Журнал "Information Security/ Информационная безопасность" #4, 2024

для них программ и процессов. Тогда, если сотрудник запустит какой-либо новый сервис, SIEM-решение сверится с данными модели и забьет тревогу только в том случае, если он не входит в список привычных для этого специа- листа. Например, если командную строку запустит не программист, а сотрудник бухгалтерии. Выявление подозрительных цепочек процессов Рассмотрим работу другой модели, которая отвечает за анализ цепочки запускаемых процессов и помогает выявить фишинг. Представьте, что вы получили письмо с вложенным документом в Outlook. Вы кликаете по файлу, и открывается Microsoft Word. Пока вы читаете текст, прикрепленный к файлу, вредоносный макрос в фоновом режиме запускает командную строку Windows (cmd.exe) и утилиту whoami.exe. Киберпреступники часто используют такой прием, чтобы проверить свои права в системе. Сам по себе запуск утилиты whoami.exe из командной строки не является чем-то необычным. А вот рез- кий переход от запуска Outlook к про- цессу whoami.exe, как в нашем примере, выглядит подозрительно. Машинное обучение позволит системе анализиро- вать цепочку процессов и отличать одну ситуацию от другой, что сократит число ложноположительных результатов и повысит точность срабатываний. Анализ статистических паттернов Говоря простыми словами, эта модель анализирует, насколько часто тот или иной пользователь совершает определенное действие. Например, как часто сотрудник подключается к рабо- чим ресурсам из нового места или запускает некую программу. Машинное обучение поможет SIEM-решению опре- делить, насколько данное действие типично для этого пользователя. Впро- чем, модель анализирует в системе не только поведение пользователей, но и процессов. Переход от вердиктов к оценке риска Конечно, здесь перечислены далеко не все сценарии применения машинного обучения в SIEM-системах. Однако, если ограничиться только внедрением раз- личных моделей и полагаться на их вер- дикты (решения), мы получим просто более сложную систему правил корре- ляции, недостатки которых приведены в начале статьи. И как было отмечено ранее, большое количество ложнополо- жительных срабатываний только создаст лишнюю нагрузку и запутает специали- стов по ИБ. Это естественное ограничение подхо- да, основанного на вердиктах (решениях) моделей. Поэтому для своего продукта этого класса – MaxPatrol SIEM 1 – мы не просто применяем машинное обучение, а разработали специальный модуль BAD (Behavioral Anomaly Detection). В своем первом релизе ML-помощник работал как система second opinion: с помощью машинного обучения модуль подтвер- ждал срабатывание правил корреляции. В результате когнитивная нагрузка ана- литиков снижалась, что позволяло им быстрее и точнее принимать решения по инцидентам ИБ. В новой версии интеграция с BAD расширилась: теперь ML-алгоритмы помогают выявлять даже неизвестные атаки злоумышленников и те, которые направлены на обход стандартных правил корреляции. В модуль встроено порядка 50 моделей машинного обучения, разработанных на основе 20-летнего опыта Positive Technologies в расследовании инцидентов. BAD собирает и анализи- рует данные о событиях, пользователях, процессах в контексте событий и при- сваивает им определенный уровень риска (risk score). Операторы могут обна- руживать аномалии в событиях не только Windows-, но и Unix-подобных систем и сетевого оборудования. Как машинное обучение будет применяться в SIEM-системах завтра Нам кажется, что в будущем вместо подхода rule-based для вынесения вер- дикта будут также применять машинное обучение. Уже сейчас мы можем про- филировать процессы, выстраивать длинные цепочки запусков и фиксиро- вать аномалии на различных узлах. Однако, зачастую высокую оценку риска получают легитимные действия, а киберпреступники маскируют свою активность и обходят правила реагиро- вания. Машинное обучение можно использовать, чтобы присвоить общую оценку риска всей цепочке, включая дочерние процессы и контекст событий. Такую цепочку с большим количеством узлов удобно представлять в виде дере- ва (см. рис.). Теперь представим, что у нас есть рабочая и полностью настроенная систе- ма безопасности с аналогом модуля BAD, которая способна анализировать различные процессы и даже их цепочки. Такая защита фиксирует некое событие, присваивает ему среднюю оценку риска, далее автоматически изучает контекст, например, из шести дочерних процессов и повышает уровень угрозы до высокой. Но что, если связанных действий будет больше: например, двенадцать? Или если оператору понадо- бится увеличить число рассматриваемых собы- тий? Так перед нами появляется задача разработки подхода, который будет эффективен вне зависи- мости от количества узлов в цепочке и позволит на лету подключать к анализу новые. Как это может работать Исходя из характера угроз и парамет- ров системы, для каждого узла модель выбирает глубину сканирования – сколь- ко соседних процессов необходимо включить в анализ. Например, если глу- бина равна двум, то наше SIEM-решение изучит не только целевое событие, но и его прямых соседей и соседей этих соседей. Чтобы этот подход работал вне зави- симости от количества соседей, необхо- димо включить в систему операцию свертки – сбора и анализа совокупности аномалий и признаков дочерних про- цессов. Существует несколько способов добиться желаемого результата для всех узлов в окрестности: l усреднение их признаков; l суммирование их признаков; l выбор максимального значения из их признаков. Вне зависимости от выбранного спо- соба процесс должен повторяться для каждого узла в системе, чтобы добиться глобального обновления оценок с уче- том контекста в реальном времени. Стоит признать, что сейчас в защите на основе этого подхода все еще воз- никают ошибки из-за относительно небольшого объема материала для обучения. Однако, увеличение количе- ства примеров и отладка системы – вопрос времени. Машинное обучение в SIEM-системах – это не дело будущего, оно использу- ется уже сегодня. Количество данных об инцидентах постоянно растет, а моде- ли ML помогают снизить число ложно- положительных срабатываний и осво- бодить ресурсы сотрудников SOC для решения комплексных задач. l • 23 SIEM www.itsec.ru Рис. Дерево процессов АДРЕСА И ТЕЛЕФОНЫ POSITIVE TECHNOLOGIES см. стр. 62 NM Реклама 1 https://www.ptsecurity.com/ru-ru/products/mpsiem/