Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Штучний інтелект на службі безпеки мережі. (Частина друга)

2018-10-05
Автор: Телесфера

Перша частина за посиланням

У нашому випадку система Аналітки поведінки Introspect з класу продуктів User and Entity Behavior Analytics (скорочено UEBA) є єдиною точкою входу для великої кількості різноманітної машинної інформації, яка збирається з наявної інфраструктури, в тому числі і з SIEM систем, і на основі алгоритмів машинної аналітики і штучного інтелекту допомагає співробітникам відділу безпеки автоматизувати рутинну працю з аналізу великої кількості інцидентів.

Більш того, система може бути інтегрована з наявними системами контролю доступу до інфраструктури (NAC) для виконання різних дій з джерелами аномальної поведінки в мережі - відключати, знижувати швидкість, переміщати в інший VLAN і т.п.

Які ж дані система Introspect повинна отримувати в якості вихідної інформації? Найрізноманітніші, аж до мережевого трафіку. Для цієї мети система має спеціалізовані компоненти для обробки Трафка - Packet Processor (PP).

Перевагою отримання даних від SIEM систем може служити той факт, що вони вже пройшли попередній розбір (парсинг) цими системами. Introspect працює з такими SIEM системами як SPLUNK, QRadar, ArcSight. На черзі реалізації LogRhythm (raw syslog), Intel Nitro. Крім цього, система збирає величезний масив даних:

MS Active Directory (AD Security Logs, AD user, group, group user), MS LDAP logs,
DHCP логи
MS DHCP, Infoblox DHCP, dnsmasq DHCP
DNS логи
MS DNS, Infoblox DNS, BIND
Firewall логи
Cisco ASA (syslog), Fortinet (через SPLUNK), Palo Alto (через SPLUNK), Checkpoint (через SPLUNK), Juniper (через SPLUNK).
Proxy логи
Bluecoat, McAfee, ForcePoint
Alerts
Fireeye
MS ATA
VPN логи
Cisco Anyconnect / WebVPN
Juniper VPN (через SPLUNK)
Juniper Pulse Secure (через SPLUNK)
Fortinet VPN (через SPLUNK)
Checkpoint VPN
Palo Alto VPN
Flow логи
Netflow v5, v7, v9
Email логи
Ironport ESA
Bro логи
Connection logs

Конкурентною перевагою системи є можливість працювати на рівні транзакцій, тобто з мережевим трафіком, що доповнює інформацію отриману в лог повідомленнях. Це дає системі додаткові аналітичні можливості - аналіз DNS запитів, тунельного трафіку і ефективний пошук спроб передачі чутливих даних за периметр організації. Крім цього система забезпечує аналітику пакетної ентропії, аналіз HTTPS заголовків і файлів, а також аналіз роботи хмарних додатків.

Згадані вище пакетні процесори (PP) мають віртуальну і апаратну реалізацію, працюють на швидкостях до 5-6 Gbps і виконують DPI «сирих» даних, витягують з нього контекстну інформацію або пакетні метадані і передають її на інший компонент системи - аналізатор (Analyzer).

Якщо приймається рішення про аналіз не тільки логів, а й трафіку за допомогою методів SPAN/TAP або застосування пакетного брокера або повторювачів, таких як Gigamon або Ixia, PP повинен бути розташований в правильному місці мережі. Для максимальної ефективності необхідно захоплювати весь мережевий трафік, що йде в кожному призначеному для користувача VLAN в/з мережі Інтернет, а також трафік, що йде від/до користувачів до ресурсів, що захищаються, або серверам, що містять критичну інформацію.

Необхідним і ключовим компонентом системи є Analyzer. Він обробляє дані з логів, flows, пакетних метаданих, алерти від сторонніх систем, threat intelligence feeds та інших джерел.

Analyzer може бути одиночним 2RU appliance або горизонтально масштабуємим scale-out рішенням, що складається з безлічі 1RU appliance, а також хмарним рішенням.

