Geekly articles weekly

Inteligencia artificial al servicio de la seguridad de la red. Parte 2

Parte 2. Parte 1 por referencia.

En nuestro caso, el sistema de análisis de comportamiento Introspect de la clase de producto de análisis de comportamiento de usuarios y entidades (UEBA para abreviar) es un único punto de entrada para una amplia variedad de información de máquinas recopilada de la infraestructura existente, incluidos los sistemas SIEM, y basada en algoritmos de análisis de máquinas y inteligencia artificial para ayudar al personal de seguridad a automatizar el trabajo de rutina mediante el análisis de una gran cantidad de incidentes.

Además, el sistema se puede integrar con los sistemas existentes de control de acceso a la infraestructura (NAC) para realizar diversas acciones con fuentes de comportamiento anormal en la red: desconectar, reducir la velocidad, pasar a otra VLAN, etc.



¿Qué datos debe recibir el sistema Introspect como información inicial? El más diverso, hasta el tráfico de red. Para este propósito, el sistema tiene componentes especializados para el procesamiento de la fundición: procesador de paquetes (PP).

La ventaja de recibir datos de los sistemas SIEM puede ser el hecho de que estos sistemas ya los han analizado previamente. Introspect funciona con sistemas SIEM como SPLUNK, QRadar, ArcSight. El siguiente en la línea es la implementación de LogRhythm (syslog sin procesar), Intel Nitro. Además, el sistema recopila una gran variedad de datos:

Active Directory de MS (Registros de seguridad de AD, usuario de AD, grupo, usuario de grupo), registros de LDAP de MS,
Registros de DHCP
MS DHCP, Infoblox DHCP, dnsmasq DHCP
Registros de DNS
MS DNS, Infoblox DNS, BIND
Registros de cortafuegos
Cisco ASA (syslog), Fortinet (a través de SPLUNK), Palo Alto (a través de SPLUNK), Checkpoint (a través de SPLUNK), Juniper (a través de SPLUNK).
Registros Proxy
Bluecoat, McAfee, ForcePoint
Alertas
Fireeye
MS ATA
Registros de VPN
Cisco Anyconnect / WebVPN
Juniper VPN (a través de SPLUNK)
Juniper Pulse Secure (a través de SPLUNK)
Fortinet VPN (a través de SPLUNK)
Checkpoint VPN
VPN de Palo Alto
Registros de flujo
Netflow v5, v7, v9
Registros de correo electrónico
Ironport ESA
Bro registros
Registros de conexión

La ventaja competitiva del sistema es la capacidad de trabajar a nivel de transacción, es decir. con tráfico de red, que complementa la información recibida en los mensajes de registro. Esto le da al sistema capacidades analíticas adicionales: análisis de consultas DNS, tráfico de túnel y búsqueda eficiente de intentos de transferir datos confidenciales alrededor del perímetro de la organización. Además, el sistema proporciona análisis de entropía de paquetes, análisis de encabezados y archivos HTTPS, así como análisis del funcionamiento de las aplicaciones en la nube.

Los procesadores de paquetes (PP) mencionados anteriormente tienen una implementación virtual y de hardware, operan a velocidades de hasta 5-6 Gbps y realizan DPI de datos sin procesar, extraen información contextual o metadatos de paquetes y los transfieren a otro componente del sistema: el analizador (Analizador).

Si se toman decisiones para analizar no solo los registros, sino también el tráfico utilizando métodos SPAN / TAP o un intermediario de paquetes o repetidores como Gigamon o Ixia, los PP deben ubicarse en el lugar correcto de la red. Para obtener la máxima eficacia, es necesario capturar todo el tráfico de red que va en cada VLAN de usuario hacia / desde Internet, así como el tráfico que va desde / hacia usuarios a recursos protegidos o servidores que contienen información crítica.

Un componente necesario y clave del sistema es el analizador. Procesa datos de registros, flujos, metadatos de paquetes, alertas de sistemas de terceros, feeds de inteligencia de amenazas y otras fuentes.

El analizador puede ser un solo dispositivo 2RU o una solución de escala horizontalmente escalable que consta de muchos dispositivos 1RU, así como una solución en la nube.

Estructura lógica

Lógicamente, el analizador es una plataforma Hadoop escalable horizontalmente que consta de varios tipos de nodos: nodos de borde, nodos de índice y búsqueda, nodos de datos de Hadoop.
Los nodos de borde reciben datos y graban en canales Flume con receptores HDFS.

Los nodos Index y Search extraen información de tres tipos de bases de datos: Hbase, Parquet, ElasticSearch.
Los nodos de datos de Hadoop están destinados al almacenamiento de datos.

Lógicamente, el funcionamiento del sistema es el siguiente: metadatos, flujos, registros, alertas, feeds de amenazas que se analizan, almacenan en caché, destilan y correlacionan. El sistema implementa un enlace entre el usuario y sus datos, almacenando en caché los datos de los usuarios entrantes rápidos en HDFS.

Luego, los datos van al módulo de análisis discreto, donde, sobre la base de la información recibida en cualquier evento o campo fijo, se tamizan las llamadas alarmas discretas. Por ejemplo, la operación del algoritmo DNS DGA o un intento de ingresar a una cuenta bloqueada obviamente no requiere ningún tipo de análisis de la máquina para detectar un evento potencialmente peligroso. El módulo de comportamiento analítico está conectado en esta etapa solo para leer eventos potenciales en la red.

