Geekly articles weekly

Kecerdasan buatan dalam layanan keamanan jaringan. Bagian 2

Bagian 2. Bagian 1 dengan referensi.

Dalam kasus kami, sistem analisis perilaku Introspeksi dari kelas produk Analisis Perilaku Pengguna dan Entitas (UEBA) adalah titik masuk tunggal untuk berbagai informasi mesin yang dikumpulkan dari infrastruktur yang ada, termasuk sistem SIEM, dan berdasarkan pada algoritma analitik mesin dan kecerdasan buatan untuk membantu petugas keamanan mengotomatiskan pekerjaan rutin dengan menganalisis sejumlah besar insiden.

Selain itu, sistem dapat diintegrasikan dengan sistem Infrastruktur Access Control (NAC) yang ada untuk melakukan berbagai tindakan dengan sumber perilaku abnormal dalam jaringan - putuskan sambungan, memperlambat, pindah ke VLAN lain, dll.



Data apa yang harus diterima sistem Introspeksi sebagai informasi awal? Yang paling beragam, hingga trafik jaringan. Untuk tujuan ini, sistem memiliki komponen khusus untuk memproses peleburan - Packet Processor (PP).

Keuntungan menerima data dari sistem SIEM dapat menjadi kenyataan bahwa mereka telah dipra-parsing oleh sistem ini. Introspeksi bekerja dengan sistem SIEM seperti SPLUNK, QRadar, ArcSight. Baris berikutnya adalah implementasi LogRhythm (raw syslog), Intel Nitro. Selain itu, sistem mengumpulkan sejumlah besar data:

MS Active Directory (Log Keamanan AD, pengguna AD, grup, pengguna grup), log MS LDAP,
Log DHCP
MS DHCP, Infoblox DHCP, dnsmasq DHCP
Log DNS
MS DNS, Infoblox DNS, BIND
Log firewall
Cisco ASA (syslog), Fortinet (via SPLUNK), Palo Alto (via SPLUNK), Checkpoint (via SPLUNK), Juniper (via SPLUNK).
Log Proksi
Bluecoat, McAfee, ForcePoint
Peringatan
Fireeye
MS ATA
Log VPN
Cisco Anyconnect / WebVPN
Juniper VPN (via SPLUNK)
Juniper Pulse Secure (melalui SPLUNK)
Fortinet VPN (via SPLUNK)
VPN pos pemeriksaan
Palo Alto VPN
Log aliran
Netflow v5, v7, v9
Log Email
Ironport ESA
Log bro
Log koneksi

Keunggulan kompetitif dari sistem adalah kemampuan untuk bekerja di tingkat transaksi, mis. dengan lalu lintas jaringan, yang melengkapi informasi yang diterima dalam pesan log. Ini memberi sistem kemampuan analitik tambahan - analisis kueri DNS, lalu lintas terowongan, dan pencarian efisien untuk upaya mentransfer data sensitif di sekeliling organisasi. Selain itu, sistem ini menyediakan analitik entropi paket, analisis tajuk dan file HTTPS, serta analisis pengoperasian aplikasi cloud.

Pengolah paket (PP) yang disebutkan di atas memiliki implementasi virtual dan perangkat keras, beroperasi pada kecepatan hingga 5-6 Gbps dan melakukan DPI data mentah, mengekstrak informasi kontekstual atau paket metadata dari itu dan mentransfernya ke komponen lain dari sistem - penganalisa (Analyzer).

Jika keputusan dibuat untuk menganalisis tidak hanya log, tetapi juga lalu lintas menggunakan metode SPAN / TAP atau menggunakan paket broker atau repeater seperti Gigamon atau Ixia, PP harus ditempatkan di tempat yang tepat di jaringan. Untuk efisiensi maksimum, perlu untuk menangkap semua lalu lintas jaringan yang masuk di setiap VLAN pengguna ke / dari Internet, serta lalu lintas yang beralih dari / ke pengguna ke sumber daya yang dilindungi, atau server yang berisi informasi penting.