Логічна структура

Логічно Analyzer являє з себе горізотально масштабуєму Hadoop платформу, яка складається з декількох типів вузлів - Edge Nodes, Index and Search nodes, Hadoop data nodes.
Edge Nodes отримують дані і записують в канали Flume з приймачами HDFS.

Index and Search nodes витягують інформацію з трьох типів баз - Hbase, Parquet, ElasticSearch.
Hadoop data nodes призначені для зберігання даних.

Логічно робота системи виглядає наступним чином - пакетні метадані, flows, logs, alerts, threat feeds проходять парсерування, кешування, дистиляції, кореляцію. Система здійснює з’єднання між користувачем і його даними, здійснюючи кешування швидко надходять даних користувача в HDFS.

Далі дані надходять в модуль дискретної аналітики, де на основі наданої інформації з будь якої фіксованої події або поля відбувається відсіювання так званих дискретних алармов. Наприклад, робота алгоритму DNS DGA або спроба входу в заблокований обліковий запис, очевидно, не вимагають будь-якої машинної аналітики для виявлення потенційно небезпечної події. Модуль behavior аналітики підключається на даному етапі тільки для читання потенційних подій в мережі.

Наступним йде етап кореляції подій, індексування та зберігання у вищезазначених базах. Механізм behavior аналітики включається на основі збереженої інформації і може працювати на основі певних відрізків часу або на основі поведінки цього користувача в порівнянні з іншим користувачем. Це так званий baselining механізму behavior profiling. Моделі behavior profiling будуються на основі алгоритмів машинної аналітики SVD, RBM, BayesNet, K-means, Decision tree.

Збільшена модель behavior аналітики продукту показана на мал.1

Мал.1

На схемі видно, що механізм аналітики поведінки грунтується на чотирьох блоках:

  • джерела даних;
  • умови роботи з даними (час доступу, кількість завантажених або вивантажених даних, кількість повідомлень електронної пошти, інформація про геолокації джерела або приймача інформації, VPN підключення і.т.д.);
  • механізми профілювання поведінки користувача (оцінка поведінки після деякого часу або по відношенню до іншого співробітника, тимчасове вікно, в перебігу якого проводиться аналіз, математична модель профілювання поведінки - SVD, Restricted Boltzmann Machine (RBM), BayesNet, K-means, Decision tree і інші);
  • виявлення аномалії в трафіку за допомогою математичних моделей машинної аналітики, таких як mahalanobis distance, energy distance і генерація подій в системі з певним пріоритетом і стадією.

Aruba Introspect має понад 100 supervised і unsupervised моделей, призначених для виявлення націлених атак на кожній стадії моделі CKC. Наприклад, реалізація Introspect рівня Advanced виявляє

  • Підозрілу мережеву активність типів: Abnormal Asset Access, Abnormal Data Usage, Abnormal Network Access, Adware Communication, Bitcoin Application у вигляді Bitcoin Mining, Botnet (TeslaCrypt, CryptoWall), Cloud Exfiltration, HTTP Protocol Anomaly (Header Misspellings, Header Misordering), Hacker tool Download, IOC види атак (IOC-STIX Abuse-ch, IOC-STIX CybercrimeTracker, IOC-STIX EmergingThreatsRules і інші), Network Scan, P2P Application, Remote Command Execution, SSL Protocol Violation, Spyware Comm, Suspicious Data Usage, Suspicious External Access , Suspicious File, Suspicious Outbound Comm, WebShell, Malware communication, Command and Control, Lateral movement, Data Exfiltration, Browser exploit, Beaconing, SMB execution, Protocol violation, Internal Reconnaissance і іншу.
  • Підозрілий доступ до акаунтів типу Abnormal Account Activity, Abnormal Asset Access, Abnormal Logon, Privilege Escalation, Suspicious Account Activity, Suspicious User Logon і інші
  • Доступ до даних через VPN: Abnormal Data Usage, Abnormal Logon, Abnormal User Logon,
  • Аналіз DNS даних: роботу Botnet через різні алгоритми DNS DGA
  • Аналіз Email повідомлень: Abnormal Incoming Email, Abnormal Outgoing Email, Suspicious Attachment, Suspicious Email

Далі, на основі виявлених аномалій події присвоюється оцінка ризику, пов'язана з тим чи іншим етапом злому системи за визначенням Cyber Kill Chain (CKC) компанії Lockheed Martin's. Оцінка ризику визначається за моделлю Hidden Markov Model, на відміну від конкурентів, які лінійно збільшують або зменшують оцінку ризику в своїх розрахунках.

