Поведенческая аналитика — один из лучших методов аутентификации, особенно когда она является частью непрерывной аутентификации. Аутентификация как «одноразовая» — это то, чего больше не должно происходить. Опять же, я утверждал то же самое об использовании незашифрованных SMS в качестве формы многофакторной аутентификации, и я, к сожалению, все еще вижу, что это используется многими фирмами из списка Fortune 1000.
Ну что ж.
Хотя большинство корпоративных директоров по информационной безопасности хорошо справляются с поведенческой аналитикой на бумаге (на доске? В виде сообщения в Microsoft Teams/GoogleMeet/Zoom?), они сопротивляются быстрому широкомасштабному развертыванию, поскольку для этого требуется создание профиля для каждого пользователя, включая партнеров. дистрибьюторы, поставщики, крупные клиенты и все, кому нужен доступ к системе. На создание этих профилей может уйти больше месяца, чтобы получить точную и непротиворечивую картину каждого человека.
Я не хочу делать это еще хуже, но теперь есть аргументы, что администраторам безопасности нужен не один профиль для каждого пользователя, а, возможно, десятки или больше.
Почему? Допустим, вы проводите пользователя (разумеется, прозрачно для пользователя) через множество сеансов отслеживания и определяете все, что можно, например, скорость набора текста, угол, под которым пользователь держит мобильное устройство, силу нажатия на клавиши, опечатки в 100 слов, количество набранных слов в минуту и т.д.
Теперь у вас есть поведенческий профиль этого пользователя. Однако этот профиль, вероятно, основан на обычном поведении пользователя в обычные рабочие дни. Что насчет того, когда этот пользователь утомлен, скажем, после прибытия в офис с рейса с эффектом красных глаз? Или экстатически счастливы или ужасно подавлены? Отличаются ли они поведением в незнакомом гостиничном номере от комфортного домашнего офиса? Они ведут себя по-другому после того, как их босс кричал на них в течение 10 минут?
Чтобы любая система машинного обучения действительно распознавала пользователя и выдавала мало ложноотрицательных результатов, она должна точно распознавать пользователя в широком диапазоне различных обстоятельств. Это означает изучение пользователя дольше и в максимально возможном количестве различных сред/ситуаций. Для предприятия с огромным шестизначным штатом сотрудников это действительно непростая задача.
Скотт Эдингтон, генеральный директор Deep Labs (фирмы, которая занимается поведенческой аналитикой), привел интересный пример: «Человек, приехавший в Нью-Йорк из Южной Калифорнии, выходит из ресторана посреди зимы, чтобы вызвать машину. из-за холодной погоды и внезапно начинает печатать на телефоне в ускоренной и более неторопливой манере, потому что ей холодно и у нее онемели пальцы. Таким образом, создается контекст. Это неплохой актер или хакер, хотя их поведение отличается. Это тот же человек, но он действует по-другому и разумно».
Пример Эдингтона интересен, но трудно увидеть практический способ воспроизвести его в течение обычного периода анализа. Это тестирование должно проводиться с минимальным вмешательством или даже без взаимодействия с пользователями, чтобы процесс не вызывал трения. (Конечно, маловероятно, чтобы пользователь выполнял подобные действия в холодную погоду на улице без запроса — по крайней мере, во время обычного периода тестирования.
Это интересная головоломка для компаний, которые полагаются на поведенческую аналитику, чтобы оставаться в безопасности. Возможно, директорам по информационной безопасности придется принять большее, чем идеальное, количество ложных предупреждений в течение начального периода тестирования. Это может означать, что профили плавно становятся более точными в течение длительного периода времени (скажем, года или двух), когда происходит такое нетипичное поведение.
Это подводит нас к типичной задаче о курице и яйце. Первые дни/недели развертывания поведенческой аналитики будут: A, когда система будет наименее точной, выдавая много ложных предупреждений. И B, когда пользователи и руководители бизнес-объектов будут решать, примут ли они этот подход к аутентификации или будут сопротивляться ему.
Никто никогда не говорил, что кибербезопасность будет легкой задачей.
Авторское право © , Inc.