New-Scale Analytics: Як ШІ виявляє приховані загрози?

Кіберзагрози стають все більш витонченими, традиційні методи захисту перестають справлятися з їх виявленням. Рішення – New-Scale Analytics, що використовує машинне навчання та штучний інтелект для поведінкового аналізу, виявлення аномалій і прихованих загроз, які невидимі класичним системам безпеки.

Що таке New-Scale Analytics?

New-Scale Analytics – це сучасний підхід до забезпечення кібербезпеки, заснований на аналізі поведінки користувачів і сутностей в мережі, виявленні аномалій і кореляції даних для виявлення складних, багатоступеневих атак. На відміну від традиційних сигнатурних методів, New-Scale Analytics фокусується на розумінні нормальної поведінки і виявленні відхилень від неї. Це дозволяє виявляти як відомі, так і абсолютно нові, раніше невідомі загрози.

Основні принципи роботи

• Поведінковий аналіз (UEBA)

  В основі New-Scale Analytics лежить поведінковий аналіз користувачів і сутностей (UEBA – User and Entity Behavior Analytics). Система збирає дані про дії користувачів, серверів, додатків та інших об’єктів в мережі, а потім будує профілі їх нормальної поведінки. Ці профілі враховують безліч параметрів, таких як час активності, використовувані додатки, доступ до даних, мережевий трафік і багато іншого.Аналізуючи поведінку, система виявляє відхилення, які можуть вказувати на наявність загрози.

• Використання машинного навчання для виявлення аномалій

  Машинне навчання є ключовим елементом New-Scale Analytics. Система використовує алгоритми машинного навчання для автоматичної побудови профілів нормальної поведінки і виявлення аномалій. Алгоритми навчаються на великих обсягах даних, постійно адаптуючись до змін в поведінці користувачів і мережі. Це дозволяє виявляти навіть найдрібніші відхилення, які можуть бути пропущені традиційними методами. Аномалії безпеки – це дії, що відхиляються від нормальної поведінки, які можуть вказувати на наявність загрози.

• Застосування аналізу ШІ для кореляції даних

  Аналіз ШІ відіграє важливу роль у виявленні складних атак. Система використовує алгоритми ШІ для кореляції даних з різних джерел і виявлення зв’язків між подіями, які на перший погляд можуть здаватися непов’язаними. Це дозволяє виявляти багатоступеневі атаки, які складно виявити за допомогою традиційних методів. Наприклад, система може виявити, що користувач, чий аккаунт був скомпрометований, використовує його для доступу до конфіденційних даних, а потім намагається приховати свої сліди, видаляючи логи.

Як New-Scale Analytics використовує машинне навчання та ШІ для виявлення аномалій

Архітектура рішення

Архітектура New-Scale Analytics складається з декількох ключових компонентів:

• Збір та обробка даних

  Цей компонент відповідає за збір даних з різних джерел, включаючи логи, мережевий трафік, інформацію про активність користувачів та інші. Зібрані дані проходять попередню обробку, очищення і нормалізацію, щоб підготувати їх для подальшого аналізу.

• Аналіз поведінки

  Цей компонент використовує алгоритми машинного навчання для побудови профілів нормальної поведінки користувачів і сутностей. Він аналізує безліч параметрів, таких як час активності, використовувані додатки, доступ до даних, мережевий трафік та інші.

• Виявлення аномалій

  Цей компонент порівнює поточну поведінку користувачів і сутностей з їх профілями нормальної поведінки і виявляє відхилення. Він використовує різні методи для зниження кількості помилкових спрацьовувань, такі як статистичний аналіз, машинне навчання та експертні правила.

• Кореляція та аналіз ШІ

  Цей компонент використовує алгоритми ШІ для кореляції даних з різних джерел і виявлення зв’язків між подіями. Він дозволяє виявляти багатоступеневі атаки, які складно виявити за допомогою традиційних методів.

• Візуалізація та звітність

  Цей компонент надає аналітикам безпеки зручні інструменти для візуалізації даних, аналізу інцидентів та створення звітів.

