BDO CERT

Slik bruker de maskinlæring og avansert matematikk i arbeidet med å avdekke hackerangrep

– Vi kan ikke lenger sitte og følge med bare med øynene våre.

Fra v. matematiker Christine Marie Øvrebø Haugland, CERT-leder Chris Culina og masterstudent Jan Petter Berg Nilsen. De er alle involvert i BDOs arbeid med å avdekke dataangrep og beskytte kunder mot digitale trusler.
Fra v. matematiker Christine Marie Øvrebø Haugland, CERT-leder Chris Culina og masterstudent Jan Petter Berg Nilsen. De er alle involvert i BDOs arbeid med å avdekke dataangrep og beskytte kunder mot digitale trusler. (Foto: Marius Jørgenrud)
EKSTRA

– Vi kan ikke lenger sitte og følge med bare med øynene våre.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

VIKA, OSLO (digi.no): BDO er en av de store globale revisjonsfirmaene med nærmere 74.000 ansatte, men selskapet driver ikke lenger bare med regnskap, rådgivning og advokattjenester.

De siste årene har de bygget opp også en betydelig satsing på IT-sikkerhet og beredskap, som her til lands omfatter rundt 70 av selskapets 1500 norske medarbeidere.

– Vi er vant til å operere på en litt diskré måte fordi vi er kundenes forlengelse og innleide spesialister på sikkerhet, forteller Chris Culina.

Han leder BDO Cert (computer emergency response team), som med døgnkontinuerlig bemanning er et av landets største private miljøer for operativ IT-sikkerhet. Det er en del av satsingen med om lag 17 ansatte.

I bygget som også huser konferansesenteret Vika Atrium ligger dataovervåkningssentralen som skal avdekke hackerangrep og digitale trusler, blant annet mot viktige samfunnsaktører og kunder med kritisk infrastruktur.

Delingskultur

Inn i selve operasjonssenteret får vi ikke komme, men det er etter alle solemerker nokså likt tilsvarende virksomhet hos blant annet myndighetenes NorCERT, som vi har besøkt tidligere.

BDO Cert er da også etablert av et par personer med bakgrunn fra Nasjonal sikkerhetsmyndighet (NSM). Ellers er det et bredt samarbeid med utveksling av informasjon mellom ulike responsmiljøer.

– Vi samarbeider med andre, så klart de sektorvise responsmiljøene som KraftCert, FinansCert og NorCert ikke minst, men også enkeltpersoner og andre virksomheter både i Norge og internasjonalt. Informasjonsdeling står veldig sterkt i sikkerhetsmiljøet og kan i mange tilfeller være nødvendig for å kunne drive operativt sikkerhetsarbeid. Det er ofte nøkkelen til å oppdage truslene som har vært skjult i lengre tid.

«Sjeldent for sent å begrense skadeomfanget»

BDO har utviklet et eget sensornettverk for deteksjon av digitale trusler ute hos kunde, ikke ulikt det nasjonale VDI-sensornettverket til NSM.

Chris Culina er ikke så glad i uttrykket overvåkning av nettverk, ettersom overvåkning gir negative assosiasjoner. I stedet velger han å kalle det sikring av virksomheters verdier.

Involvert i det arbeidet er mye fri programvare. Det skyldes ikke minst at kommersielle produkter og løsninger for innsamling, analyse, lagring og loggføring av store datamengder kan være temmelig kostbare.

Culina forteller at slike produkter raskt kan komme opp i millionklassen, men foruten pris er det heller ikke hensiktsmessig å gå til anskaffelse av slike løsninger uten å ha nok data å tygge på.

– Vi bruker fri programvare til det som er knyttet til sikring av virksomheters verdier, transport av logger, prosessering, analyse, lagring, effektiv søking og så videre. Det er ikke nok å skaffe seg et informasjonstilfang. Du må også nyttiggjøre deg av den informasjonen, blant annet for å avdekke avvik og oppdage trusler, sier han.

Gang på gang viser det seg at det er nødvendig å beholde logger av datatrafikk langt tilbake i tid, ifølge Culina.

– Noen bransjen og sektorer har eksplisitte krav til hvor lang tilbake man skal sitte på nødvendige logger. Det er sjeldent for sent å begrense skadeomfanget. Kunnskap om at man har hatt en hendelse kan også være nødvendig for å informere berørte partnere. Eller for å treffe forebyggende tiltak som kan hindre at det skjer igjen.

Derfor er AI mer enn bare en hype

Chris Culina er leder for BDO CERT.
Det har gått opp for de fleste at kunstig intelligens bør inngå eller være et utgangspunkt, men det er vanskelig å evaluere nytteverdien i de ulike produktene som tilbys. Det er ikke noe du normalt har innsyn i, mener Chris Culina. Foto: Marius Jørgenrud

Kunstig intelligens er noe av det sikkerhetsbransjen markedsfører tungt når de skal selge løsninger til beskyttelse av nettverk og endepunkter som ansattes klienter.

Maskinlæring som kan avdekke forsøk på angrep, analyse av trafikkmønstre fra et stort antall endepunkter og automatisering av forsvarsmekanismer høres forlokkende ut.  Men hvor effektivt og nyttig er dette i praksis?

Chris Culina medgir at maskinlæring nok kan betraktes som en smule hype i en del produkter, men sier samtidig at det er vanskelig å se for seg bransjen uten hjelp fra slik teknologi.

– De store datamengdene skaper kjempeproblemer for analytikerne. Vi kan ikke lenger sitte å følge med bare med øynene våre.