Komponen penting dan penting dari sistem adalah Analyzer. Ini memproses data dari log, aliran, paket metadata, peringatan dari sistem pihak ketiga, umpan intelijen ancaman dan sumber lainnya.

Alat analisis dapat berupa alat 2RU tunggal atau solusi penskalaan yang dapat diskalakan secara horizontal yang terdiri dari banyak alat 1RU, serta solusi cloud.

Struktur logis

Secara logis, Analyzer adalah platform Hadoop yang dapat diskalakan secara horizontal yang terdiri dari beberapa jenis node - Edge Nodes, Index dan Search node, Hadoop data nodes.
Edge Nodes menerima data dan merekam ke saluran Flume dengan penerima HDFS.

Indeks dan node Pencarian mengekstrak informasi dari tiga jenis database - Hbase, Parket, ElasticSearch.
Simpul data Hadoop dimaksudkan untuk penyimpanan data.

Secara logis, operasi sistem adalah sebagai berikut - metadata batch, aliran, log, peringatan, umpan ancaman mengalami penguraian, caching, distilasi, dan korelasi. Sistem mengimplementasikan tautan antara pengguna dan datanya, melakukan caching data pengguna yang masuk cepat dalam HDFS.

Data kemudian pergi ke modul analisis diskrit, di mana, berdasarkan informasi yang diterima pada setiap peristiwa atau bidang tetap, apa yang disebut alarm diskrit disaring. Misalnya, pengoperasian algoritme DGA DNS atau upaya memasukkan akun yang terkunci jelas tidak memerlukan analitik mesin apa pun untuk mendeteksi peristiwa yang berpotensi berbahaya. Modul perilaku analitik terhubung pada tahap ini hanya untuk membaca peristiwa potensial di jaringan.

Tahap selanjutnya adalah korelasi peristiwa, pengindeksan, dan penyimpanan dalam database yang disebutkan di atas. Mekanisme perilaku analitik diaktifkan berdasarkan informasi yang disimpan dan dapat bekerja berdasarkan periode waktu tertentu atau berdasarkan perilaku pengguna ini dibandingkan dengan pengguna lain. Inilah yang disebut dasar dari mekanisme profil perilaku. Model profil perilaku dibangun berdasarkan algoritma analitik mesin SVD, RBM, BayesNet, K-means, Decision tree.

Model perilaku analitik produk yang diperbesar ditunjukkan pada Gambar. 1


Fig. 1

Diagram menunjukkan bahwa mekanisme analisis perilaku didasarkan pada empat blok:

  • sumber data;
  • kondisi untuk bekerja dengan data (waktu akses, jumlah data yang diunduh atau dibongkar, jumlah pesan email, informasi tentang geolokasi sumber atau penerima informasi, koneksi VPN, dll.);
  • mekanisme untuk profiling perilaku pengguna (penilaian perilaku setelah beberapa waktu atau dalam kaitannya dengan karyawan lain, jangka waktu di mana analisis dilakukan, model matematika untuk profiling perilaku - SVD, Mesin Boltzmann Terbatas (RBM), BayesNet, K-means, Decision tree dan lainnya);
  • pendeteksian anomali lalu lintas menggunakan model matematis analitik mesin, seperti jarak mahalanobis, jarak energi, dan pembentukan peristiwa dalam sistem dengan prioritas dan tahapan tertentu.