Навчання на нормальній поведінці

Машинне навчання відіграє центральну роль в навчанні системи розумінню нормальної поведінки. Алгоритми аналізують історичні дані про дії користувачів, серверів і додатків, виявляючи закономірності і створюючи базові профілі. Ці профілі постійно оновлюються і адаптуються до змін в поведінці, забезпечуючи актуальність і точність виявлення аномалій. Наприклад, система може враховувати, що співробітник зазвичай працює з 9:00 до 18:00, використовує певні додатки і звертається до певних ресурсів. Будь-яке відхилення від цього профілю, наприклад, робота в нічний час або доступ до конфіденційних даних, може бути розцінено як аномалія.

Автоматичне виявлення аномалій

Після навчання на нормальній поведінці, New-Scale Analytics автоматично виявляє аномалії, що відхиляються від цих профілів. Система використовує різні методи для виявлення аномалій, такі як статистичний аналіз, машинне навчання та експертні правила. Наприклад, система може виявити, що користувач несподівано скачує великий обсяг даних, намагається отримати доступ до ресурсів, до яких раніше не звертався, або використовує незвичайний протокол. Ці аномалії можуть вказувати на наявність загрози, такої як компрометація аккаунта, інсайдерська загроза або шкідливе ПЗ.

Зниження кількості помилкових спрацьовувань

Однією з ключових задач New-Scale Analytics є зниження кількості помилкових спрацьовувань. Помилкові спрацьовування можуть призводити до непотрібних витрат часу і ресурсів аналітиків безпеки, а також до ігнорування реальних загроз. Для зниження кількості помилкових спрацьовувань система використовує різні методи, такі як:

• Статистичний аналіз

  Цей метод дозволяє визначити, чи є відхилення від нормальної поведінки статистично значущим або випадковим.

• Машинне навчання

  Алгоритми машинного навчання можуть навчатися на історичних даних і виявляти закономірності, які дозволяють відрізняти помилкові спрацьовування від реальних загроз.

• Експертні правила

  Експертні правила дозволяють задавати конкретні критерії, які повинні бути виконані для того, щоб подія була розцінена як загроза.

Виявлення складних атак за допомогою аналізу ШІ

Аналіз ШІ дозволяє виявляти складні, багатоступеневі атаки, які складно виявити за допомогою традиційних методів. Система використовує алгоритми ШІ для кореляції даних з різних джерел і виявлення зв’язків між подіями, які на перший погляд можуть здаватися непов’язаними. Наприклад, система може виявити, що користувач, чий аккаунт був скомпрометований, використовує його для доступу до конфіденційних даних, а потім намагається приховати свої сліди, видаляючи логи. Об’єднавши ці розрізнені події в цілісну картину, аналіз ШІ дозволяє виявити атаку і вжити необхідних заходів.

Приклади сценаріїв атак, які можна виявити за допомогою New-Scale Analytics

Виявлення інсайдерських загроз

Інсайдерські загрози – це дії, що здійснюються співробітниками організації, які можуть завдати шкоди її безпеці. New-Scale Analytics може виявляти інсайдерські загрози, аналізуючи поведінку користувачів і порівнюючи її з нормальним профілем.

• Приклад 1: Співробітник скачує велику кількість даних перед звільненням

  Система може виявити, що співробітник, який планує звільнитися, несподівано скачує великий обсяг даних з корпоративної мережі. Це може вказувати на те, що співробітник намагається вкрасти конфіденційну інформацію перед відходом з компанії.

• Приклад 2: Співробітник намагається отримати доступ до ресурсів, до яких раніше не звертався

  Система може виявити, що співробітник намагається отримати доступ до ресурсів, до яких раніше не звертався. Це може вказувати на те, що співробітник намагається отримати доступ до конфіденційної інформації, до якої у нього немає прав доступу.

Компрометація аккаунта

Компрометація аккаунта – це ситуація, коли зловмисник отримує доступ до облікового запису користувача. New-Scale Analytics може виявляти компрометацію аккаунта, аналізуючи гео-локацію, час входу та інші параметри.

• Приклад 1: Несподіваний вхід в систему з незвичайного місця

  Система може виявити, що користувач увійшов в систему з незвичайного місця, наприклад, з іншої країни. Це може вказувати на те, що аккаунт користувача був скомпрометований і використовується зловмисником.

• Приклад 2: Спроби доступу до конфіденційних даних після компрометації

  Система може виявити, що після компрометації аккаунта користувача, зловмисник намагається отримати доступ до конфіденційних даних. Це може вказувати на те, що зловмисник намагається вкрасти конфіденційну інформацію.

