New-Scale Fusion: Поведінковий аналіз у кібербезпеці

Сучасний ландшафт кіберзагроз вимагає від організацій постійного вдосконалення методів виявлення атак.New-Scale Fusion пропонує інноваційний підхід, заснований на поведінковому аналізі, що дозволяє виявляти аномалії та складні атаки, які не виявляються традиційними засобами захисту.

Архітектура та компоненти New-Scale Fusion для поведінкового аналізу

New-Scale Fusion використовує модульну архітектуру, що складається з декількох ключових компонентів, призначених для збору, обробки та аналізу даних, необхідних для поведінкового аналізу.

Збір та інтеграція даних

Система інтегрується з широким спектром джерел даних, включаючи:

• Логи подій безпеки (SIEM).
• Дані мережевого трафіку (NetFlow, PCAP).
• Дані автентифікації (Active Directory, LDAP).
• Хмарні сервіси (AWS, Azure, GCP).
• Кінцеві точки (EDR).

Ця інтеграція забезпечує всебічне уявлення про діяльність користувачів та сутностей в організації.

Нормалізація та збагачення даних

Зібрані дані проходять етапи нормалізації та збагачення. Нормалізація перетворює дані з різних джерел в єдиний формат, що спрощує їх подальшу обробку. Збагачення додає контекстну інформацію до даних, наприклад, географічне місцезнаходження IP-адрес, дані про активи та інформацію про загрози із сторонніх джерел. Це призводить до створення взаємозв’язку між даними в організації. Аналіз поведінки мережі стає більш ефективним.

Цей процес підвищує точність поведінкового аналізу та дозволяє виявляти більш складні аномалії.

Механізм аналітики

Ядром New-Scale Fusion є механізм аналітики, який використовує машинне навчання та штучний інтелект для виявлення аномалій у поведінці.

Моделі поведінки та алгоритми машинного навчання

New-Scale Fusion використовує широкий спектр моделей поведінки, кожна з яких призначена для аналізу певного аспекту діяльності користувачів та сутностей. Моделі постійно навчаються та адаптуються до змін у поведінці.

Моделювання нормальної поведінки користувача

Ця модель визначає нормальну поведінку кожного користувача на основі його попередньої діяльності. Для навчання моделі використовуються наступні дані:

• Час входу в систему та виходу з неї.
• Програми та ресурси, до яких користувач зазвичай звертається.
• Обсяг даних, які користувач зазвичай передає та отримує.
• Географічне місцезнаходження, з якого користувач зазвичай входить в систему.

Для навчання моделі використовуються різні алгоритми машинного навчання, включаючи:

• Кластеризацію (наприклад, K-Means) для виявлення груп користувачів зі схожою поведінкою.
• Регресію (наприклад, лінійну регресію) для прогнозування очікуваної поведінки користувача.
• Профілювання на основі прихованих марковських моделей.

Відхилення від нормальної поведінки визначається на основі статистичних показників, таких як стандартне відхилення та Z-оцінка. Параметри моделі налаштовуються для мінімізації хибних спрацювань та підвищення точності виявлення аномалій.

Приклад показника: Z-оцінка для кількості завантажених даних користувачем протягом дня. Висока Z-оцінка вказує на аномальну активність.

Моделювання доступу до ресурсів

Ця модель аналізує шаблони доступу користувачів до ресурсів, таких як файли, бази даних та програми. Для навчання моделі використовуються наступні дані:

• Список ресурсів, до яких користувач має доступ.
• Час та частота доступу до ресурсів.
• Тип доступу (читання, запис, видалення).

Для навчання моделі використовуються наступні алгоритми машинного навчання:

• Аналіз соціальних мереж для виявлення груп користувачів, що мають доступ до одних і тих же ресурсів.
• Алгоритми пошуку асоціативних правил для виявлення несподіваних комбінацій доступу до ресурсів.

Відхилення від нормальної поведінки визначається на основі частоти та типу доступу до ресурсів, а також на основі порівняння поведінки користувача з поведінкою інших користувачів, що мають доступ до тих же ресурсів. Параметри моделі налаштовуються для врахування ролей користувачів та прав доступу.

Приклад показника: частота доступу користувача до конфіденційних файлів в неробочий час.

Моделювання мережевого трафіку

Ця модель аналізує мережевий трафік для виявлення аномалій, таких як незвичайні з’єднання, великі обсяги даних та підозрілі протоколи. Для навчання моделі використовуються наступні дані:

• IP-адреси та порти джерела та призначення.
• Протоколи зв’язку (TCP, UDP, HTTP).
• Обсяг даних, переданих та отриманих.
• Час та тривалість з’єднань.

Для навчання моделі використовуються наступні алгоритми машинного навчання:

• Кластеризацію (наприклад, DBSCAN) для виявлення груп мережевих з’єднань зі схожими характеристиками.
• Виявлення аномалій на основі статистичних методів (наприклад, аналіз часових рядів).
• Автокодувальники для виявлення аномального трафіку.

Відхилення від нормальної поведінки визначається на основі статистичних показників, таких як частота та обсяг трафіку, а також на основі порівняння мережевого трафіку з відомими шаблонами атак. Параметри моделі налаштовуються для врахування особливостей мережевої інфраструктури організації.

