท 445 ผ่านโปรโตคอล SMB หากเจอแล้วควรจะสนองตอบยังไง (คล้ายกับพวกเราระบุ Rule ให้กับ Firewall ว่ามีการเชื่อมต่อทางพอร์ตนี้ให้ Block ) แม้กระนั้นจุดเด่นของ Darktraceเป็นสามารถทำเป็นยืดหยุ่นกว่า UFABET ดังเช่น พวกเราจะบล็อกการเชื่อมต่อที่มีการส่ง Syn Packet มาทางพอร์ตที่พึงพอใจ ฯลฯ มีหัวข้อที่จำเป็นต้องทราบเกี่ยวกับ Antigena 3ข้อดังต่อไปนี้

1. MODEL

Darktrace แบ่งโมเดลการโต้ตอบภัยรุกรามเป็น 4 กรุ๊ปหมายถึงCompliance, External Threat, Insider Threat รวมทั้ง Significant Anomaly โดยเริ่มต้นนั้นมีโมเดลต้นแบบมาให้อยู่แล้วในระดับหนึ่ง เป็นต้นว่า Insider Threat เป็นการกระทำพื้นที่Darktrace บอกว่าไม่ดีเหมือนปกติข้างในการใช้แรงงานโครงข่าย ด้วยเหมือนกันในส่วนนี้ผู้รอบรู้ด้าน Machine Learning รวมทั้ง Security สามารถเข้าไปปรับปรุงหรือสร้างโมเดลการโต้ตอบภัยรุกรามที่ Darktrace จัดแจงไว้ให้ได้ (ตามรูปข้างล่าง)

2.MODE AND ACTION

สำหรับการใช้งาน Machine Learning นั้นจำต้องดีไซน์มาให้สามารถจัดการกับ False Positive ได้ (การแจ้งเตือนบกพร่องเป็นสถานะการณ์ธรรมดาแม้กระนั้นแจ้งว่าไม่ดี) ด้วยเหตุนั้นตัว Antigena ก็เลยดำเนินงานได้ 3 โหมดดังต่อไปนี้

Passiveหมายถึงเมื่อเกิดเหตุการณ์ตรงตามเงื่อนหนกําครั้งดไว้ ระบบแจ่มแจ้งเตือนไปยังผู้เกี่ยวข้อง
Human Confirmationเป็นคอยคําสั่งสินค้าผู้ดูแลให้เข้ามารับรองรวมทั้งตกลงใจว่าจะปฏิบัติเช่นไรถัดไป
Activeเป็นกระทำตามข้อแม้พารามิเตอร์ที่กําคราวดไว้ในทันทีอัตโนมัติ ดังเช่นว่าการส่งTCP Reset Package เพื่อตัดการเชื่อมต่อ

Action ภายหลังที่เจอสถานะการณ์แตกต่างจากปกติทำเป็นดังต่อไปนี้

หยุดหรือถ่วง เพื่อทำให้กิจกรรมที่เชี่อมโยงกับภัยรุกรามช้าลงแต่ว่ามิได้บล็อก
กักกันชั่วครั้งชั่วคราว อย่างเช่น กำหนดให้ผู้ใช้งานหรือเครื่องมือนั้น ใช้งานมิได้ตรงเวลาที่ระบุเพื่อคอยให้คณะทำงานเข้ามาตรวจทาน แม้กระนั้นหากว่าตรวจสอบแล้วก็พบว่าเป็นการแจ้งเตือนบกพร่องก็ไล่ออกหรือเพิ่มเวลาการกักกันได้

3.โมดูลของ Antigena มี 3 ระดับตามรูปด้านล่าง

Internet – ตอบสนองกับอุปกรณ์และการเชื่อมต่อของเครือข่าย รวมถึงสิทธิ์การเข้าถึงของผู้ใช้งาน
Network – ควบคุมผู้ใช้งานและการเข้าถึงของเครื่องต่อเครือข่ายอินเทอร์เน็ตและอื่นๆ
Email – ตอบสนองพฤติกรรมอีเมลขาเข้าและออก รวมถึงดูเนื้อหาของอีเมลด้วย