З розвитком атаки по моделі CKC, тобто етапах infection, internal reconnaissance, command & control, privilege escalation, lateral movement, exfiltration, оцінка ризику збільшується. див мал.2

Мал.2

Система має функції адаптивного навчання, коли результати роботи модуля аналітики піддаються перегляду чи адаптації, в оцінці risk scoring або при розміщенні в «білий список».

Інформація про погрози або Threat Feeds може бути завантажена з зовнішніх джерел, за допомогою механізмів STIX, TAXII. Також підтримується ресурс Anomali. Introspect може також завантажувати "Whitelist" доменних імен з сервісу Alexa для зменшення помилкових спрацьовувань в генерації алертів.

Конкурентними перевагами системи є:

  • різноманітність використовуваних даних на вході,
  • функція DPI,
  • кореляція подій безпеки з користувачем, а не IP адресою, без додаткового софту,
  • використання в основі системи великих даних Hadoop/Spark з необмеженою можливістю кластеризації,
  • результати роботи системи, отримані на основі аналітики, можливість проводити розслідування інцидентів за допомогою full-context forensics, threat hunting,
  • інтеграцію з наявним рішенням NAC Clearpass,
  • робота без агента на Endpoint,
  • практична незалежність від типу виробника мережевої інфраструктрури
  • робота On-premise, без необхідності відсилання даних в хмару

Система має два варіанти поставки - Standard Edition і Advanced Edition. Standard Edition адаптований для обладнання Aruba Network і отримує на вході інформацію логів з AD, протоколу AMON, LDAP, Firewall, VPN логи.

Джерело: https://habr.com/company/hpe/blog


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Cisco VNI: в найближчі п'ять років інтернет-трафік продемонструє вибухове зростання

Cisco VNI: в найближчі п'ять років інтернет-трафік продемонструє вибухове зростання
Cisco,Cisco Network,Cisco Wi-Fi,Wi-Fi,wi-fi,cisco vni,cisco,Налаштування Cisco,новини

У компанії Cisco пророкують, що в найближчі п'ять років через IP буде передано більше даних, ніж за всю попередню історію інтернету. Інтернет складається з тисяч відкритих і приватних мереж, які охопили весь світ. І з моменту зародження інтернету в 1984 році через нього було передано понад 4.7 зетабайтів IP-трафіку. Цей обсяг можна порівняти з передачею за хвилину через світові IP-мережі всіх кінофільмів, знятих за історію людства.

Cisco HyperFlex в дії

Cisco HyperFlex в дії
Cisco,Cisco Network,cisco,cisco безпека,Блог Телесфера,Налаштування Cisco

Cisco HyperFlex - це новітня гіперконвергентна система, яка вирішує проблему високої складності відмовостійких систем ЦОД-ів і корпоративних інфраструктур.

Комутатори Cisco Catalyst 9000 розширять доступність інтенційно-орієнтованих мереж на середні компанії

Комутатори Cisco Catalyst 9000 розширять доступність інтенційно-орієнтованих мереж на середні компанії
Cisco,Cisco Network,cisco,cisco безпека,Налаштування Cisco,новини

Cisco розширила лінійку комутаторів для інтенційно-орієнтованих мереж Catalyst 9000, представлену в минулому році. Нові моделі розширять застосування цих інноваційних мереж на проекти будь-якого масштабу, і більше замовників зможуть отримати побудовані на їх основі більш «розумні», прості і захищені мережі, відзначають в компанії.