Ao ser incorporada à segurança da informação, a ciência de dados pode tornar a segurança da informação muito mais prática. Essa tecnologia pode ser implementada na infraestrutura de segurança para gerar mais rapidez nos processos diários e obter mais conhecimento sobre a rede.

Saiba como implementar a ciência de dados na segurança da informação de maneira efetiva para melhorar sua estratégia de proteção:

Uma maneira de aprendizado

Em vez de programar a solução para resolver problemas complexos, as ferramentas de ciência de dados podem ser usadas para obter mais insights dos dados coletados ao longo do tempo, assim, em vez de usá-los para obter respostas pontuais, é possível usá-los para aprender e adaptar a estratégia de maneira contínua.

Esse conceito de aprendizado contínuo é crucial, pois o aprendizado de máquina está sendo usado para criar mudanças similares na segurança da informação. Por muitos anos, os produtos de segurança se comportaram como uma linha de montagem na detecção de ameaças, em que um processo seria desenvolvido e então replicado em escala.

Como parte desse processo, os produtos eram programados com padrões conhecidos de ameaças e a solução então escanearia o tráfego em busca desses padrões. Esse mecanismo, no entanto, é facilmente derrotado ao encarar um adversário inteligente e adaptável.

A ciência de dados e o aprendizado de máquina são a solução para esse modelo. Em vez de precisar da resposta, o software pode aprender com os dados. Hoje os modelos de aprendizado de máquina avaliam grandes grupos de ameaças para encontrar traços em comum, conexões escondidas que não são óbvias para analistas humanos.

Por exemplo, cibercriminosos movem constantemente seus servidores de comando e controle pra novos domínios e trocam endereços de IP para estarem sempre à frente nas listas de reputação. Os modelos de aprendizado de máquina podem detectar padrões escondidos no comportamento desses servidores.

Diferentes modelos podem identificar precisamente o tráfego de servidores de comando e controle na ausência de qualquer reputação ou assinatura. Esse conceito tem sido estendido à parte de encontrar comunicações específicas de malware, como um malware recebendo instruções ou recebendo um update executável. Esses modelos podem ser treinados constantemente como novos dados para encontrar mais tendências e comportamentos nocivos no tráfego.

Com Security Week