Geekly articles weekly

Inteligência artificial a serviço da segurança da rede. Parte 2

Parte 2. Parte 1 por referência.

Em nosso caso, o sistema de análise de comportamento Introspect da classe de produto User and Entity Behavior Analytics (UEBA) é um ponto de entrada único para uma ampla variedade de informações de máquina coletadas da infraestrutura existente, incluindo sistemas SIEM, e com base em algoritmos de análise de máquina e inteligência artificial para ajudar o pessoal de segurança a automatizar o trabalho de rotina, analisando um grande número de incidentes.

Além disso, o sistema pode ser integrado aos sistemas NAC (Controle de acesso à infraestrutura) existentes para executar várias ações com fontes de comportamento anormal na rede - desconectar, desacelerar, mudar para outra VLAN, etc.



Quais dados o sistema Introspect deve receber como informação inicial? O mais diversificado, até o tráfego de rede. Para esse fim, o sistema possui componentes especializados para o processamento da fundição - Processador de Pacotes (PP).

A vantagem de receber dados dos sistemas SIEM pode ser o fato de eles já terem sido pré-analisados ​​por esses sistemas. O Introspect trabalha com sistemas SIEM como SPLUNK, QRadar, ArcSight. O próximo na fila é a implementação do LogRhythm (syslog bruto), Intel Nitro. Além disso, o sistema coleta uma enorme variedade de dados:

MS Active Directory (logs de segurança do AD, usuário do AD, grupo, usuário do grupo), logs do MS LDAP,
Logs DHCP
DHCP de MS, DHCP de Infoblox, DHCP de dnsmasq
Logs DNS
DNS MS, DNS Infoblox, BIND
Logs de firewall
Cisco ASA (syslog), Fortinet (via SPLUNK), Palo Alto (via SPLUNK), ponto de verificação (via SPLUNK), Juniper (via SPLUNK).
Logs de proxy
Bluecoat, McAfee, ForcePoint
Alertts
Fireeye
MS ATA
Logs de VPN
Cisco Anyconnect / WebVPN
Juniper VPN (via SPLUNK)
Juniper Pulse Secure (via SPLUNK)
VPN Fortinet (via SPLUNK)
VPN de ponto de verificação
Palo Alto VPN
Logs de fluxo
Netflow v5, v7, v9
Logs de e-mail
Ironport ESA
Bro logs
Logs de conexão

A vantagem competitiva do sistema é a capacidade de trabalhar no nível da transação, ou seja, com tráfego de rede, que complementa as informações recebidas nas mensagens de log. Isso fornece ao sistema recursos analíticos adicionais - análise de consultas DNS, tráfego de túnel e pesquisa eficiente de tentativas de transferência de dados confidenciais em todo o perímetro da organização. Além disso, o sistema fornece análise de entropia de pacotes, análise de cabeçalhos e arquivos HTTPS, bem como análise da operação de aplicativos em nuvem.

Os processadores de pacotes (PP) mencionados acima têm uma implementação virtual e de hardware, operam em velocidades de até 5-6 Gbps e executam DPI de dados brutos, extraem informações contextuais ou metadados de pacotes e transferem para outro componente do sistema - o analisador (Analyzer).

Se forem tomadas decisões para analisar não apenas os logs, mas também o tráfego usando os métodos SPAN / TAP ou usando um broker ou repetidores de pacotes, como Gigamon ou Ixia, o PP deverá estar localizado no lugar certo na rede. Para obter a máxima eficiência, é necessário capturar todo o tráfego de rede que entra em cada VLAN do usuário para / da Internet, bem como o tráfego que passa de / para usuários para recursos protegidos ou servidores que contêm informações críticas.

Um componente necessário e essencial do sistema é o Analyzer. Ele processa dados de logs, fluxos, metadados de pacotes, alertas de sistemas de terceiros, feeds de inteligência de ameaças e outras fontes.

O analisador pode ser um único dispositivo 2RU ou uma solução escalável horizontalmente escalável que consiste em muitos dispositivos 1RU, além de uma solução em nuvem.

Estrutura lógica

Logicamente, o Analyzer é uma plataforma Hadoop escalável horizontalmente que consiste em vários tipos de nós - Nós de Borda, Nós de Índice e Pesquisa, nós de dados do Hadoop.
Os nós de borda recebem dados e gravam nos canais Flume com receptores HDFS.

Os nós de índice e pesquisa extraem informações de três tipos de bancos de dados - Hbase, Parquet, ElasticSearch.
Os nós de dados do Hadoop são destinados ao armazenamento de dados.

Logicamente, a operação do sistema é a seguinte - metadados, fluxos, logs, alertas, feeds de ameaças passam por análise, armazenamento em cache, destilação e correlação. O sistema implementa um link entre o usuário e seus dados, armazenando em cache rapidamente os dados de entrada do usuário no HDFS.

Os dados vão para o módulo analítico discreto, onde, com base nas informações recebidas em qualquer evento ou campo fixo, os chamados alarmes discretos são filtrados. Por exemplo, a operação do algoritmo DNS DGA ou uma tentativa de entrar em uma conta bloqueada obviamente não requer nenhum tipo de análise de máquina para detectar um evento potencialmente perigoso. O módulo de comportamento analítico está conectado neste estágio apenas para a leitura de eventos em potencial na rede.

