Teil 2.
Teil 1 durch Bezugnahme.
In unserem Fall ist das Introspect-Verhaltensanalysesystem aus der Produktklasse User and Entity Behavior Analytics (kurz UEBA) ein einziger Einstiegspunkt für eine Vielzahl von Maschineninformationen, die aus vorhandenen Infrastrukturen, einschließlich SIEM-Systemen, gesammelt wurden und auf Maschinenanalysealgorithmen und basieren Künstliche Intelligenz zur Unterstützung des Sicherheitspersonals bei der Automatisierung von Routinearbeiten durch Analyse einer großen Anzahl von Vorfällen.
Darüber hinaus kann das System in vorhandene NAC-Systeme (Infrastructure Access Control) integriert werden, um verschiedene Aktionen mit Ursachen für abnormales Verhalten im Netzwerk auszuführen - Trennen, Verlangsamen, Wechseln in ein anderes VLAN usw.
Welche Daten sollte das Introspect-System als erste Information erhalten? Der vielfältigste bis zum Netzwerkverkehr. Zu diesem Zweck verfügt das System über spezielle Komponenten für die Schmelzverarbeitung - Packet Processor (PP).
Der Vorteil des Empfangs von Daten von SIEM-Systemen kann darin bestehen, dass sie bereits von diesen Systemen vorab analysiert wurden. Introspect arbeitet mit SIEM-Systemen wie SPLUNK, QRadar, ArcSight. Als nächstes folgt die Implementierung von LogRhythm (Raw Syslog), Intel Nitro. Darüber hinaus sammelt das System eine Vielzahl von Daten:
MS Active Directory (AD-Sicherheitsprotokolle, AD-Benutzer, Gruppe, Gruppenbenutzer), MS LDAP-Protokolle,
DHCP-ProtokolleMS DHCP, Infoblox DHCP, dnsmasq DHCP
DNS-ProtokolleMS DNS, Infoblox DNS, BIND
Firewall-ProtokolleCisco ASA (Syslog), Fortinet (über SPLUNK), Palo Alto (über SPLUNK), Checkpoint (über SPLUNK), Juniper (über SPLUNK).
Proxy-ProtokolleBluecoat, McAfee, ForcePoint
Warnungen
Fireeye
MS ATA
VPN-ProtokolleCisco Anyconnect / WebVPN
Juniper VPN (über SPLUNK)
Juniper Pulse Secure (über SPLUNK)
Fortinet VPN (über SPLUNK)
Checkpoint VPN
Palo Alto VPN
FlussprotokolleNetflow v5, v7, v9
E-Mail-ProtokolleIronport ESA
Bro protokolliert
Verbindungsprotokolle
Der Wettbewerbsvorteil des Systems ist die Fähigkeit, auf Transaktionsebene zu arbeiten, d.h. mit Netzwerkverkehr, der die in den Protokollnachrichten empfangenen Informationen ergänzt. Dies bietet dem System zusätzliche Analysefunktionen - Analyse von DNS-Abfragen, Tunnelverkehr und effiziente Suche nach Versuchen, vertrauliche Daten im Umkreis des Unternehmens zu übertragen. Darüber hinaus bietet das System eine Paketentropieanalyse, eine Analyse von HTTPS-Headern und -Dateien sowie eine Analyse des Betriebs von Cloud-Anwendungen.
Die oben genannten Paketprozessoren (PP) verfügen über eine virtuelle und Hardware-Implementierung, arbeiten mit Geschwindigkeiten von bis zu 5 bis 6 Gbit / s und führen eine DPI von Rohdaten durch, extrahieren Kontextinformationen oder Paketmetadaten daraus und übertragen sie an eine andere Komponente des Systems - den Analysator (Analyzer).
Wenn Entscheidungen getroffen werden, nicht nur die Protokolle, sondern auch den Datenverkehr mithilfe von SPAN / TAP-Methoden oder mithilfe eines Paketbrokers oder von Repeatern wie Gigamon oder Ixia zu analysieren, sollte sich PP an der richtigen Stelle im Netzwerk befinden. Für maximale Effizienz ist es erforderlich, den gesamten Netzwerkverkehr zu erfassen, der in jedem Benutzer-VLAN zum / vom Internet geleitet wird, sowie den Verkehr, der von / zu Benutzern zu geschützten Ressourcen oder Servern mit kritischen Informationen geleitet wird.
