Системы классов ML/UEBA/TIP: интеллект против киберугроз

В одной из прошлых статей мы вместе с экспертами разбирались, какие системы нужно внедрять в SOC на разных этапах его зрелости. Уже подробно рассмотрены основные решения класса SIEM, а также особенности решений классов IRP и SOAR. В этом обзоре рассказываем об интеллектуальных решениях кибербезопасности, которые помогают превентивно отражать атаки и обнаруживать скрытые угрозы.

Продвинутые аналитические системы сейчас применяются в самых разных продуктах ИБ. Об интеллектуальных возможностях своих продуктов говорят производители антивирусов, средств мониторинга и контроля доступа, решений сетевой безопасности и защиты виртуализации. Как правило, в таких случаях подразумевается способность ПО связывать между собой разрозненные признаки подозрительного поведения, определять нежелательную активность по неочевидным проявлениям, которые не спровоцируют реакцию традиционных систем безопасности.

На сегодняшний день эти технологии уже прошли стадию хайпа и доказали свою эффективность в реальных условиях. Мы рассмотрим применение интеллектуальных решений в разных областях кибербезопасности. Начнем с темы, которая зачастую первой приходит на ум, когда речь заходит об умных системах — с машинного обучения (machine learning, ML).

Машинное обучение в кибербезопасности

Нейросети позволяют ИБ-специалистам решить самую важную задачу при борьбе с угрозами: быстро собрать информацию от разных источников на периметре безопасности и внутри инфраструктуры, обработать их в режиме реального времени и найти тревожные сигналы.

ML-модель практически не прекращает обучаться, поэтому ее эффективность постоянно растет. Каждая итерация выглядит примерно так: собрать данные, обработать их, передать ключевую информацию аналитику для проверки и изучения, внести изменения в модель по исправлениям и дополнениям. Отделы безопасности избавляются от повторяющихся задач, аналитики получают полезные сведения для поиска угроз, руководство может эффективно распределять приоритеты для устранения уязвимостей

Примеры практического применения ML в кибербезопасности:

Автономное обнаружение угроз и реагирование на них. Машинное обучение особенно эффективно в процессах, где критически важно поддерживать высокую точность реакции. Это обнаружение комплексных угроз, классификация новых моделей злоумышленников, реагирование на сетевые события.

Павел Коростелев

Руководитель отдела продвижения продуктов компании «Код безопасности»

ML-решения позволяют бороться не с уязвимостями нулевого дня, а отслеживать определенные отклонения в работе ИТ-систем. А вот какими уязвимостями вызваны эти отклонения, должен определять совсем другой класс решений. Применение ML очень полезно, только если систему правильно «натренировали».

Расследование событий безопасности. Интеллектуальные системы предупреждают команду об инцидентах, которые необходимо изучить, составляют цепочки событий, приоритизируют уязвимости на основе критичности с точки зрения специалистов по безопасности и ИТ-подразделения.

Анализ файлов. Благодаря ML вредоносность файлов с внешних носитетей, из интернета или почтовых вложений можно определить по их свойствам. Это повышает эффективность песочниц — изолированных безопасных сред, куда помещаются входящие файлы изучения и выявления IoC. Средства поведенческого анализа позволяют изучить действия злоумышленника в ходе атаки, подготовить прогнозные модели для всей цепочки киберугроз.

Теперь поговорим подробнее о поведенческой аналитике, которая превращает простой мониторинг безопасности в интеллектуальное обнаружение подозрительной активности.

Как работает User and Entity Behavior Analysis

Анализ поведения пользователей и объектов (UEBA) охватывает всю инфраструктуру целиком, связывает между собой действия на рабочих ПК, смартфонах и планшетах, активность пользователей и сетевых устройств, операции в приложениях и облачных хранилищах. Эти системы принимают решения о том, может ли конкретное событие указывать на атаку, представляет ли та или иная операция признак угрозы.

UEBA интегрирует различные типы информации, включая потоки от SIEM, данные журналов, логи веб-ресурсов. Используя модели на основе правил и сигнатур, накопленную статистику, ML-модели, эти решения помогают поддерживать уровень безопасности на оптимальном уровне, не ограничивая возможности пользователей больше необходимого.

Виктор Никуличев

Менеджер продукта R-Vision UEBA в компании R-Vision

В первую очередь UEBA-системы использует сложные алгоритмы машинного обучения и методы анализа данных, чтобы выявлять необычное поведение пользователей или объектов и другие нештатные ситуации. Решения данного класса могут интегрироваться с системами Big Data, что позволяет собирать и анализировать большие объемы генерируемых из различных систем данных о пользователях, их активностях, сетевом трафике, журналах событий и множество другой информации.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Продукты этих классов требуют доработки по месту. Это совсем не говорит об их сырости, просто такая особенность. И как раз оправдание ожиданий и практическая польза очень зависят от того, как грамотно будет произведено внедрение и учтены интересы клиента.

Если пользователь входит в систему из необычной локации, проверяет возможность доступа к разным папкам, скачивает большие объемы файлов, ИБ-специалисты получат от EUBA-системы уведомление. Таким же образом можно вовремя обнаружить, например, что безобидное сетевое устройство начинает «прощупывать» интернет-порты или сканировать инфраструктуру.

Примеры практического применения UEBA-решений:

Контроль доступа. Злоумышленники часто используют учетные записи с низким уровнем доступа, чтобы повысить свои привилегии и добраться до конфиденциальных систем. Системы UEBA помогают обнаружить такие действия, чтобы группы безопасности вовремя узнали о неправомерном повышении пользовательских прав.

