Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Штучний інтелект на службі безпеки мережі. (Частина друга)

2018-10-05
Автор: Телесфера

Перша частина за посиланням

У нашому випадку система Аналітки поведінки Introspect з класу продуктів User and Entity Behavior Analytics (скорочено UEBA) є єдиною точкою входу для великої кількості різноманітної машинної інформації, яка збирається з наявної інфраструктури, в тому числі і з SIEM систем, і на основі алгоритмів машинної аналітики і штучного інтелекту допомагає співробітникам відділу безпеки автоматизувати рутинну працю з аналізу великої кількості інцидентів.

Більш того, система може бути інтегрована з наявними системами контролю доступу до інфраструктури (NAC) для виконання різних дій з джерелами аномальної поведінки в мережі - відключати, знижувати швидкість, переміщати в інший VLAN і т.п.

Які ж дані система Introspect повинна отримувати в якості вихідної інформації? Найрізноманітніші, аж до мережевого трафіку. Для цієї мети система має спеціалізовані компоненти для обробки Трафка - Packet Processor (PP).

Перевагою отримання даних від SIEM систем може служити той факт, що вони вже пройшли попередній розбір (парсинг) цими системами. Introspect працює з такими SIEM системами як SPLUNK, QRadar, ArcSight. На черзі реалізації LogRhythm (raw syslog), Intel Nitro. Крім цього, система збирає величезний масив даних:

MS Active Directory (AD Security Logs, AD user, group, group user), MS LDAP logs,
DHCP логи
MS DHCP, Infoblox DHCP, dnsmasq DHCP
DNS логи
MS DNS, Infoblox DNS, BIND
Firewall логи
Cisco ASA (syslog), Fortinet (через SPLUNK), Palo Alto (через SPLUNK), Checkpoint (через SPLUNK), Juniper (через SPLUNK).
Proxy логи
Bluecoat, McAfee, ForcePoint
Alerts
Fireeye
MS ATA
VPN логи
Cisco Anyconnect / WebVPN
Juniper VPN (через SPLUNK)
Juniper Pulse Secure (через SPLUNK)
Fortinet VPN (через SPLUNK)
Checkpoint VPN
Palo Alto VPN
Flow логи
Netflow v5, v7, v9
Email логи
Ironport ESA
Bro логи
Connection logs

Конкурентною перевагою системи є можливість працювати на рівні транзакцій, тобто з мережевим трафіком, що доповнює інформацію отриману в лог повідомленнях. Це дає системі додаткові аналітичні можливості - аналіз DNS запитів, тунельного трафіку і ефективний пошук спроб передачі чутливих даних за периметр організації. Крім цього система забезпечує аналітику пакетної ентропії, аналіз HTTPS заголовків і файлів, а також аналіз роботи хмарних додатків.

Згадані вище пакетні процесори (PP) мають віртуальну і апаратну реалізацію, працюють на швидкостях до 5-6 Gbps і виконують DPI «сирих» даних, витягують з нього контекстну інформацію або пакетні метадані і передають її на інший компонент системи - аналізатор (Analyzer).

Якщо приймається рішення про аналіз не тільки логів, а й трафіку за допомогою методів SPAN/TAP або застосування пакетного брокера або повторювачів, таких як Gigamon або Ixia, PP повинен бути розташований в правильному місці мережі. Для максимальної ефективності необхідно захоплювати весь мережевий трафік, що йде в кожному призначеному для користувача VLAN в/з мережі Інтернет, а також трафік, що йде від/до користувачів до ресурсів, що захищаються, або серверам, що містять критичну інформацію.

Необхідним і ключовим компонентом системи є Analyzer. Він обробляє дані з логів, flows, пакетних метаданих, алерти від сторонніх систем, threat intelligence feeds та інших джерел.

Analyzer може бути одиночним 2RU appliance або горизонтально масштабуємим scale-out рішенням, що складається з безлічі 1RU appliance, а також хмарним рішенням.

Логічна структура

Логічно Analyzer являє з себе горізотально масштабуєму Hadoop платформу, яка складається з декількох типів вузлів - Edge Nodes, Index and Search nodes, Hadoop data nodes.
Edge Nodes отримують дані і записують в канали Flume з приймачами HDFS.

Index and Search nodes витягують інформацію з трьох типів баз - Hbase, Parquet, ElasticSearch.
Hadoop data nodes призначені для зберігання даних.

Логічно робота системи виглядає наступним чином - пакетні метадані, flows, logs, alerts, threat feeds проходять парсерування, кешування, дистиляції, кореляцію. Система здійснює з’єднання між користувачем і його даними, здійснюючи кешування швидко надходять даних користувача в HDFS.

Далі дані надходять в модуль дискретної аналітики, де на основі наданої інформації з будь якої фіксованої події або поля відбувається відсіювання так званих дискретних алармов. Наприклад, робота алгоритму DNS DGA або спроба входу в заблокований обліковий запис, очевидно, не вимагають будь-якої машинної аналітики для виявлення потенційно небезпечної події. Модуль behavior аналітики підключається на даному етапі тільки для читання потенційних подій в мережі.

Наступним йде етап кореляції подій, індексування та зберігання у вищезазначених базах. Механізм behavior аналітики включається на основі збереженої інформації і може працювати на основі певних відрізків часу або на основі поведінки цього користувача в порівнянні з іншим користувачем. Це так званий baselining механізму behavior profiling. Моделі behavior profiling будуються на основі алгоритмів машинної аналітики SVD, RBM, BayesNet, K-means, Decision tree.