การทำงานของ Darktrace ไม่รบกวนการทำงานปกติ

เมื่อประกอบ Darktrace Core (Classifier), Visualizer และก็ Antigena เข้าด้วยกันจะมีผลให้พวกเราสามารถหมายกำหนดการปฏิบัติงานได้ (ตามรูปข้างล่าง) โดยเส้นประเป็นClassifier กล่าวว่าอะไรธรรมดาและก็หาก Antigena กล่าวว่าไม่ดีเหมือนปกติจะให้สนองตอบเช่นไร UFABET และก็แสดงผลลัพธ์ผ่าน Virtualizer ซึ่งตัว Darktrace เองสามารถจัดแจงเฉพาะความประพฤติที่ผิดแปลกไปจากเดิมจริงๆโดยไม่กระทบกับการใช้แรงงานธรรมดาของ Object นั้น (เส้นดกสีม่วง)

เปรียบเทียบข้อดีข้อเสีย

ข้อดี

มีการขึ้นต้นโมเดล Classifier แล้วก็ Antigena มาให้แล้วโดยเหตุนี้คนที่มีความสามารถฝั่ง Machine Learning และก็ Security จำกัดก็สามารถใช้งานได้
โมเดลของ Classifier และก็ Antigena Model สามารถแก้ไขหรือสร้างเองได้ ทำให้มีความยืดหยุ่นสูงมากมายๆ
การปรับปรุงแก้ไขหรือสร้างโมเดลถูกวางแบบมาในเชิงเครื่องหมายเพื่อผู้ใช้ไม่ต้องมีความสามารถเลขระดับสูง
Antegina สามารถสนองตอบภัยรุกรามได้อย่างอัตโนมัติก็เลยป้องกันตัวได้อย่างฉับไวและก็ สามารถเลือกเป็น Manual เพื่อขจัดปัญหา False Positive ในตอนเริ่มใช้งานได้
การทดลองขอ POC สามารถ Span ทราฟฟิคจาก Switch เข้ามาได้ก็เลยลดความยุ่งยากและไม่มีผลกระทบต่อระบบหลัก
มีการอัปเดตโมเดลผ่านทางอินเทอร์เน็ตเรื่อยให้ทำให้โมเดลมีความนำสมัยต่อภัยรุกรามใหม่ๆ

ข้อเสีย

จำต้องมั่นใจว่าทราฟฟิคข้อมูลที่จะนำไปปรับปรุงโมเดลนั้นไม่เป็นอันตราย โดยบางครั้งอาจจะตัดโซนเลียนแบบระบบจริงมาทำก่อน
การปรับปรุงแก้ไขโมเดลให้กำเนิดสมรรถนะสูงสุดนั้นจำต้องอาศัยพื้นความรู้ในเรื่องของSecurity และก็ Machine Learning เพื่อทำสร้างโมเดลที่เหมาะสมกับการใช้แรงงาน
หน่วยงานที่มีการเปลี่ยนรูปแบบการนำไปใช้งานอยู่เรื่อยเป็นประจำบางทีก็อาจจะไปสู่สถานการณ์สเถียรได้ช้าด้วยเหตุว่าจำต้องให้โมเดลศึกษาปรับนิสัยอยู่เป็นประจำ (แม้กระนั้นเจอได้น้อยมากอันที่จริง)

สรุป

Darktrace สามารถเข้ามาช่วยคุ้มครองภัยรุกรามของหน่วยงานแบบ Behavior-basedได้อย่างแท้จริงด้วยเทคโนโลยี Machine Learning ที่สามารถปรับให้สมควรกับสิ่งแวดล้อมของแต่ละหน่วยงานได้อีกด้วย นอกจากนั้นนับว่าเป็นสินค้าที่ดีไซน์มาให้ตรงตามปัญหาของโซลูชันคุ้มครองด้านความยั่งยืนและมั่นคงไม่มีอันตรายที่ควรจะมีเป็น สนองตอบได้อัตโนมัติเพื่อความรวดเร็ว สามารถจัดแจงกับภัยรุกรามได้ด้วยตัวเอง Detectionและก็ Respond ขณะเดียวกันนี้ยังให้โอกาสให้ส่งข้อมูลถัดไปยัง Third-party อย่าง Splunk, QRadar, ArcSight รวมทั้ง LogRythm เพื่อกระทำการพินิจพิจารณาเชิงลึกถัดไปได้ผ่าน API สามารถศึกษาเล่าเรียนเสริมเติม UFABET