19. in 20. oktobra se je v Portorožu odvijala 28. konferenca Dnevi slovenske informatike (DSI) z naslovom Digitalizacija: uspešneje, hitreje, ceneje. Informatika je sodelovala s strokovnim prispevkom in predavanjem v izvedbi dr. Andreja Bregarja na temo izboljšanja kibernetske varnosti z združevanjem tehnologij SIEM, SOAR in strojnega učenja.
Prispevek z naslovom »Priložnosti zlivanja tehnologij SIEM, SOAR in strojnega učenja v procesih inteligence tveganj in samodejnega odzivanja na kibernetske incidente« je bil zelo lepo sprejet, tako med občinstvom kot pri organizatorjih. Slednji so ga izbrali za enega najboljših prispevkov konference, objavljen bo tudi v reviji Uporabna informatika.
V prispevku avtorji Andrej Bregar, Sašo Gjergjek, Miran Novak in Damir Orlić govorijo o izzivih informacijske in kibernetske varnosti sodobnih informacijskih okolij in sistemov, ki se selijo v oblak, temeljijo na konceptih interneta stvari in podpirajo avtomatizacijo poslovanja v kontekstu industrije 4.0, kjer imamo opravka z masovnimi podatki in obsežnim omrežnim prometom med povezanimi napravami. V takšni količini podatkov si je nemogoče zamisliti zaznavanje anomalij, varnostnih tveganj in potencialnih kibernetskih incidentov ter odzivanje nanje brez avtomatiziranih pristopov, ki uporabljajo tehnike strojnega učenja in umetne inteligence. Ključne so zlasti tehnologije za upravljanje varnostnih informacij in dogodkov (SIEM) ter za avtomatizacijo, orkestriranje in odzivanje na kibernetska tveganja (SOAR).
Glavni namen avtomatizacije zaznavanja enostavnejših in ponavljajočih se kibernetskih incidentov in odzivanja nanje je razbremenitev varnostnih analitikov, da se lahko posvetijo reševanju kompleksnejših forenzičnih primerov. S pomočjo umetne inteligence ter zapisanih pravil in procesov, ki se izvajajo v realnem času, sistem zazna incident in nanj samodejno ustrezno reagira, zaradi česar je interakcija varnostnih strokovnjakov nujna le deloma oziroma v omejenem obsegu. Poudariti pa je potrebno, da je njihova interakcija, kljub avtomatiziranemu procesu, še vedno potrebna. Poleg tega se na podlagi preteklih dogodkov polni baza znanja sistema za nadaljnje ukrepanje ter odpravljanje varnostnih lukenj, s čimer se dvigne nivo varnosti. Tako tudi zmanjšujemo število lažno pozitivnih in lažno negativnih primerov.
Ustrezna vpeljava učinkovitih postopkov in tehnologij za samodejno odzivanje na kibernetske incidente lahko tako doprinese k znižanju stroškov organizacije, čeprav je začetna investicija za avtomatizacijo nekaj večja. Vendar, če postopki in tehnologije niso pravilno vpeljani, to lahko povzroči škodo organizaciji, bodisi s finančnega ali varnostnega vidika.
Celoten prispevek je na voljo v zborniku konference.