Збільшена модель behavior аналітики продукту показана на мал.1

Мал.1

На схемі видно, що механізм аналітики поведінки грунтується на чотирьох блоках:

  • джерела даних;
  • умови роботи з даними (час доступу, кількість завантажених або вивантажених даних, кількість повідомлень електронної пошти, інформація про геолокації джерела або приймача інформації, VPN підключення і.т.д.);
  • механізми профілювання поведінки користувача (оцінка поведінки після деякого часу або по відношенню до іншого співробітника, тимчасове вікно, в перебігу якого проводиться аналіз, математична модель профілювання поведінки - SVD, Restricted Boltzmann Machine (RBM), BayesNet, K-means, Decision tree і інші);
  • виявлення аномалії в трафіку за допомогою математичних моделей машинної аналітики, таких як mahalanobis distance, energy distance і генерація подій в системі з певним пріоритетом і стадією.

Aruba Introspect має понад 100 supervised і unsupervised моделей, призначених для виявлення націлених атак на кожній стадії моделі CKC. Наприклад, реалізація Introspect рівня Advanced виявляє

  • Підозрілу мережеву активність типів: Abnormal Asset Access, Abnormal Data Usage, Abnormal Network Access, Adware Communication, Bitcoin Application у вигляді Bitcoin Mining, Botnet (TeslaCrypt, CryptoWall), Cloud Exfiltration, HTTP Protocol Anomaly (Header Misspellings, Header Misordering), Hacker tool Download, IOC види атак (IOC-STIX Abuse-ch, IOC-STIX CybercrimeTracker, IOC-STIX EmergingThreatsRules і інші), Network Scan, P2P Application, Remote Command Execution, SSL Protocol Violation, Spyware Comm, Suspicious Data Usage, Suspicious External Access , Suspicious File, Suspicious Outbound Comm, WebShell, Malware communication, Command and Control, Lateral movement, Data Exfiltration, Browser exploit, Beaconing, SMB execution, Protocol violation, Internal Reconnaissance і іншу.
  • Підозрілий доступ до акаунтів типу Abnormal Account Activity, Abnormal Asset Access, Abnormal Logon, Privilege Escalation, Suspicious Account Activity, Suspicious User Logon і інші
  • Доступ до даних через VPN: Abnormal Data Usage, Abnormal Logon, Abnormal User Logon,
  • Аналіз DNS даних: роботу Botnet через різні алгоритми DNS DGA
  • Аналіз Email повідомлень: Abnormal Incoming Email, Abnormal Outgoing Email, Suspicious Attachment, Suspicious Email

Далі, на основі виявлених аномалій події присвоюється оцінка ризику, пов'язана з тим чи іншим етапом злому системи за визначенням Cyber Kill Chain (CKC) компанії Lockheed Martin's. Оцінка ризику визначається за моделлю Hidden Markov Model, на відміну від конкурентів, які лінійно збільшують або зменшують оцінку ризику в своїх розрахунках.

З розвитком атаки по моделі CKC, тобто етапах infection, internal reconnaissance, command & control, privilege escalation, lateral movement, exfiltration, оцінка ризику збільшується. див мал.2

Мал.2

Система має функції адаптивного навчання, коли результати роботи модуля аналітики піддаються перегляду чи адаптації, в оцінці risk scoring або при розміщенні в «білий список».

Інформація про погрози або Threat Feeds може бути завантажена з зовнішніх джерел, за допомогою механізмів STIX, TAXII. Також підтримується ресурс Anomali. Introspect може також завантажувати "Whitelist" доменних імен з сервісу Alexa для зменшення помилкових спрацьовувань в генерації алертів.

Конкурентними перевагами системи є:

  • різноманітність використовуваних даних на вході,
  • функція DPI,
  • кореляція подій безпеки з користувачем, а не IP адресою, без додаткового софту,
  • використання в основі системи великих даних Hadoop/Spark з необмеженою можливістю кластеризації,
  • результати роботи системи, отримані на основі аналітики, можливість проводити розслідування інцидентів за допомогою full-context forensics, threat hunting,
  • інтеграцію з наявним рішенням NAC Clearpass,
  • робота без агента на Endpoint,
  • практична незалежність від типу виробника мережевої інфраструктрури
  • робота On-premise, без необхідності відсилання даних в хмару

Система має два варіанти поставки - Standard Edition і Advanced Edition. Standard Edition адаптований для обладнання Aruba Network і отримує на вході інформацію логів з AD, протоколу AMON, LDAP, Firewall, VPN логи.

Джерело: https://habr.com/company/hpe/blog


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Cisco оновила рішення для ЦОД

Cisco оновила рішення для ЦОД
Cisco,Cisco Network,ЦОД,Налаштування,Налаштування Cisco,новини,cisco,cisco безпека

В рамках конференції Cisco Live в Барселоні Cisco представила ряд інновацій в області ЦОД, що стосуються мережевої взаємодії, гіперконверегенції, інформаційної безпеки та автоматизації.

GOSINT - open source рішення для управління індикаторами компрометації (IoC)

GOSINT - open source рішення для управління індикаторами компрометації (IoC)
Cisco,Cisco Network,cisco,cisco безпека,Налаштування Cisco,Блог Телесфера

Однією з гарячих тем в кібербезпеці останнім часом стали SOCі (Security Operations Center), які не дуже вдало переводять на російську мову як «центри моніторингу безпеки», применшуючи тим самим одну з важливих функцій SOC, пов'язану з реагуванням на інциденти ІБ.

Aruba анонсує рішення для програмно-визначених WAN-мереж

Aruba анонсує рішення для програмно-визначених WAN-мереж
Aruba Networks,Налаштування Aruba,Налаштування Aruba Instant,новини

Компанія Aruba, що входить до складу Hewlett Packard Enterprise, представила рішення Software-Defined Branch (SD-Branch). Новий підхід, використаний в рішенні, дозволяє клієнтам модернізувати філіальні мережі для впровадження хмарних і мобільних технологій та Інтернету речей.