Раннее мы рассказывали об аналитических инструментах, реализованных в R-Vision SENSE. Одними из них являются программные эксперты – алгоритмы, использующие методы статистического анализа и машинного обучения для выявления аномалий и угроз в поведении пользователей и устройств инфраструктуры.
Сегодня мы продолжим обзор возможностей R-Vison SENSE и рассмотрим поведенческие модели, лежащие в основе программных экспертов. В этой статье мы подробно расскажем о процессах дообучения и переобучения поведенческих моделей и о том, как они помогают избежать false positive (ложно положительных) и false nеgative (ложно отрицательных) ошибок, повышая эффективность работы с выявленными аномалиями.
Поведенческие модели и их обучение
Работа поведенческих моделей строится на процессах извлечения и обновления знаний об объектах наблюдений из логов событий, в основе которых заложены сложные математические модели и расчеты. Это позволяет сформировать профиль объекта наблюдения и фиксировать отклонения в его поведении.
Рис.1 – Процесс первичного обучения системы
Среди программных экспертов есть поведенческие модели, которые используют ретро-данные для формирования профиля поведения объекта наблюдения. Сам процесс построения такого профиля называется обучение. В то же время действия, не являющиеся характерными для построенного профиля объекта, будут считаться аномальным и влиять на рейтинг объекта.
Рис.2 – Рейтинг объекта и аномалии
Первоначальное обучение программных экспертов должно занимать не менее 2-х недель. В свою очередь, мы рекомендуем проводить обучение не менее 1-го месяца, что позволит экспертам получить достаточно информации о поведении объектов наблюдения для построения его профиля.
Объекты наблюдения
В R-Vision SENSE для анализа доступны такие объекты наблюдения как пользователи, учетные данные и оборудование. Информация по пользователям и учетным записям поступает из Microsoft Active Directory или аналогичных систем, а данные по объектам инфраструктуры собираются из логов информационных систем, в том числе из SIEM-систем.
Рис.3 – Объекты наблюдения
При этом для формирования более точного профиля поведения анализируемого объекта критически важно проводить дообучение и переобучение, что позволит обеспечить эксперта актуальной информацией о том, какие действия выполняет объект.
Дообучение
Ошибка «Неполные данные»
При работе поведенческих моделей часто встречается ошибка – «неполные данные». Это может произойти, если характеристики объекта вовремя не обновлены. Например, пользователь долгое время применял в работе операционную систему Windows, но уже неделю как перешел на Ubuntu и вместо powershell теперь использует bash. В таком случае применение ранее обученной поведенческой модели при анализе запуска пользователем bash каждый раз будет формировать аномалии, которые являются false positive (ошибки 1-го рода).
Если все оставить без изменений и работать с устаревшим данными, то использование bash будет постоянной аномалией для пользователя, вследствие чего аналитики получат большое число false positive до момента следующего полного обучения системы поведенческого анализа.
Решение
Подобной ошибки можно избежать с помощью реализованного в R-Vision SENSE процесса дообучения программных экспертов.
Дообучение – это обогащение существующих данных новой информацией об объекте наблюдения. Например, актуализация изменений в графике работы сотрудника.
Рис.4 – Процесс дообучения в R-Vision SENSE
В рамках процесса дообучения программный эксперт ежедневно получает новые данные об объектах наблюдения и дополняет их уже имеющиеся профили. Это позволяет своевременно обновлять знания об актуальном состоянии объектов наблюдения и снизить число ошибок.
Пользователь системы R-Vision SENSE может самостоятельно настроить частоту дообучения. Мы рекомендуем выполнять дообучение каждый день. Так как, если пользователь поменял программное обеспечение и стал использовать bash, то R-Vision SENSE уведомит аналитика о нехарактерном поведении объекта наблюдения при первоначальном запуске новой утилиты. На следующий день, когда уже произошло дообучение программных экспертов, и система знает, что пользователь теперь использует bash, его применение становится легитимным действием. Соответственно, рейтинг объекта не будет расти.
Таким образом, R-Vision SENSE помогает аналитикам SOC не тратить дополнительные ресурсы на исследование событий, которые не являются аномальными, за счет самостоятельной работы с ошибками неполных данных.
Переобучение
Ошибка «Устаревшие данные»
Ошибка «устаревшие данные» типична для объектов, характеристики которых по каким-то причинам не являются актуальными для профиля поведения. Например, у инженера лаборатории изменилась должность на менеджера департамента разработки, что, соответственно, влияет и на его права доступа к бизнес-системам. Поведенческая модель с базовым функционалом не знает об этом, поэтому, если сотрудник использовал привилегированные команды на dev-серверах, что для менеджера является нетипичным поведением, то система не формирует из этого аномалию, а это false negative (ошибка 2-га рода).
Если оставить все без изменений, то существует риск получить эффект накопления полномочий. Это значит, что с использованием учетной записи пользователя возможна реализация неправомерных действий, например, создание новой учетной записи и добавление ее в группу администраторов, установку нового ПО и др. При этом поведенческая модель будет считать нормой такое поведение объекта.
Решение с помощью переобучения
Переобучения поведенческих моделей – это процесс повторного обучения с удалением старых данных и заменой их на новые. Например, обновление данных, связанных с изменением прав доступа. В R-Vision SENSE данный функционал позволяет своевременно распознать нелегитимную активность.
Рис.5 – Процесс переобучения в R-Vision SENSE
В рамках процесса переобучения эксперт формирует профили объектов с нуля по последним данным, то есть устаревшая информация уже не участвует в формировании профиля.
Пользователь может настроить частоту переобучения в соответствии со своими потребностями. Мы рекомендуем проводить переобучение раз в 3-6 месяцев, чтобы неактуальные данные не считались нормой.
Таким образом, после обновления в R-Vision SENSE информации о новой должности пользователя и изменении его прав, вся привилегированная активность данного пользователя на серверах будет являться аномальной. В итоге программный эксперт не будет учитывать устаревшую информацию при анализе и будет помечать подозрительные действия пользователя как аномалии.
Подводя итоги, отметим, что автоматизация процесса обновления информации в программных экспертах позволяет значительно снизить количество ложных срабатываний и тем самым уменьшить нагрузку на аналитиков, сконцентрировав их внимание на реальных угрозах.
Мы будем рады рассказать вам подробнее об функционале и о возможностях R-Vision SENSE в рамках демонстрации продукта или ответить на интересующие по продукту вопросы. Для этого оставьте соответствующий запрос в форме обратной связи.
