Davranış analizi, özellikle sürekli kimlik doğrulamanın bir parçası olduğunda, en iyi kimlik doğrulama yöntemlerinden biridir. “Bir-ve-bitti” olarak kimlik doğrulama, artık olmaması gereken bir şeydir. Sonra tekrar, şifrelenmemiş SMS’i bir çok faktörlü kimlik doğrulama biçimi olarak kullanma konusunda aynı şeyi tartıştım ve ne yazık ki hala birçok Fortune 1000 firması tarafından kullanıldığını görüyorum.
Oh iyi.
Kurumsal CISO’ların çoğu kağıt üzerinde (bir beyaz tahtada mı? Microsoft Teams/GoogleMeet/Zoom’da bir mesaj olarak mı?) davranış analizi konusunda iyi olsalar da, iş ortakları da dahil olmak üzere her kullanıcı için bir profil oluşturmayı gerektirdiğinden, hızlı yaygın dağıtıma karşı dirençlidirler. distribütörler, tedarikçiler, büyük müşteriler ve sistem erişimine ihtiyaç duyan herkes. Her bir kişinin doğru ve tutarlı bir resmini elde etmek için bu profillerin oluşturulması bir aydan fazla sürebilir.
Bunu daha da kötüleştirmekten nefret ediyorum ama artık güvenlik yöneticilerinin ihtiyaç duymadığı argümanlar var. 1 her kullanıcı için profil, ancak muhtemelen düzinelerce veya daha fazlası.
Niye ya? Diyelim ki bir kullanıcıyı (tabii ki kullanıcı için şeffaf bir şekilde) çeşitli izleme oturumlarından geçiriyorsunuz ve yazma hızı, kullanıcının bir mobil cihazı tuttuğu açı, tuşlara basmak için kullanılan baskı, başına yazım hataları gibi yapabileceğiniz her şeyi belirliyorsunuz. 100 kelime, dakikada yazılan kelime sayısı vb.
Artık o kullanıcının davranış profiline sahipsiniz. Ancak bu profil, muhtemelen kullanıcının normal iş günlerinde normal davranışına dayanmaktadır. Peki ya bu kullanıcı yorgun düştüğünde, diyelim ki ofise kırmızı göz uçuşundan geldikten sonra? Ya da kendinden geçmiş bir şekilde mutlu ya da korkunç derecede depresif mi? Ev ofislerinin konforuyla karşılaştırıldığında, tanıdık olmayan bir otel odasında farklı mı davranıyorlar? Patronları onlara 10 dakika boyunca bağırdıktan sonra farklı mı davranıyorlar?
Herhangi bir makine öğrenimi sisteminin kullanıcıyı gerçekten tanıması ve birkaç yanlış negatif vermesi için, kullanıcıyı çok çeşitli farklı koşullarda doğru bir şekilde tanıması gerekir. Bu, kullanıcıyı daha uzun süre ve pratik olduğu kadar çok farklı ortamda/durumda incelemek anlamına gelir. Altı haneli geniş bir iş gücüne sahip bir işletme için bu gerçekten de göz korkutucu bir görevdir.
Deep Labs’in (davranışsal analitikle ilgilenen bir firma) CEO’su Scott Edington ilginç bir örnek verdi: “Güney Kaliforniya’dan NYC’yi ziyaret eden bir kişi, kışın ortasında araba aramak için bir restorandan dışarı çıktı. Etkileniyor. soğuk hava nedeniyle ve aniden telefonuna hızlı ve kasıtlı bir şekilde yazmaya başlar, çünkü üşür ve parmakları uyuşur. Bu tür bir persona, aynı bireyin “sıcak” versiyonundan farklı olabilir. bu şekilde bağlam sağlar. Davranışları farklı olsa da kötü bir oyuncu veya bilgisayar korsanı değildir. Aynı kişidir, ancak yalnızca farklı ve makul bir şekilde hareket eder.”
Edington’un örneği ilginç, ancak normal bir analiz döneminde bunu tekrarlamanın pratik bir yolunu görmek zor. Bu testin, süreci sorunsuz tutmak için kullanıcılarla minimum düzeyde veya hiç etkileşimle (hatta etkileşimle) yapılması gerekir. (Tabii ki, bir kullanıcının bu tür soğuk havalarda-dış mekan aktivitelerini size sorulmadan – en azından rutin bir test süresi boyunca – yaptığını görmeniz pek olası değildir.
Güvende kalmak için davranışsal analitiklere güvenen şirketler için ilginç bir muamma. Basitçe, CISO’ların ilk test döneminde ideal sayıdan daha fazla sayıda yanlış uyarıyı kabul etmesi gerekebilir. Bu, tipik olmayan davranışlar meydana geldikçe, profillerin uzun bir süre boyunca (örneğin, bir veya iki yıl) sorunsuz bir şekilde daha doğru hale geldiği anlamına gelebilir.
Bu bizi tipik tavuk-yumurta problemine sokar. Davranış analitiğinin kullanıma sunulmasının en erken günleri/haftaları şu şekilde olacaktır: A, sistem en az doğru olduğunda, birçok yanlış uyarıyı tetikler. Ve B, kullanıcılar ve LOB şefleri bu kimlik doğrulama yaklaşımını kabul edip etmeyeceklerine veya buna direneceklerine karar verecekleri zaman.
Kimse siber güvenliğin kolay olacağını söylemedi.
Telif Hakkı © 2022 IDG Communications, Inc.