Aruba Introspect memiliki lebih dari 100 model yang diawasi dan tidak diawasi yang dirancang untuk mendeteksi serangan yang ditargetkan pada setiap tahap model CKC. Misalnya, implementasi tingkat Introspeksi Tingkat Lanjut mendeteksi

  • Jenis aktivitas jaringan yang mencurigakan: Akses Aset Abnormal, Penggunaan Data Abnormal, Akses Jaringan Abnormal, Komunikasi Adware, Aplikasi Bitcoin dalam bentuk Penambangan Bitcoin, Botnet (TeslaCrypt, CryptoWall), Pengelompokan Awan, Protokol HTTP Anomaly (Kesalahan Pengejaan kata-kata, Header Misordering), alat peretas Unduh, tipe serangan IOC (Penyalahgunaan IOC-STIX, ch IOC-STIX CybercrimeTracker, IOC-STIX EmergingThreatsRules dan lainnya), Pemindaian Jaringan, Aplikasi P2P, Eksekusi Perintah Jarak Jauh, Pelanggaran Protokol SSL, Komando Spyware, Penggunaan Data Mencurigakan, Akses Eksternal Mencurigakan , File Mencurigakan, Komisi Outbound Mencurigakan, WebShell, Komunikasi malware, Perintah dan Kontrol, Gerakan Lateral, Pengelupasan Data, Eksploitasi browser, Suar, Eksekusi SMB, Pelanggaran protokol, Pengintaian Internal dan lain-lain.
  • Akses mencurigakan ke akun seperti Aktivitas Akun Abnormal, Akses Aset Abnormal, Log Masuk Abnormal, Peningkatan Privilege, Aktivitas Akun Mencurigakan, Log masuk Pengguna Mencurigakan dan lainnya
  • Mengakses data melalui VPN: Penggunaan Data Abnormal, Abnormal Logon, Abnormal User Logon,
  • Analisis Data DNS: Botnet Menggunakan Berbagai Algoritma DNS DGA
  • Analisis Pesan Email: Email Masuk Abnormal, Email Keluar Abnormal, Lampiran Mencurigakan, Email Mencurigakan

Lebih lanjut, berdasarkan anomali yang teridentifikasi, acara tersebut diberi penilaian risiko yang terkait dengan satu atau beberapa tahap peretasan sistem menurut Lockheed Martin, Cyber ​​Kill Chain (CKC). Penilaian risiko ditentukan oleh Hidden Markov Model, tidak seperti pesaing yang secara linear meningkatkan atau menurunkan penilaian risiko dalam perhitungan mereka.

Saat serangan berkembang sesuai dengan model CKC, yaitu tahap infeksi, pengintaian internal, perintah & kontrol, eskalasi hak istimewa, gerakan lateral, pengelupasan kulit, penilaian risiko meningkat. Lihat gbr. 2


Gbr.2

Sistem memiliki fungsi pembelajaran adaptif ketika hasil modul analitik direvisi atau diadaptasi, dalam penilaian penilaian risiko atau ketika ditempatkan dalam daftar putih.

Informasi tentang ancaman atau Umpan Ancaman dapat diunduh dari sumber eksternal menggunakan mekanisme STIX, TAXII. Sumber daya anomali juga didukung. Introspect juga dapat mengunduh nama domain "Daftar Putih" dari Alexa untuk mengurangi positif palsu dalam menghasilkan lansiran.

Keunggulan kompetitif dari sistem adalah:

  • berbagai input data yang digunakan,
  • Fungsi DPI
  • korelasi peristiwa keamanan dengan pengguna, dan bukan alamat IP, tanpa perangkat lunak tambahan,
  • Menggunakan Hadoop / Spark Big Data System dengan pengelompokan tanpa batas
  • hasil analitik kerja sistem, kemampuan untuk menyelidiki insiden menggunakan forensik konteks penuh, berburu ancaman,
  • integrasi dengan solusi Clearpass NAC yang ada,
  • bekerja tanpa agen di Endpoint,
  • kemandirian praktis dari jenis produsen infrastruktur jaringan
  • Operasi di tempat, tanpa perlu mengirim data ke cloud

Sistem memiliki dua opsi pengiriman - Edisi Standar dan Edisi Lanjut. Edisi Standar disesuaikan untuk peralatan Jaringan Aruba dan menerima input informasi log dari AD, protokol AMON, LDAP, Firewall, log VPN.

Source: https://habr.com/ru/post/id423545/

More articles:


All Articles