Geekly articles weekly

L'intelligence artificielle au service de la sécurité des réseaux. 2e partie

Partie 2. Partie 1 par référence.

Dans notre cas, le système d'analyse de comportement Introspect de la classe de produit User and Entity Behavior Analytics (UEBA en abrégé) est un point d'entrée unique pour une grande variété d'informations sur les machines collectées à partir de l'infrastructure existante, y compris les systèmes SIEM, et basé sur des algorithmes d'analyse de machine et l'intelligence artificielle pour aider le personnel de sécurité à automatiser le travail de routine en analysant un grand nombre d'incidents.

De plus, le système peut être intégré aux systèmes NAC (Infrastructure Access Control) existants pour effectuer diverses actions avec des sources de comportement anormal dans le réseau - déconnecter, ralentir, passer à un autre VLAN, etc.



Quelles données le système Introspect doit-il recevoir comme informations initiales? Le plus diversifié, jusqu'au trafic réseau. À cette fin, le système dispose de composants spécialisés pour le traitement de la fusion - Processeur de paquets (PP).

L'avantage de recevoir des données des systèmes SIEM peut être le fait qu'elles ont déjà été pré-analysées par ces systèmes. Introspect fonctionne avec des systèmes SIEM tels que SPLUNK, QRadar, ArcSight. Ensuite, l'implémentation de LogRhythm (raw syslog), Intel Nitro. De plus, le système recueille un vaste éventail de données:

MS Active Directory (journaux de sécurité AD, utilisateur AD, groupe, utilisateur de groupe), journaux MS LDAP,
Journaux DHCP
MS DHCP, Infoblox DHCP, dnsmasq DHCP
Journaux DNS
MS DNS, Infoblox DNS, BIND
Journaux du pare-feu
Cisco ASA (syslog), Fortinet (via SPLUNK), Palo Alto (via SPLUNK), Checkpoint (via SPLUNK), Juniper (via SPLUNK).
Journaux proxy
Bluecoat, McAfee, ForcePoint
Alertts
Fireeye
MS ATA
Journaux VPN
Cisco Anyconnect / WebVPN
Juniper VPN (via SPLUNK)
Juniper Pulse Secure (via SPLUNK)
VPN Fortinet (via SPLUNK)
VPN Checkpoint
Palo Alto VPN
Journaux de flux
Netflow v5, v7, v9
Journaux de messagerie
Ironport ESA
Bro logs
Journaux de connexion

L'avantage compétitif du système est la capacité de travailler au niveau des transactions, c'est-à-dire avec le trafic réseau, qui complète les informations reçues dans les messages du journal. Cela donne au système des capacités analytiques supplémentaires - analyse des requêtes DNS, trafic du tunnel et recherche efficace des tentatives de transfert de données sensibles autour du périmètre de l'organisation. En outre, le système fournit des analyses d'entropie de paquets, une analyse des en-têtes et des fichiers HTTPS, ainsi qu'une analyse du fonctionnement des applications cloud.

Les processeurs de paquets (PP) mentionnés ci-dessus ont une implémentation virtuelle et matérielle, fonctionnent à des vitesses allant jusqu'à 5-6 Gbps et effectuent des DPI de données brutes, en extraient des informations contextuelles ou des métadonnées de paquets et les transfèrent vers un autre composant du système - l'analyseur (analyseur).

Si des décisions sont prises pour analyser non seulement les journaux, mais également le trafic à l'aide des méthodes SPAN / TAP ou à l'aide d'un courtier de paquets ou de répéteurs tels que Gigamon ou Ixia, PP doit être situé au bon endroit sur le réseau. Pour une efficacité maximale, il est nécessaire de capturer tout le trafic réseau qui va dans chaque VLAN utilisateur vers / depuis Internet, ainsi que le trafic qui va de / vers les utilisateurs vers des ressources protégées, ou des serveurs contenant des informations critiques.

Un composant nécessaire et clé du système est Analyzer. Il traite les données des journaux, des flux, des métadonnées des paquets, des alertes provenant de systèmes tiers, des flux de renseignements sur les menaces et d'autres sources.

L'analyseur peut être une seule appliance 2RU ou une solution évolutive évolutive horizontalement composée de nombreuses appliances 1RU, ainsi que d'une solution cloud.

Structure logique

Logiquement, l'analyseur est une plate-forme Hadoop évolutive horizontalement composée de plusieurs types de nœuds: nœuds de périphérie, nœuds d'indexation et de recherche, nœuds de données Hadoop.
Les nœuds périphériques reçoivent des données et enregistrent sur des canaux Flume avec des récepteurs HDFS.

Les nœuds d'indexation et de recherche extraient des informations de trois types de bases de données: Hbase, Parquet et ElasticSearch.
Les nœuds de données Hadoop sont destinés au stockage de données.

Logiquement, le fonctionnement du système est le suivant: les métadonnées par lots, les flux, les journaux, les alertes, les flux de menaces sont analysés, mis en cache, distillés et corrélés. Le système implémente un lien entre l'utilisateur et ses données, mettant en cache les données utilisateur entrantes rapides dans HDFS.

Les données vont ensuite au module d'analyse discrète, où, sur la base des informations reçues sur tout événement ou champ fixe, les alarmes dites discrètes sont filtrées. Par exemple, le fonctionnement de l'algorithme DNS DGA ou une tentative de saisie d'un compte verrouillé ne nécessite évidemment aucun type d'analyse de machine pour détecter un événement potentiellement dangereux. Le module de comportement analytique est connecté à ce stade uniquement pour lire les événements potentiels sur le réseau.

