Britská firma Darktrace na sebe upozornila na konferenci o kyberbezpečnosti, kterou organizovala společnost Gartner v Londýně v polovině září. Ukázala totiž cestu, kterou se možná v budoucnu bude ubírat řada korporátních procesů - využívá umělou inteligenci a strojové učení.
Umělá inteligence je samozřejmě oblíbeným marketingovým tahákem posledních let, to ale nic nemění na tom, že některé firmy dělají v tomto směru skutečné pokroky. A Darktrace, založený před třemi lety v Cambridge, ukazuje velmi zajímavou alternativu ke klasickým nástrojům síťového zabezpečení.
Strážce, který všechno vidí, všechno sleduje a stále se učí
Nicole Eaganová, CEO společnosti Darktrace, na konferenci Gartner Security & Risk Management Summit v Londýně 2016
„Tradiční přístup k bezpečnosti - signatury, firewally a prevence - má svoje limity. My proto jdeme dál. Náš program se učí,“ řekla ve své prezentaci Nicole Eagonová, šéfka společnosti Darktrace. „Používáme strojové učení. Program si uvědomí, co je obvyklé pro každé zařízení a každého uživatele v síti. Náš program se naučí tyto vzorce chování a umí pak odhalit anomálii.“
Samostatný server Darktrace je připojený přímo do firemní sítě a sleduje provoz na síti uvnitř firmy i směrem ven. Tento provoz umí zobrazit v pěkné vizualizaci, která je prý inspirována grafikou v počítačových hrách. Můžete se podívat na aktuální provoz, nebo se zaměřit na libovolný moment v minulosti.
Mezi anomálie, které systém Darktrace umí detekovat, patří:
- malware a škodlivý software
- neobvyklý přenos dat směrem z firmy
- aktivita na neobvyklých portech nebo z neobvyklých zemí
- neoprávněné použití administrátorského přístupu
- pokus o prolomení hesla
- ransomware (vyděračský malware)
- využívání sítě tor
- těžení bitcoinů v síti (často projev malware)
- výskyt neobvyklého či nového zařízení v síti
Podobné služby samozřejmě nabízí i antiviry, firewally a další řešení, např. pomocí tzv. heuristiky. Darktrace ale nabízí trochu jiný přístup, slibuje jednoduchou instalaci během několika hodin (někteří experti z oblasti počítačové bezpečnosti nad takovým slibem krčí rameny) a především onu umělou inteligenci, která se učí, co se děje právě ve vaší firmě.
Žádná data neopustí firmu
Darktrace umí v reálném čase upozornit na nezvyklou aktivitu, tedy například přístup hackera, napadení virem nebo podezřelé chování uživatele. Správce sítě dostane upozornění na mobil nebo na mail. V nastavení si lze zvolit, od jaké závažnosti má systém „plašit“ a kdy stačí jen událost zaznamenat pro pozdější prozkoumání. Právě zpětné zkoumání toho, co se vlastně v síti dělo, je díky propracovaným vizualizacím velmi působivé. Můžete si vybrat, na co se zaměříte, nastavit rychlost zpětného přehrávání, odfiltrovat komunikaci podle zařízení, kanceláří, portů nebo adres a tak podobně.
„Je důležité zdůraznit, že Darktrace není cloudová služba. Vše běží přímo na serveru u zákazníka na samostatném zařízení,“ říká Emily Ortonová, šéfka marketingu Darktrace. „Víme, že si firmy cení svého soukromí, a proto není možné, abychom využívali data o jejich síťovém provozu k učení našeho systému. Proto je vše zcela v režii zákazníka.“
Firmám prý nabízejí minimálně měsíční lhůtu na bezplatné vyzkoušení. Instalace trvá dvě hodiny a poté se systém musí nějakou dobu (týden až dva) učit, jako to ve firemní síti chodí.
Systém lze nastavit i tak, aby v případě detekce podezřelé aktivity došlo k jejímu zablokování. Této funkci říká Eagonová „imunitní systém počítačové sítě“ a na videu je znázorněn zelenou „ozdravnou“ grafikou.
Samozřejmě, že Darktrace - jako ostatně žádné bezpečnostní řešení - nemůže fungovat stoprocentně. A už vůbec nebude užitečný firmě, která nemá schopné síťové správce, kteří rozumí tomu, co se v síti děje. Darktrace ostatně nechce nahradit současná bezpečnostní řešení, ale spolupracovat s nimi a být jejich nadstavbou. Poradí si totiž prý zatím jen s některými typy útoků. Ale zato se stále učí.
Poznámka: Účast redaktora Technet.cz na konferenci Gartner zprostředkovala společnost ESET.
