Сегодня мы расскажем об инструментах анализа, лежащих в основе R‑Vision SENSE – аналитической платформы кибербезопасности, которая детектирует нарушения в состоянии систем, подозрительную активность объектов и осуществляет динамическую оценку угроз и аномалий.
R‑Vision SENSE обеспечивает комплексный подход к анализу событий информационной безопасности, изучая поведение объектов и схожих групп, формирует профили нормального поведения и фиксирует подозрительную активность при его отклонении. Качественный анализ входящей информации достигается за счет использования двух инструментов: простых правил и программных экспертов.
Простые правила
Простые правила – это базовый инструмент анализа событий ИБ, для которого характерна легкость настройки. У аналитиков информационных систем есть возможность донастраивать имеющиеся правила и добавлять свои. При создании простого правила пользователю достаточно задать набор критериев для отбора события, после чего события, удовлетворяющие указанным критериям, будут маркироваться как подозрительные, и объекты наблюдения получат балл угрозы. Объектами наблюдения в R‑Vision SENSE являются: оборудование, учетные записи и пользователи.
Совокупность баллов учитывается в скоринге по объекту.
Скоринг – это система оценки аномалии относительно объекта и потенциального ущерба, который она может принести.
Скоринг регулируется под потребности организации, что позволяет назначать более высокие баллы за критичные для компании аномалии и акцентировать внимание аналитиков на наиболее важных объектах в системе.
В то же время, если перед аналитиком или сотрудником SOC стоит задача получать уведомление в обход скоринговых правил объектов, можно настроить оповещение при сработке простого правила. Это позволит фиксировать аномалии, на детектирование которых настроено правило без привязки к объекту.
В процессе донастройки правило можно включать, отключать и удалять, в зависимости от потребностей организации. В аналитической системе SENSE также предусмотрена возможность хранения событий. При этом если какой-то время правило не работало, то при его повторном включении рекомендовано провести ретро-анализ, что позволит восстановить пропущенные аномалии.
Реализованный в системе функционал импорта и экспорта позволяет в несколько кликов перенести работающие правила между инсталляциями R‑Vision SENSE, что существенно упрощает и сокращает время пользователей при работе с простыми правилами.
Программные эксперты
Программные эксперты – это алгоритмы, которые используют методы статистического анализа и машинного обучения для выявления определенных аномалий и угроз в потоке событий. В отличии от простых правил программные эксперты имеют более сложную логику принятия решений. Первоначально программные эксперты обучаются на поведении объектов наблюдения и находят отклонения, в то время как простые правила ищут заранее определенные индикаторы нарушений.
В текущей версии SENSE доступны следующие эксперты:
Разработанные программные эксперты детектируют более 50 аномалий, которые учитывают популярные векторы атак в соответствии с рекомендациями MITRE.
Некоторые из экспертов включают в себя поведенческие модели, которые на основании ретро-данных формируют профиль поведения для каждого объекта наблюдения. Сам процесс построения такого профиля экспертом называется обучение.
Затем, именно с этим профилем программный эксперт будет сравнивать действия объекта, то есть проводить сравнительный анализ. При этом действия, которые не являются характерными для построенного профиля объекта, считаются аномальными и получают баллы угроз из которых формируется результирующий рейтинг объекта.
Также эксперты используют методы сигнатурного поиска и методы обучения с учителем для поиска определенных угроз. Например, таким экспертом является DGA и look-alike, который детектирует аномалии типа «подозрительное имя отправителя». Такие эксперты не требуют обучения, они поставляются уже готовыми к анализу.
Совокупность аномальных действий объекта в результате работы простых правил и экспертов выражается в рейтинговых баллах, что упрощает работу с аномалиями и позволяет быстро ориентироваться в большом потоке событий и оперативно провести расследование инцидента.
Совместное использование простых правил и системы программных экспертов дает сотрудникам службы ИБ возможность обнаружить атаки, которые не удалось выявить ранее другими средствами, и динамически оценить риски всех выявленных инцидентов для правильной расстановки приоритетов при реагировании.
В платформе R‑Vision SENSE используется гибкий подход к работе аналитических инструментов: простые правила и программные эксперты автоматически адаптируются к изменениям источников данных. Таким образом, при появлении новых источников и моделей данных, дополнительная настройка системы не требуется.
В этом материале представлена только некоторая часть функционала платформы. Подробнее о других преимуществах и возможностях R‑Vision SENSE, вы можете узнать на странице продукта. Оставить заявку на тестирование системы, а также получить ответы на интересующие вас вопросы можно, заполнив соответствующую форму.