La siguiente etapa es la correlación de eventos, indexación y almacenamiento en las bases de datos mencionadas. El mecanismo de comportamiento analítico se habilita en función de la información almacenada y puede funcionar en función de ciertos períodos de tiempo o en función del comportamiento de este usuario en comparación con otro usuario. Esta es la llamada línea de base del mecanismo de perfil de comportamiento. Los modelos de perfiles de comportamiento se construyen sobre la base de algoritmos de análisis de máquinas SVD, RBM, BayesNet, K-means, árbol de decisión.

En la figura 1 se muestra un modelo ampliado del comportamiento analítico del producto.


Fig. 1

El diagrama muestra que el mecanismo de análisis de comportamiento se basa en cuatro bloques:

  • fuentes de datos;
  • condiciones para trabajar con datos (tiempo de acceso, cantidad de datos descargados o descargados, número de mensajes de correo electrónico, información sobre la geolocalización de la fuente o receptor de información, conexión VPN, etc.);
  • mecanismos para perfilar el comportamiento del usuario (evaluación del comportamiento después de un tiempo o en relación con otro empleado, ventana de tiempo durante la cual se realiza el análisis, modelo matemático para el comportamiento del perfil: SVD, máquina de Boltzmann restringida (RBM), BayesNet, K-means, árbol de decisión y otros);
  • detección de anomalías de tráfico utilizando modelos matemáticos de análisis de máquinas, como la distancia mahalanobis, la distancia de energía y la generación de eventos en el sistema con cierta prioridad y etapa.

Aruba Introspect tiene más de 100 modelos supervisados ​​y no supervisados ​​diseñados para detectar ataques dirigidos en cada etapa del modelo CKC. Por ejemplo, una implementación de nivel Introspect Advanced detecta

  • Tipos de actividades de red sospechosas: acceso a activos anormales, uso de datos anormales, acceso a redes anormales, comunicación de adware, aplicación de Bitcoin en forma de minería de Bitcoin, botnet (TeslaCrypt, CryptoWall), exfiltración de la nube, anomalía del protocolo HTTP (errores de encabezado, errores de encabezado), herramienta de piratería Descarga, tipos de ataque IOC (IOC-STIX Abuse-ch, IOC-STIX CybercrimeTracker, IOC-STIX EmergingThreatsRules y otros), Escaneo de red, Aplicación P2P, Ejecución remota de comandos, Violación del protocolo SSL, Comunicación de spyware, Uso sospechoso de datos, Acceso externo sospechoso, Acceso externo sospechoso , Archivo sospechoso, Comunicación saliente sospechosa, WebShell, Comunicación de malware, Comando y control, Movimiento lateral, Exfiltración de datos, Explotación del navegador, Balizamiento, Ejecución SMB, Violación de protocolo, Reconocimiento interno y otros.
  • Acceso sospechoso a cuentas como Actividad de cuenta anormal, Acceso a activos anormales, Inicio de sesión anormal, Escalada de privilegios, Actividad de cuenta sospechosa, Inicio de sesión de usuario sospechoso y otros
  • Acceda a datos a través de VPN: uso anormal de datos, inicio de sesión anormal, inicio de sesión de usuario anormal,
  • Análisis de datos DNS: Botnet usando varios algoritmos DNS DGA
  • Análisis de mensajes de correo electrónico: correo electrónico entrante anormal, correo electrónico saliente anormal, archivo adjunto sospechoso, correo electrónico sospechoso

Además, en función de las anomalías identificadas, al evento se le asigna una evaluación de riesgos asociada con una u otra etapa de piratería del sistema de acuerdo con la definición de la cadena de asesinato cibernético (CKC) de Lockheed Martin. La evaluación de riesgos está determinada por el Modelo de Markov Oculto, a diferencia de los competidores que aumentan o disminuyen linealmente la evaluación de riesgos en sus cálculos.

A medida que el ataque se desarrolla de acuerdo con el modelo CKC, es decir etapas de infección, reconocimiento interno, comando y control, escalada de privilegios, movimiento lateral, exfiltración, aumento de la evaluación de riesgos. Ver figura 2


Fig.2

El sistema tiene las funciones de aprendizaje adaptativo cuando los resultados del módulo de análisis se revisan o adaptan, en una evaluación de calificación de riesgo o cuando se colocan en la "lista blanca".

La información sobre amenazas o fuentes de amenazas se puede descargar de fuentes externas utilizando los mecanismos STIX, TAXII. El recurso Anomali también es compatible. Introspect también puede descargar nombres de dominio "Lista blanca" de Alexa para reducir los falsos positivos en la generación de alertas.

Las ventajas competitivas del sistema son:

  • variedad de datos de entrada utilizados,
  • Función DPI
  • correlación de eventos de seguridad con el usuario, y no con la dirección IP, sin software adicional,
  • Uso del sistema Hadoop / Spark Big Data con agrupamiento ilimitado
  • resultados analíticos del trabajo del sistema, la capacidad de investigar incidentes utilizando análisis forenses de contexto completo, búsqueda de amenazas,
  • integración con la solución NAC Clearpass existente,
  • trabajar sin agente en Endpoint,
  • independencia práctica del tipo de fabricante de infraestructura de red
  • Operación en las instalaciones, sin la necesidad de enviar datos a la nube.

El sistema tiene dos opciones de entrega: Edición estándar y Edición avanzada. Standard Edition está adaptada para el equipo de red de Aruba y recibe información de registro de AD, protocolo AMON, LDAP, Firewall, registros de VPN.

Source: https://habr.com/ru/post/es423545/

More articles:


All Articles