Eine notwendige und wichtige Komponente des Systems ist Analyzer. Es verarbeitet Daten aus Protokollen, Flows, Paketmetadaten, Warnungen von Systemen von Drittanbietern, Feeds mit Bedrohungsinformationen und anderen Quellen.
Der Analysator kann eine einzelne 2-HE-Appliance oder eine horizontal skalierbare Scale-Out-Lösung sein, die aus vielen 1-HE-Appliances besteht, sowie eine Cloud-Lösung.
Logische StrukturLogischerweise ist der Analyzer eine horizontal skalierbare Hadoop-Plattform, die aus mehreren Knotentypen besteht - Kantenknoten, Index- und Suchknoten, Hadoop-Datenknoten.
Edge-Knoten empfangen Daten und zeichnen mit HDFS-Empfängern auf Flume-Kanälen auf.
Index- und Suchknoten extrahieren Informationen aus drei Arten von Datenbanken - Hbase, Parkett, ElasticSearch.
Hadoop-Datenknoten sind zur Datenspeicherung vorgesehen.
Logischerweise funktioniert das System wie folgt: Batch-Metadaten, Flows, Protokolle, Warnungen und Bedrohungs-Feeds werden analysiert, zwischengespeichert, destilliert und korreliert. Das System implementiert eine Verbindung zwischen dem Benutzer und seinen Daten und speichert schnell eingehende Benutzerdaten in HDFS zwischen.
Die Daten gehen dann an das diskrete Analysemodul, wo auf der Grundlage der Informationen, die zu einem festen Ereignis oder Feld empfangen werden, die sogenannten diskreten Alarme gesiebt werden. Zum Beispiel erfordert der Betrieb des DNS-DGA-Algorithmus oder der Versuch, ein gesperrtes Konto einzugeben, offensichtlich keine Maschinenanalyse, um ein potenziell gefährliches Ereignis zu erkennen. Das Analyseverhaltensmodul ist zu diesem Zeitpunkt nur zum Lesen potenzieller Ereignisse im Netzwerk verbunden.
Die nächste Stufe ist die Korrelation von Ereignissen, Indizierung und Speicherung in den oben genannten Datenbanken. Der Analyseverhaltensmechanismus wird basierend auf den gespeicherten Informationen aktiviert und kann auf der Grundlage bestimmter Zeiträume oder auf der Grundlage des Verhaltens dieses Benutzers im Vergleich zu einem anderen Benutzer arbeiten. Dies ist das sogenannte Baselining des Verhaltensprofilierungsmechanismus. Modelle für die Erstellung von Verhaltensprofilen basieren auf Maschinenanalysealgorithmen SVD, RBM, BayesNet, K-means und Decision Tree.
Ein vergrößertes Modell des Verhaltens der Produktanalyse ist in Abb. 1 dargestellt
Abb. 1Das Diagramm zeigt, dass der Mechanismus zur Verhaltensanalyse auf vier Blöcken basiert:
- Datenquellen;
- Bedingungen für die Arbeit mit Daten (Zugriffszeit, Menge der heruntergeladenen oder entladenen Daten, Anzahl der E-Mail-Nachrichten, Informationen über die geografische Position der Quelle oder des Empfängers von Informationen, VPN-Verbindung usw.);
- Mechanismen zur Profilerstellung des Benutzerverhaltens (Bewertung des Verhaltens nach einiger Zeit oder in Bezug auf einen anderen Mitarbeiter, Zeitfenster, in dem die Analyse durchgeführt wird, mathematisches Modell für die Profilerstellung - SVD, Restricted Boltzmann Machine (RBM), BayesNet, K-means, Entscheidungsbaum und andere);
- Erkennung von Verkehrsanomalien mithilfe mathematischer Modelle der Maschinenanalyse wie Mahalanobis-Entfernung, Energiedistanz und Erzeugung von Ereignissen im System mit einer bestimmten Priorität und Stufe.
