Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpenTalks.AI - Андрей Арефьев, Сценарии использования машинного обучения в информационной безопасности

opentalks3
February 05, 2021

OpenTalks.AI - Андрей Арефьев, Сценарии использования машинного обучения в информационной безопасности

opentalks3

February 05, 2021
Tweet

More Decks by opentalks3

Other Decks in Business

Transcript

  1. СЦЕНАРИИ
    ИСПОЛЬЗОВАНИЯ
    МАШИННОГО
    ОБУЧЕНИЯ
    в информационной
    безопасности
    Андрей Арефьев
    Директор по инновационным
    проектам, InfoWatch

    View full-size slide

  2. 2
    Безопасность и AI
    Защита от внешних угроз Защита от внутренних угроз
    Возник специальный термин —
    UEBA (у нас его сократили до UBA)

    View full-size slide

  3. 3
    ML применяется там, где много данных
    А данных много в таких системах как:
    1 Endpoint detection and response
    2 Network Traffic Analysis (proxy, firewall, ...)
    3 Employee Monitoring Tools (EM, DLP)
    4 Security Information and Event Management (SIEM)
    5 Data Centric Audit and Protection (DCAP)

    View full-size slide

  4. 4
    Внешние угрозы.
    ML в Endpoint Protection
    В чём проблема?
    Как решить?
    ● Ежедневно выявляется около 300 000
    новых вредоносных программ
    ● Общее число известных вредоносных
    программ превышает 200 000 000

    View full-size slide

  5. 5
    Внешние угрозы.
    ML в WAF
    Как решить?
    В чём проблема?
    ● Программисты ошибаются или не думают о безопасности сервисов
    ● Интернет — очень агрессивная среда
    Top 10 Web Application Security Risks
    Injection. Injection flaws, such as SQL, NoSQL, OS, and LDAP injection, occur when untrusted data is sent to an interpreter
    as part of a command or query. The attacker’s hostile data can trick the interpreter into executing unintended commands
    or accessing data without proper authorization.
    Broken Authentication. Application functions related to authentication and session management are often implemented
    incorrectly, allowing attackers to compromise passwords, keys, or session tokens, or to exploit other implementation
    flaws to assume other users’ identities temporarily or permanently. [...]

    View full-size slide

  6. 6
    Внутренние угрозы.
    ML в DLP
    Как решить?
    В чём проблема?
    ● Сотрудники — это возможность и проблема
    Я устал, я ухожу
    Сотрудник японского банка Bank of Saga экспортировал персональные
    данные 169 ключевых клиентов банка и продал их кибермошенникам.
    Украденные данные включали ФИО, домашние адреса, баланс
    на банковском счёте и телефоны клиентов. Ущерб составил $169 млн.

    View full-size slide

  7. 7
    Люди — залог
    успешного бизнеса
    Успех в бизнесе зависит
    от людей, людей и ещё раз
    людей. В любой сфере
    бизнеса сотрудники — самое
    главное конкурентное
    преимущество.
    Ричард Брэнсон, основатель
    группы компаний Virgin

    View full-size slide

  8. 8
    Цена потери сотрудника
    Сотрудник собрался уволиться
    × Эффективность ниже на 20%
    × Получает полную зарплату
    × Выплаты при увольнении
    (неизрасходованный отпуск, премии
    и т. д.)
    Поиск нового сотрудника
    × Зарплата рекрутера, оплата ИТ-систем
    и другие расходы
    × Простой работы
    × Риск нанять не того, кого нужно

    View full-size slide

  9. 9
    Цена потери сотрудника
    Обучение и адаптация
    × Время на адаптацию нового сотрудника.
    Сотрудник ещё не работает в полную
    силу, а платим полную зарплату
    × Разница заработной платы. Как правило,
    зарплата нового работника выше
    × Налоги. Выплаты за нового работника
    и за уволившегося
    × Время наставника. Обучение нового
    сотрудника, адаптация к рабочему
    процессу

    View full-size slide

  10. ВСЕГДА
    есть шанс остановить
    сотрудника, если знать
    заранее

    View full-size slide

  11. 11
    Немного статистики

    View full-size slide

  12. Прогнозирование увольнений
    ● На каждый контролируемый канал —
    >150 фичей
    ● Это значит — >150 измерений

    View full-size slide

  13. 13
    Как выглядят изменения в профиле
    40 дней до увольнения
    30 дней до увольнения
    20 дней до увольнения
    Для объективной оценки нужно 60 рабочих дней наблюдения

    View full-size slide

  14. 14
    Подписывайтесь на нас в соц сетях!
    @InfoWatchOut InfoWatchFamily InfoWatchFamily

    View full-size slide