Bruk av signaturfiler for å avdekke skadevare, slik antivirusløsninger tradisjonelt gjorde det, men også i jakten på ondsinnet nettverkstrafikk og andre uønskede hendelser, kommer til kort. Trusselaktørene kan enkelt foreta små endringer for å unngå deteksjon som er basert på tidligere kjente angrep.

Det er nettopp her maskinlæring kommer inn som en stor hjelp.

– Kunstig intelligens og maskinlæring brukes til å oppdage avvik fra normalen. Det handler ikke nødvendigvis om bekreftede ondsinnede avvik, men hendelser som avviker fra en normal i henhold til en algoritme og modell man kanskje har trent opp.

På den måten kan du effektivt oppdage mønstre du ellers ikke ville lagt merke til

Culina forteller at maskinlæring er aller mest brukt til å plukke ut gode kandidater for menneskelig analyse i det som er blitt et veldig stort hav av data.

– Det bidrar til å redusere mengden som analyseres av mennesker ned til et nivå som er håndterbart. På den måten kan du effektivt oppdage mønstre du ellers ikke ville lagt merke til. Det kan igjen lede til alt fra en kaffeautomat i nettverket du ikke visste om, til at du har en inntrenger som kanskje også har vært i nettverket en stund.

Mye brukte rammeverk

BDO Cert sier de har brukt mye tid på egenutvikling av programvareløsninger, inkludert nevnte satsing som bygger videre på etablerte friprog-løsninger.

– Vi bruker en del Python-baserte rammeverk for eksempel. Scikit-learn, NumPy og Pandas er biblioteker som er mye brukt og som det også finnes store miljøer rundt. Bibliotekene er brukt til bygging og trening av forskjellige modeller. Samtidig handler mye om det å ha data tilgjengelig. Dette er ting vi gjør kontinuerlig i nær sanntid, om det er logging av en domenekontroller eller nettverkstrafikk fra en IDS (intrusion detection system), så forsvinner det inn i denne typen prosesseringsklynger som igjen genererer nye data. Det kan brukes til å reise et rødt flagg om mistenkelig aktivitet, forklarer Chris Culina.

En av de som jobber med maskinlæring for å lette oppgavene er deltidskollega og masterstudent Jan Petter Berg Nilsen (28).

Det er et hjelpemiddel for å lette analytikernes allerede store arbeidsbelastning

Han er i ferd med å fullføre sivilingeniørstudier i cybersikkerhet ved NTNU på Gjøvik.

– Det hele handler om å få et større informasjonsbilde, for å slippe å analysere all dokumentflyten, men bare det som er interessant. Det er et hjelpemiddel for å lette analytikernes allerede store arbeidsbelastning. Jeg lager kode for å kunne utføre den oppgaven med maskinlæring, forklarer Nilsen.

Masteroppgaven han skal levere mot sommeren handler om deteksjon og klassifisering av obfuskerte skript der bruk av maskinlæring inngår.  Etterpå venter fulltidsjobb hos BDO som nyutdannet sikkerhetsekspert.

– Hun hjelper oss forstå algoritmene

Christine Marie Øvrebø Haugland er vårt matematisk alibi, skyter CERT-lederen inn.

Hun er verken teknolog eller sikkerhetsekspert, men sivilingeniør i fysikk og matte fra NTNU med spesialisering i industriell matematikk.

– Christine hjelper oss med å forstå alle de rare tegnene i algoritmene. Det gjør at vi kan tenke praktisk rundt problemene vi ønsker å løse. Men hennes bakgrunn og forståelse av matematikken kan vi være langt mer treffsikre og foreta justeringer for å få gode resultater, sier Culina.

Matematikere er heller ikke de eneste spesialistene fra andre fagdisipliner som bidrar til sikkerhetsarbeidet, fortsetter han.

– Vi har også gode erfaringer med økonomer som kan mye innen statistisk analyse og er trent på å finne for eksempel avvik i tall. Det er en interessant øvelse å gi slike personer adgang til «netflow» eller data som beskriver nettverkstrafikk, for å finne ut hva som er spesielt og som skiller seg ut, fastslår Chris Culina

Reddet av skygge-IT

Avanserte formler, tjenester og en kompetanse det er kritisk mangel på i Norge er likevel ikke alltid det som skal til for å løse et konkret problem.

Chris trekker fram en episode der en stor revisjonskunde ringer om en fortvilt situasjon. En medarbeider har fått opp en dødningsskalle på skjermen. Alle filene er låst med avansert kryptering.

Kunden er åpenbart rammet av et kryptovirus. Normalt sett ikke en katastrofe, men denne personen hadde svært viktige filer lagret på pc-en, uten backup. Da er ofte gode råd dyre.

– Her kommer det morsomme inn. Maskinen som var full av informasjon som ikke måtte gå tapt var synkronisert mot en gratis Dropbox-konto. Disse var også blitt kryptert og låst. Men Dropbox har en roll back-funksjonalitet, så med litt bistand fra Dropbox-teamet var plutselig alle filene tilbakeført.

Fordi vedkommende hadde «tatt seg til rette» og brukt en nettjeneste IT-avdelingen ikke hadde kontroll over, såkalt skygge-IT, lot altså innholdet seg redde.

– Brukeren kunne få en ren maskin med alle bilder, kontrakter og viktige dokumenter som ikke måtte gå tapt. Helt uten bruk av maskinlæring, avansert teknologi, nettverkssensorer eller noe som helst.

Culina mener historien viser at når behovet er som størst, så er det ikke sikkert at alt håp er ute.

– Det gjelder å orientere seg om mulighetene og gjøre det beste ut av situasjonen.

Kommentarer (1)

Kommentarer (1)
Til toppen