L'étape suivante est la corrélation des événements, l'indexation et le stockage dans les bases de données susmentionnées. Le mécanisme de comportement analytique est activé sur la base des informations stockées et peut fonctionner sur la base de certaines périodes de temps ou sur la base du comportement de cet utilisateur par rapport à un autre utilisateur. Il s'agit de ce que l'on appelle la référence du mécanisme de profilage du comportement. Les modèles de profilage du comportement sont construits sur la base d'algorithmes d'analyse machine SVD, RBM, BayesNet, K-means, Arbre de décision.

Un modèle agrandi du comportement analytique des produits est illustré à la figure 1.


Fig.1

Le diagramme montre que le mécanisme d'analyse du comportement est basé sur quatre blocs:

  • sources de données;
  • les conditions de travail avec les données (temps d'accès, quantité de données téléchargées ou déchargées, nombre de messages électroniques, informations sur la géolocalisation de la source ou du destinataire des informations, connexion VPN, etc.);
  • mécanismes de profilage du comportement de l'utilisateur (évaluation du comportement après un certain temps ou par rapport à un autre employé, fenêtre de temps pendant laquelle l'analyse est effectuée, modèle mathématique de profilage du comportement - SVD, Restricted Boltzmann Machine (RBM), BayesNet, K-means, Arbre de décision et autres);
  • détection des anomalies de trafic à l'aide de modèles mathématiques d'analyse de machines, tels que la distance de mahalanobis, la distance d'énergie et la génération d'événements dans le système avec une certaine priorité et un certain stade.

Aruba Introspect dispose de plus de 100 modèles supervisés et non supervisés conçus pour détecter les attaques ciblées à chaque étape du modèle CKC. Par exemple, une implémentation de niveau Introspect Advanced détecte

  • Types d'activités réseau suspectes: accès anormal aux ressources, utilisation anormale des données, accès réseau anormal, communication Adware, application Bitcoin sous forme de Bitcoin Mining, Botnet (TeslaCrypt, CryptoWall), exfiltration dans le cloud, anomalie du protocole HTTP (erreurs d'orthographe des en-têtes, erreur de mappage des en-têtes), outil de piratage Téléchargement, types d'attaque IOC (IOC-STIX Abuse-ch, IOC-STIX CybercrimeTracker, IOC-STIX EmergingThreatsRules et autres), Scan réseau, Application P2P, Exécution de commandes à distance, Violation de protocole SSL, Logiciel espion, Utilisation suspecte des données, Accès externe suspect , Fichier suspect, communication sortante suspecte, WebShell, communication contre les logiciels malveillants, commande et contrôle, mouvement latéral, exfiltration de données, exploitation du navigateur, balisage, exécution SMB, violation de protocole, reconnaissance interne et autres.
  • Accès suspect à des comptes tels qu'une activité de compte anormale, un accès anormal aux actifs, une connexion anormale, une escalade de privilèges, une activité de compte suspecte, une connexion utilisateur suspecte et autres
  • Accéder aux données via VPN: utilisation anormale des données, connexion anormale, connexion utilisateur anormale,
  • Analyse des données DNS: Botnet utilisant divers algorithmes DNS DGA
  • Analyse des messages électroniques: courrier électronique entrant anormal, courrier électronique sortant anormal, pièce jointe suspecte, courrier électronique suspect

De plus, sur la base des anomalies identifiées, l'événement se voit attribuer une évaluation des risques associée à l'une ou l'autre étape du piratage du système selon la définition de Lockheed Martin's Cyber ​​Kill Chain (CKC). L'évaluation des risques est déterminée par le modèle de Markov caché, contrairement aux concurrents qui augmentent ou diminuent linéairement l'évaluation des risques dans leurs calculs.

Comme l'attaque se développe selon le modèle CKC, c'est-à-dire stades d'infection, reconnaissance interne, commandement et contrôle, élévation de privilèges, mouvement latéral, exfiltration, augmentation de l'évaluation des risques. Voir fig.2


Fig.2

Le système a des fonctions d'apprentissage adaptatif lorsque les résultats du module d'analyse sont révisés ou adaptés, dans une évaluation de notation des risques ou lorsqu'ils sont placés dans la «liste blanche».

Les informations sur les menaces ou les flux de menaces peuvent être téléchargées à partir de sources externes à l'aide des mécanismes STIX, TAXII. La ressource Anomali est également prise en charge. Introspect peut également télécharger des noms de domaine «Whitelist» depuis Alexa pour réduire les faux positifs lors de la génération d'alertes.

Les avantages compétitifs du système sont:

  • variété de données d'entrée utilisées,
  • Fonction DPI
  • corrélation des événements de sécurité avec l'utilisateur, et non avec l'adresse IP, sans logiciel supplémentaire,
  • Utilisation du système Hadoop / Spark Big Data avec un cluster illimité
  • les résultats analytiques du travail du système, la capacité d'enquêter sur les incidents en utilisant la criminalistique en contexte complet, la chasse aux menaces,
  • intégration avec la solution NAC Clearpass existante,
  • travailler sans agent sur Endpoint,
  • indépendance pratique par rapport au type de fabricant d'infrastructure réseau
  • Fonctionnement sur site, sans avoir besoin d'envoyer des données vers le cloud

Le système a deux options de livraison - Standard Edition et Advanced Edition. L'édition standard est adaptée aux équipements du réseau Aruba et reçoit des informations de journal provenant des journaux AD, AMON, LDAP, Firewall et VPN.

Source: https://habr.com/ru/post/fr423545/

More articles:


All Articles