Приклад показника: обсяг трафіку, відправленого на невідому IP-адресу.

Застосування ІІ для виявлення складних атак

New-Scale Fusion використовує Штучний Інтелект для кореляції аномалій, виявлених різними моделями поведінки, для виявлення складних атак, що складаються з декількох етапів. ІІ допомагає об’єднати розрізнені події в єдину картину атаки, що дозволяє аналітикам безпеки швидше та ефективніше реагувати на загрози.

Виявлення компрометації облікових записів

New-Scale Fusion може виявляти випадки компрометації облікових записів шляхом кореляції наступних аномалій:

• Незвичайні входи в систему з нових географічних місцезнаходжень.
• Спроби доступу до ресурсів, до яких користувач зазвичай не звертається.
• Збільшення обсягу даних, що передаються та отримуються користувачем.
• Зміна пароля облікового запису.

ІІ використовує правила на основі знань про атаки, а також алгоритми машинного навчання для виявлення підозрілих шаблонів поведінки, що вказують на компрометацію облікових записів.

Виявлення інсайдерських загроз

New-Scale Fusion може виявляти інсайдерські загрози шляхом кореляції наступних аномалій:

• Незвичайний доступ до конфіденційних даних.
• Копіювання великих обсягів даних на зовнішні носії.
• Спроби обходу систем безпеки.
• Мережева активність, що вказує на зв’язок із зовнішніми зловмисниками.

ІІ використовує моделювання поведінки користувачів та аналіз соціальних мереж для виявлення співробітників, які можуть становити загрозу для організації.

Виявлення ланцюжка вбивства кібератаки

New-Scale Fusion використовує ІІ для відстеження ланцюжка вбивства кібератаки, що складається з декількох етапів:

1. Розвідка: зловмисник збирає інформацію про цільову організацію.
2. Озброєння: зловмисник розробляє або купує шкідливе ПЗ.
3. Доставка: зловмисник доставляє шкідливе ПЗ в цільову організацію.
4. Експлуатація: зловмисник використовує шкідливе ПЗ для отримання доступу до системи.
5. Встановлення: зловмисник встановлює шкідливе ПЗ на цільовій системі.
6. Управління та контроль: зловмисник отримує віддалений доступ до цільової системи.
7. Дія: зловмисник краде дані або порушує роботу системи.

ІІ аналізує події безпеки, пов’язані з кожним етапом ланцюжка вбивства кібератаки, та виявляє закономірності, що вказують на активну атаку.

Розслідування інцидентів та реагування

New-Scale Fusion надає аналітикам безпеки інформацію, необхідну для швидкого розслідування інцидентів. Система візуалізує аномалії та зв’язки між ними, що дозволяє аналітикам швидко зрозуміти причину та масштаб інциденту. New-Scale Fusion також дозволяє автоматизувати дії з реагування на інциденти, такі як блокування облікових записів, ізоляція хостів та запуск сканування на наявність шкідливого ПЗ.

Візуалізація аномалій та зв’язків

Система надає інтерактивні графіки та діаграми, що показують аномалії та зв’язки між ними. Аналітики можуть використовувати ці візуалізації для виявлення підозрілих шаблонів поведінки та визначення пріоритету інцидентів.

Автоматизація реагування на інциденти

New-Scale Fusion дозволяє автоматизувати дії з реагування на інциденти, такі як:

• Блокування облікових записів.
• Ізоляція хостів.
• Запуск сканування на наявність шкідливого ПЗ.
• Повідомлення зацікавлених сторін.

Автоматизація реагування на інциденти дозволяє скоротити час простою та мінімізувати збитки від атак.

Переваги New-Scale Fusion для поведінкового аналізу

New-Scale Fusion пропонує ряд технічних переваг для поведінкового аналізу:

Висока точність виявлення аномалій

Система використовує передові алгоритми машинного навчання та штучного інтелекту для виявлення аномалій з високою точністю.

Мінімізація хибних спрацювань

New-Scale Fusion використовує адаптивні моделі поведінки, які постійно навчаються та адаптуються до змін у поведінці користувачів та сутностей. Це дозволяє мінімізувати хибні спрацювання та знизити навантаження на аналітиків безпеки.

Автоматизація розслідування інцидентів

Система надає аналітикам безпеки інформацію, необхідну для швидкого розслідування інцидентів, та дозволяє автоматизувати дії з реагування на інциденти.

Масштабованість рішення

New-Scale Fusion забезпечує горизонтальне масштабування, дозволяючи обробляти великі обсяги даних та підтримувати зростаючу кількість користувачів та сутностей.

Приклад реальної практики: Компанія N скоротила час на розслідування інцидентів на 70% завдяки автоматизації процесів в New-Scale Fusion.

Висновок

New-Scale Fusion є потужним рішенням для поведінкового аналізу, що використовує машинне навчання та штучний інтелект для виявлення складних кіберзагроз. Система інтегрується з широким спектром джерел даних, використовує передові моделі поведінки та дозволяє автоматизувати розслідування інцидентів та реагування на них. Використання машинного навчання та штучного інтелекту стає необхідною умовою для захисту від сучасних технік та тактик зловмисників, спрямованих на впровадження аномального трафіку в мережі організацій.