Аналіз поведінки мережі та аномальний трафік

Аналіз поведінки мережі дозволяє виявляти аномалії в мережевому трафіку, які можуть вказувати на наявність загрози. New-Scale Analytics може виявляти аномальний трафік, аналізуючи його обсяг, напрямок і протоколи.

• Приклад 1: Раптове збільшення трафіку на певний сервер

  Система може виявити, що на певний сервер раптово збільшився трафік. Це може вказувати на те, що сервер був скомпрометований і використовується для проведення атаки.

• Приклад 2: Зв’язок з підозрілими IP-адресами

  Система може виявити зв’язок з підозрілими IP-адресами, які можуть бути пов’язані з шкідливою діяльністю. Це може вказувати на те, що система заражена шкідливим ПЗ.

• Приклад 3: Незвичайні протоколи

  Система може виявити використання незвичайних протоколів, які не типові для даної мережі. Це може вказувати на те, що зловмисник намагається обійти засоби захисту.

Виявлення технік і тактик зловмисників (MITRE ATT&CK)

MITRE ATT&CK – це база знань, що містить інформацію про техніки і тактики, використовувані зловмисниками. New-Scale Analytics може використовувати MITRE ATT&CK для виявлення атак, що використовують відомі техніки і тактики.

• Приклад: Виявлення Lateral Movement

  Система може виявити, що зловмисник намагається переміщатися по мережі, використовуючи скомпрометовані облікові записи або інструменти. Це може вказувати на те, що зловмисник намагається отримати доступ до конфіденційної інформації, розташованої на інших системах.

Аналіз поведінки користувачів і сутностей

Як вже згадувалося, аналіз поведінки користувачів і сутностей (UEBA) є наріжним каменем New-Scale Analytics. Цей підхід дозволяє не просто реагувати на відомі загрози, а передбачати їх, ґрунтуючись на зміні патернів поведінки.

Кастомізація профілів поведінки користувачів

Система дозволяє створювати індивідуальні профілі поведінки для кожного користувача, враховуючи його роль в організації, виконувані завдання і типові дії. Це дозволяє більш точно визначати аномалії, які можуть вказувати на наявність загрози. Наприклад, для системного адміністратора нормальним може бути доступ до різних серверів, в той час як для бухгалтера це буде явно аномальною поведінкою.

Адаптивне навчання на основі історичних даних

Алгоритми машинного навчання, використовувані в New-Scale Analytics, постійно адаптуються до змін в поведінці користувачів і мережі. Це дозволяє системі залишатися актуальною і ефективно виявляти нові загрози. Наприклад, якщо користувач починає використовувати новий додаток, система врахує це в його профілі поведінки і почне аналізувати його дії з цим додатком.

Розслідування інцидентів

New-Scale Analytics надає аналітикам безпеки потужні інструменти для швидкого і ефективного розслідування інцидентів. Система надає контекстну інформацію, що дозволяє аналітикам швидко зрозуміти суть проблеми і вжити необхідних заходів.

Контекстна інформація

Система надає аналітикам всю необхідну інформацію про інцидент, включаючи дані про користувача, сервер, мережевий трафік і інші пов’язані події. Це дозволяє аналітикам швидко зрозуміти суть проблеми і вжити необхідних заходів. Наприклад, система може показати, що підозрілий файл був завантажений користувачем з певної IP-адреси, а потім запущений на певному сервері. Ця інформація дозволяє аналітикам швидко визначити джерело загрози і вжити заходів щодо її усунення.

Візуалізація даних і зручні інструменти аналізу

New-Scale Analytics надає аналітикам зручні інструменти для візуалізації даних і аналізу інцидентів. Візуалізація даних дозволяє аналітикам швидко виявляти закономірності і тенденції, які можуть вказувати на наявність загрози. Зручні інструменти аналізу дозволяють аналітикам швидко отримати доступ до необхідної інформації і вжити необхідних заходів.

Висновок

У сучасному світі кіберзагроз, використання ШІ та машинного навчання для виявлення прихованих загроз стає необхідністю. New-Scale Analytics пропонує ефективний підхід до забезпечення безпеки, заснований на поведінковому аналізі, автоматичному виявленні аномалій і кореляції даних. Використання New-Scale Analytics є ефективним інструментом для підвищення рівня безпеки організації і захисту від найсучасніших кіберзагроз.