Aruba Introspect verfügt über mehr als 100 überwachte und unbeaufsichtigte Modelle, mit denen gezielte Angriffe in jeder Phase des CKC-Modells erkannt werden können. Beispielsweise erkennt eine Implementierung auf Introspect Advanced-Ebene
- Verdächtige Netzwerkaktivitätstypen: Anormaler Asset-Zugriff, anormale Datennutzung, anormaler Netzwerkzugriff, Adware-Kommunikation, Bitcoin-Anwendung in Form von Bitcoin Mining, Botnet (TeslaCrypt, CryptoWall), Cloud-Exfiltration, HTTP-Protokollanomalie (Header-Rechtschreibfehler, Header-Fehlordnung), Hacker-Tool Download, IOC-Angriffstypen (IOC-STIX-Missbrauch, IOC-STIX CybercrimeTracker, IOC-STIX EmergingThreatsRules und andere), Netzwerkscan, P2P-Anwendung, Remotebefehlsausführung, Verletzung des SSL-Protokolls, Spyware-Kommunikation, verdächtige Datennutzung, verdächtiger externer Zugriff , Verdächtige Datei, verdächtige ausgehende Kommunikation, WebShell, Malware-Kommunikation, Befehl und Kontrolle, seitliche Bewegung, Datenexfiltration, Browser-Exploit, Beaconing, SMB-Ausführung, Protokollverletzung, interne Aufklärung und andere.
- Verdächtiger Zugriff auf Konten wie abnormale Kontoaktivität, abnormaler Asset-Zugriff, abnormale Anmeldung, Eskalation von Berechtigungen, verdächtige Kontoaktivität, verdächtige Benutzeranmeldung und andere
- Zugriff auf Daten über VPN: Abnormale Datennutzung, Abnormale Anmeldung, Abnormale Benutzeranmeldung,
- DNS-Datenanalyse: Botnetz mit verschiedenen DGA-DNS-Algorithmen
- Analyse von E-Mail-Nachrichten: Abnormale eingehende E-Mails, abnormale ausgehende E-Mails, verdächtige Anhänge, verdächtige E-Mails
Basierend auf den identifizierten Anomalien wird dem Ereignis eine Risikobewertung zugewiesen, die mit der einen oder anderen Phase des Hackens des Systems gemäß der Definition der Cyber Kill Chain (CKC) von Lockheed Martin verbunden ist. Die Risikobewertung wird vom Hidden-Markov-Modell bestimmt, im Gegensatz zu Wettbewerbern, die die Risikobewertung in ihren Berechnungen linear erhöhen oder verringern.
Wenn sich der Angriff gemäß dem CKC-Modell entwickelt, d.h. Infektionsstadien, interne Aufklärung, Befehl und Kontrolle, Eskalation von Privilegien, seitliche Bewegung, Exfiltration, Erhöhung der Risikobewertung. Siehe Abb. 2
Abb.2Das System hat die Funktionen des adaptiven Lernens, wenn die Ergebnisse des Analysemoduls überarbeitet oder angepasst werden, in einer Risikobewertung bewertet werden oder wenn es in die „weiße Liste“ aufgenommen wird.
Informationen zu Bedrohungen oder Bedrohungs-Feeds können mithilfe der STIX- und TAXII-Mechanismen von externen Quellen heruntergeladen werden. Anomali-Ressource wird ebenfalls unterstützt. Introspect kann auch "Whitelist" -Domainnamen von Alexa herunterladen, um Fehlalarme bei der Generierung von Warnungen zu reduzieren.
Wettbewerbsvorteile des Systems sind:
- Vielzahl der verwendeten Eingabedaten,
- DPI-Funktion
- Korrelation von Sicherheitsereignissen mit dem Benutzer und nicht mit der IP-Adresse ohne zusätzliche Software,
- Verwendung des Hadoop / Spark Big Data-Systems mit unbegrenztem Clustering
- Analyseergebnisse der Systemarbeit, die Fähigkeit, Vorfälle mithilfe von Forensik im Vollkontext zu untersuchen, Bedrohungssuche,
- Integration in die bestehende NAC Clearpass-Lösung,
- Arbeit ohne Agent auf Endpoint,
- praktische Unabhängigkeit von der Art des Herstellers der Netzwerkinfrastruktur
- On-Premise-Betrieb, ohne dass Daten an die Cloud gesendet werden müssen
Das System verfügt über zwei Lieferoptionen - Standard Edition und Advanced Edition. Die Standard Edition ist für Aruba Network-Geräte angepasst und empfängt die Eingabe von Protokollinformationen aus AD-, AMON-Protokoll-, LDAP-, Firewall- und VPN-Protokollen.