Прогнозирование внутренних угроз. UEBA-решения позволяют компании создавать правила и политики безопасости на основе своего уникального профиля угроз. В результате удается бороться с рисками атаки изнутри: случайными ошибками, злонамеренными действиями инсайдеров или активностью скомпрометированных учетных записей. Кроме того, эти системы упрощают обнаружение злоумышленников, которые проникли в инфраструктуру и затаились в ней — такие вторжения могут оставаться незамеченными в течение многих месяцев, а то и лет.

Обучение персонала. UEBA помогает предоставить сотрудникам знания и навыки для безопасной работы с информационными системами. Организации могут использовать данные аналитики для подготовки памяток по безопасности, объединяющих в себе рекомендации по самым актуальным рискам.

Теперь перейдем к решениям, которые поставляют информацию для анализа — threat intelligence (TI), или киберразведка.

Что такое Threat Intelligence

Понятие TI включает в себя весь объем сведений об угрозах кибербезопасности, актуальных для компании в этот момент. Данные киберразведки позволяют ИБ-команде быть предпринимать проактивные действия и выстраивать оборону против специфических атак до того, как преступники перейдут к активным действиям.

Платформы киберразведки (threat intelligence platform) собирает необработанную информацию об угрозах и рисках безопасности, сопоставляет ее с индикаторами компрометации, шаблонами, прочими известными данными о признаках нежелательной активности. В отличие от сигнатурных баз и списков вредоносных штаммов, эта информация специфична для каждой организации и учитывает конкретные уязвимости в периметре и корпоративных активах.

В итоге ИБ-специалисты получают возможность выстроить работу на всем протяжении жизненного цикла информации об угрозах. Это итеративный непрерывный процесс, позволяющий постоянно укреплять архитектуру безопасности:

Шаг 1: планирование. Аналитики безопасности вместе с руководителями отделов, представителями ИТ- и ИБ-служб, другими заинтересованными лицами формируют требования к данным киберразведки.

Шаг 2: сбор данных. Команда ИБ собирает необработанные данные. Например, при изучении программы-вымогателя специалистам понадобятся сведения о группировке-операторе, компаниях, которые уже пострадали от их действий, использованных векторах атак.

Эти данные поступают из разных источников, в том числе:

• профессиональные фиды;
• открытые и коммерческие каналы ИБ-компаний по безопасности;
• форумы, профессиональные сообщества для обмена профессиональным опытом;
• внутренние журналы безопасности — данные от SIEM-, SOAR-, EDR/XDR-систем, логи мониторинга.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Чтобы обеспечить максимальную полноту данных, необходимо учитывать сложность и разнообразие источников этих данных. Системам нужно переваривать и коррелировать данные очень разных форматов и из разных источников, а это тоже серьезная задача. Кроме этого, от систем ждут проактивности и возможности интеграции с другими решениями. Именно по этим направлениям сейчас идет развитие.

Шаг 3: обработка информации. Аналитики стандартизируют собранные данные, чтобы упростить дальнейшую обработку. На этом этапе часто применяются автоматизированные средства, чтобы отфильтровать ложные срабатывания, классифицировать уязвимости по методологии MITRE ATT&CK, определить первоначальные тенденции и закономерности в данных.

Шаг 4: анализ. Подготовив необработанные данные, аналитики могут подготовить сведения, которые помогут им с конкретными задачами безопасности. Например, определить конкретные уязвимости в ИТ-инфраструктуре, подготовить меры безопасности или митигации рисков.

Шаг 5: распространение информации. Группа безопасности делится полученными сведениями и рекомендациями с заинтересованными сторонами. Далее необходимо составить план действий: подготовка новых правил SIEM для обнаружения вновь выявленных IoC, обновление черных списков файрвола для блокировки трафика с подозрительных IP-адресов и так далее. Многие TI-платформы интегрируются с инструментами безопасности для автоматического создания алертов об активных атаках или обновления приоритизации угроз.

Шаг 6: обратная связь. Последний этап готовит почву для нового цикла. Все участники процессов определяют, удалось ли достичь целей и выполнить требования безопасности, сформированные в самом начале процесса. Новые вопросы или выявленные пробелы ложатся в основу плана дальнейших работ.

Подведем итоги

Павел Коростелев

Руководитель отдела продвижения продуктов компании «Код безопасности»

Побег зарубежных компаний [из России] сказался несильно. На рынке в основном присутствовали российские компании, которые создают системы управления инцидентами, у этих вендоров есть как TIP-решения, так и UEBA-решения.

По TIP есть три-четыре отечественных решения, и в целом этот класс развивается неплохо. Также есть продукты, представляющие класс UEBA, но в данном случае их зрелость будет зависеть от того, в каком контексте их предполагается использовать, потому что в различных сегментах уровень зрелости отличается.

Многое зависит от зрелости ИБ-культуры самой организации. Если она понимает, зачем ей нужен тот или иной продукт, то польза от них будет в любом случае.

Виктор Никуличев

Менеджер продукта R-Vision UEBA в компании R-Vision

Помимо использования решений класса UEBA, как одного из элементов мониторинга, стоит уделять особое внимание обучению сотрудников, защите конечных станций, своевременному обновлению ПО, правильному распределению привилегий и прав доступа, отслеживанию актуальных угроз и своевременному накатыванию патчей.

Платформы киберразведки, системы поведенческой аналитики и умного мониторинга делают работу ИБ-специалистов более творческой. Вместо того чтобы вручную искать признаки атаки в журналах безопасности, они могут работать с угрозами на верхнем уровне. 

Это в свою очередь упрощает взаимодействие с представителями бизнес-подразделений: владельцами продуктов, руководителями отделов, командами разработки. У каждой заинтересованной стороны могут быть свои задачи безопасности, и применение интеллектуальных технологий позволяет выстроить гибкую систему, которая будет учитывать все интересы разом.