O próximo estágio é a correlação de eventos, indexação e armazenamento nos bancos de dados mencionados acima. O mecanismo de comportamento analítico é ativado com base nas informações armazenadas e pode funcionar com base em determinados períodos de tempo ou com base no comportamento desse usuário em comparação com outro usuário. Essa é a chamada linha de base do mecanismo de criação de perfil de comportamento. Modelos de criação de perfil de comportamento são construídos com base nos algoritmos de análise de máquina SVD, RBM, BayesNet, K-means, árvore de decisão.

Um modelo ampliado de comportamento da análise de produtos é mostrado na Fig. 1


Fig. 1

O diagrama mostra que o mecanismo de análise de comportamento é baseado em quatro blocos:

  • fontes de dados;
  • condições para trabalhar com dados (tempo de acesso, quantidade de dados baixados ou descarregados, número de mensagens de email, informações sobre a localização geográfica da fonte ou receptor de informações, conexão VPN, etc.);
  • mecanismos de criação de perfil do comportamento do usuário (avaliação do comportamento após algum tempo ou em relação a outro funcionário, janela de tempo durante a qual a análise é realizada, modelo matemático para o comportamento do perfil - SVD, Máquina de Boltzmann Restrita (RBM), BayesNet, K-means, Árvore de decisão e outros);
  • detecção de anomalias de tráfego usando modelos matemáticos de análise de máquinas, como distância de mahalanobis, distância de energia e geração de eventos no sistema com uma certa prioridade e estágio.

O Aruba Introspect possui mais de 100 modelos supervisionados e não supervisionados, projetados para detectar ataques direcionados em todas as etapas do modelo CKC. Por exemplo, uma implementação no nível Introspect Advanced detecta

  • Tipos de atividades de rede suspeitas: Acesso anormal aos ativos, Uso anormal de dados, Acesso anormal à rede, Comunicação com adware, Aplicativo Bitcoin na forma de Mineração de Bitcoin, Botnet (TeslaCrypt, CryptoWall), Exfiltração na nuvem, Anomalia de protocolo HTTP (Erros de ortografia de cabeçalho, Erro de cabeçalho), Ferramenta de hacker Download, tipos de ataque IOC (IOC-STIX Abuse-ch, IOC-STIX CybercrimeTracker, IOC-STIX EmergingThreatsRules e outros), Varredura de Rede, Aplicativo P2P, Execução Remota de Comando, Violação de Protocolo SSL, Comunicação de Spyware, Uso de Dados Suspeitos, Acesso Externo Suspeito , Arquivo suspeito, Comunicação de saída suspeita, WebShell, Comunicação de malware, Comando e controle, Movimento lateral, Exfiltração de dados, Exploração do navegador, Beaconing, Execução de SMB, Violação de protocolo, Reconhecimento interno e outros.
  • Acesso suspeito a contas como Atividade anormal da conta, Acesso anormal de ativos, Logon anormal, Escalação de privilégios, Atividade de conta suspeita, Logon de usuário suspeito e outros
  • Acessar dados via VPN: uso anormal de dados, logon anormal, logon anormal do usuário,
  • Análise de dados DNS: botnet usando vários algoritmos DNS da DGA
  • Análise de mensagens de email: email de entrada anormal, email de saída anormal, anexo suspeito, email suspeito

Além disso, com base nas anomalias identificadas, o evento recebe uma avaliação de risco associada a um ou outro estágio de invasão do sistema, de acordo com a definição de Cyber ​​Kill Chain (CKC) da Lockheed Martin. A avaliação de risco é determinada pelo Modelo Hidden Markov, diferentemente dos concorrentes que aumentam ou diminuem linearmente a avaliação de risco em seus cálculos.

À medida que o ataque se desenvolve de acordo com o modelo CKC, ou seja, estágios de infecção, reconhecimento interno, comando e controle, escalada de privilégios, movimento lateral, exfiltração, aumento da avaliação de risco. Veja a figura 2


Fig.2

O sistema tem as funções de aprendizado adaptativo quando os resultados do módulo de análise são revisados ​​ou adaptados, em uma avaliação de pontuação de risco ou quando colocados na lista branca.

Informações sobre ameaças ou feeds de ameaças podem ser baixadas de fontes externas usando os mecanismos STIX, TAXII. Recurso anomali também é suportado. A Introspect também pode baixar nomes de domínio "Whitelist" do Alexa para reduzir falsos positivos na geração de alertas.

As vantagens competitivas do sistema são:

  • variedade de dados de entrada usados,
  • Função DPI
  • correlação de eventos de segurança com o usuário, e não o endereço IP, sem software adicional,
  • Usando o Hadoop / Spark Big Data System com armazenamento em cluster ilimitado
  • resultados analíticos do trabalho do sistema, a capacidade de investigar incidentes usando análise forense de contexto completo, caça a ameaças,
  • integração com a solução NAC Clearpass existente,
  • trabalhar sem um agente no Endpoint,
  • independência prática do tipo de fabricante de infraestrutura de rede
  • Operação no local, sem a necessidade de enviar dados para a nuvem

O sistema possui duas opções de entrega - Standard Edition e Advanced Edition. O Standard Edition é adaptado para equipamentos da Aruba Network e recebe informações de log dos logs AD, protocolo AMON, LDAP, firewall, VPN.

Source: https://habr.com/ru/post/pt423545/

More articles:


All Articles