Журнал "Information Security/ Информационная безопасность" #6, 2019

Для использования более сложных корреляционных логик и выявления более сложных цепочек инциден- тов необходимо реализовы- вать скоринговую модель для подсчета баллов по каждому пользователю и узлу, участвующему в инцидентах ИБ. SIEM-система собирает огромное количество собы- тий ИБ и производит их нор- мализацию, агрегацию и корреляцию – данная информация и будет исполь- зоваться в дальнейшем для обучения нейросети и мини- мизации трудозатрат спе- циалистов по сбору и анали- зу данных. каждому пользователю и узлу, участвующему в инцидентах ИБ. Так, например, при срабаты- вании правила Brute Force про- изводится занесение в список подсчета скоринга как пользо- вателя, так и хоста, на котором происходит попытка подбора пароля. При фиксации ряда инциден- тов с пользователем или узлом, находящимся в листе скоринга, суммарный балл повышается в зависимости от критичности инцидента. Таким образом, сум- мируя баллы за каждый инци- дент, мы наглядно видим кар- тину происходящего, а также в случае реализации дополни- тельных механизмов можно контролировать происходящие инциденты и накладывать на жизненный цикл кибератак Kill Chain с последующей класси- фикацией по MITRE. Приведем еще один абстракт- ный пример. Создаем два спис- ка (листа) с названиями User List и Host List: l поля в User List – пользова- тель, скоринг, дата; l поля в Host List – узел, ско- ринг, дата. Добавляем в правила, выявляющие инциденты ИБ, действия по занесению пользо- вателя или хоста в соответ- ствующий лист, а также ско- ринговое значение. На выходе получаем, что при выявлении инцидентов в листы добавляется информация о пользователях и хостах, фигу- рирующих в инцидентах, а также подсчитывается скоринг по каждому пользователю и хосту. Такими действиями мы соз- даем дополнительный меха- низм анализа и возможности для изменения критичности выявления инцидентов, свя- занных с тем или иным хостом или пользователем. В случае грамотно построенной модели можно и активно реагировать на инциденты (например, осу- ществлять действия, описан- ные в начале статьи). Применение нейросетей Сейчас все больший оборот набирает использование мате- матических моделей в области информационной безопасности, одним из примеров которых являются нейросети. Внедрение нейросетей в ИБ пока носит скорее желательный характер, чем обязательный, и они допол- няют функционал уже суще- ствующих СЗИ. Перед крупны- ми игроками, использующими нейросети для предсказания тех или иных параметров и ситуа- ций, встает проблема создания качественных наборов данных (dataset), по которым могла бы обучаться и переобучаться модель. Подготовка набора данных для модели – это кропотливый труд специалистов в области сбора и анализа больших мас- сивов данных (Data Science и Data Mining). Обычно в неболь- ших организациях со своим штатом сотрудников на сбор, очистку и подготовку данных для обучения математических моделей уходит порядка 70% времени. Использование заранее раз- меченного набора данных с при- нудительным обучением (значе- ние – реакция) является эффек- тивным способом обучения ней- росети по предсказанию ано- малий, но в то же время трудо- затратным. Предлагается использовать мощности SIEM-систем для генерации части наборов дан- ных для обучения нейросети и минимизации трудозатрат спе- циалистов по сбору и анализу данных. SIEM-система собирает огромное количество событий ИБ и производит их нормализа- цию, агрегацию и корреляцию – данная информация и будет использоваться в дальнейшем. Архитектура построения интег- рации заключается в настройке SIEM-системы в части правил корреляции, минимизации их ложных срабатываний и даль- нейшей выгрузке корреляцион- ных событий в набор данных (dataset) через шину данных. Для наглядности приведем следующий пример: 1. Мы хотим обучить матема- тическую модель для анализа доменов третьего уровня на предмет наличия ряда артефак- тов, которые могут быть в запросе. Например, проверка длины доменного имени: l длина доменного имени третьего уровня свыше 20 сим- волов является подозрительной; l не человеко-читаемые слова в доменном имени представ- ляют собой дополнительный признак аномалии; l фиксация доменного имени в репутационных базах – при- знак инцидента ИБ. 2. Производим подключение DNS к SIEM и настройку правил корреляции на выявление длины доменов третьего уровня, в случае превышения длины запроса список доменов поме- щается в лист. 3. Лист отправляется на API лингвистического анализа для получения семантического коэффициента распознания имени домена. 4. Как дополнительная мера производится отправка запроса в платформу Threat Intelligence для анализа доменного имени. Таким образом, мы получаем многоуровневую систему ана- лиза доменных имен и состав- ления списков "нормальных" и "ненормальных" имен для дальнейшей загрузки в набор данных (dataset). Основная идея данного при- мера заключается в демонст- рации необходимости примене- ния автоматических интеграций с сервисами, которые могут уменьшить время подготовки набора данных для обучения модели и сэкономить ресурсы специалистов DS/DM. Хотелось бы сделать пометку, что приведенные выше приме- ры являются абстрактными и недостаточными механизмами для решения каких-либо задач. Выбор решений и путей всегда остается на стороне компании и/или партнера, и компания "ДиалогНаука" со своей стороны готова предоставить услуги настройки интеграций с SIEM системой, создания интегра- ционных шин-данных, а также настройку и отладку контента любой сложности. Рост эффективности В данной статье на конкрет- ных кейсах были продемонстри- рованы недекларированные возможности, используемые в SIEM-системах, и то, как они позволяют повысить эффектив- ность ситуационного центра ИБ в целом. Необходимость авто- матизации процессов обработки инцидентов ИБ является одним из краеугольных камней в рабо- те любого подразделения защи- ты информации. Чтобы эффек- тивно управлять системами мониторинга событий ИБ, необходимо перципировать (воспринимать) и уметь задей- ствовать весь спектр возмож- ностей SIEM-систем. l • 31 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru