Сістэма для аналізу трафіку без яго расшыфроўкі. Гэты метад называецца проста - "машыннае навучанне". Аказалася, калі на ўваход спецыяльнага класіфікатара падаць вельмі вялікі аб'ём рознага трафіку, сістэма з вельмі высокай ступенню верагоднасці можа дэтэктаваць дзеянні шкоднаснага кода ўнутры зашыфраванага трафіку.
Сеткавыя пагрозы змяніліся і сталі "разумней". За апошні час памянялася сама канцэпцыя нападу і абароны. Колькасць падзей у сетцы ўзрасла ў разы. Напады сталі выдасканаленей, а ў хакераў з'явіўся шырэйшы ахоп нападаў.
Па статыстыцы Cisco, зламыснікі за апошні год у 3 разы павялічваюць колькасць шкоднасных праграм, якія выкарыстоўваюць для сваёй дзейнасці, а дакладней для яе ўтойвання – шыфраванне. З тэорыі вядома, што "правільны" алгарытм шыфравання не можа быць узламаны. Для таго каб зразумець што хаваецца ўсярэдзіне зашыфраванага трафіку, неабходна або яго расшыфроўваць ведаючы ключ, або паспрабаваць дэшыфраваць яго рознымі хітрасцямі, або ўзломам у лоб, або выкарыстоўваючы нейкія ўразлівасці ў крыптаграфічных пратаколах.
Карціна сеткавых пагроз нашага часу
машыннае навучанне
Ведай тэхналогію ў твар! Перш чым казаць аб тым як працуе сама тэхналогія расшыфроўкі на базе машыннага навучання, неабходна разабраць як жа працуе тэхналогія нейронавых сетак.
Машыннае навучанне (Machine Learning) - шырокі падраздзел штучнага інтэлекту, які вывучае метады пабудовы алгарытмаў, здольных навучацца. Дадзеная навука накіравана на стварэнне матэматычных мадэляў "навучання" кампутара. Мэта навучання - прадказанне чаго-небудзь. У чалавечым разуменні мы называем гэты працэс словам «мудрасць». Мудрасць выяўляецца ў людзей пражылых даволі шмат гадоў (дзіця двух гадоў не можа быць мудрым). Звяртаючыся па параду да старэйшых таварышаў, мы даем ім нейкую інфармацыю аб падзеі (уваходныя дадзеныя) і просім дапамагчы. Яны ж у сваю чаргу ўспамінаюць усе сітуацыі з жыцця, якія неяк звязаныя з Вашай праблемай (база ведаў) і на падставе гэтых ведаў (дадзеных) выдаюць нам, свайго роду, прадказанне (рада). Прадказаннем гэты від саветаў сталі называць з-за таго, што чалавек, які дае параду, не ведае напэўна што адбудзецца, а толькі мяркуе. Жыццёвы досвед паказвае, што чалавек можа мець рацыю, а можа і памыліцца.
Не варта параўноўваць нейронавыя сеткі з алгарытмам галінавання (if-else). Гэта розныя рэчы і ў іх ёсць ключавыя адрозненні. Алгарытм галінавання мае дакладнае "разуменне" што рабіць. Прадэманструю на прыкладах.
Задача. Вызначыць тармазны шлях аўтамабіля па ім марцы і году выпуску.
Прыклад працы алгарытму галінавання. Калі аўтамабіль маркі 1 і выпушчаны ў 2012 годзе - яго тармазны шлях роўны 10 метрам, інакш, калі аўтамабіль маркі 2 і выпушчаны ў 2011 годзе і гэтак далей.
Прыклад працы нейронавай сеткі. Збіраны дадзеныя аб тармазных шляхах аўтамабіляў за апошнія 20 гадоў. Па марцы і году складаем табліцу выгляду "марка-год выпуску-тармазны шлях". Выдаем гэтую табліцу нейронавай сеткі і пачынаем яе вучыць. Навучанне праводзіцца наступным чынам: мы падаем дадзеныя ў нейронавую сетку, але без тармазнога шляху. Нейронка спрабуе прадказаць які будзе тармазны шлях, на падставе загружанай у яе табліцы. Прадказвае нешта і задае пытанне карыстачу "Я правы?". Перад пытаннем яна стварае чацвёрты слупок - слупок угадвання. Калі яна мае рацыю - то яна прапісвае 1 у чацвёртым слупку, памылілася - 0. Нейронная сетка ідзе да наступнай падзеі (нават калі яна памылілася). Так сетка вучыцца і калі навучанне скончана (дасягнуты вызначаны крытэр збежнасці), мы падаем дадзеныя аб які цікавіць нас аўтамабілі і нарэшце атрымліваем адказ.
Каб зняць пытанне пра крытэр збежнасці, растлумачу, што гэта матэматычна выведзеная формула для статыстыкі. Яскравы прыклад дзвюх розных формул збежнасці. Чырвоная - бінарная збежнасць, сіняя - нармальная збежнасць.
Бінаміяльнае і нармальнае размеркавання верагоднасці
Каб было больш зразумела, задайце пытанне "Якая верагоднасць сустрэчы дыназаўра?". Тут 2 варыянты адказу. Варыянт 1 - вельмі малая (сіні графік). Варыянт 2 - альбо сустрэчу, альбо не (чырвоны графік).
Вядома, кампутар не чалавек і вучыцца ён інакш. Вылучаюцца 2 віды навучання жалезнага каня - навучанне па прэцэдэнтах и дэдуктыўнае навучанне.
Навучанне па прэцэдэнтах - гэта спосаб навучання па матэматычных законах. Матэматыкі збіраюць табліцы статыстыкі, робяць высновы і загружаюць у нейронавую сетку вынік - формулу для разліку.
Дэдуктыўны навучанне - навучанне адбываецца цалкам у нейронных (ад збору дадзеных, да іх аналізу). Тут фармуецца табліца без формулы, але са статыстыкай.
Шырокі агляд тэхналогіі заняў бы яшчэ пару дзясяткаў артыкулаў. Пакуль нам хопіць і гэтага дзеля агульнага разумення.
Нейрапластычнасць
У біялогіі ёсць такое паняцце - нейропластичность. Нейрапластычнасць - гэта здольнасць нейронаў (клетак мозгу) дзейнічаць «па сітуацыі». Напрыклад, які страціў зрок чалавек лепш чуе гукі, адчувае пахі і адчувае прадметы. Гэта адбываецца з-за таго, што частка мозгу (частка нейронаў), якая адказвае за зрок пераразмяркоўвае сваю працу на іншую функцыянальнасць.
Яркі прыклад нейропластичности ў жыцці – лядзяш BrainPort.
У 2009 годзе ўніверсітэт Вісконсіна ў Мэдысан абвясціў аб выхадзе ў свет новага прылады, які развівае ідэі «моўнага дысплея», – яно атрымала назву BrainPort. BrainPort працуе па такім алгарытме: відэасігнал паступае ад камеры ў працэсар, які кіруе зумам, яркасцю і іншымі параметрамі карцінкі. Ён таксама пераўтворыць лічбавыя сігналы ў электрычныя імпульсы, фактычна прымаючы на сябе функцыі сятчаткі.
Ледзянец BrainPort з ачкамі і камерай
BrainPort у працы
Таксама і з кампутарам. Калі нейронавая сетка адчувае змену працэсу, яна падладжваецца пад яго. У гэтым і ключавы плюс нейронавых сетак у параўнанні з іншымі алгарытмамі - аўтаномнасць. Свайго роду, чалавечнасць.
Encrypted Traffic Analytics
Encrypted Traffic Analytics з'яўляецца часткай сістэмы Stealthwatch. Stealthwatch – гэта распрацоўка кампаніі Cisco у галіны рашэнняў для маніторынгу і аналітыкі бяспекі, у якой выкарыстоўваюцца карпаратыўныя дадзеныя тэлеметрыі з існуючай сеткавай інфраструктуры.
Аснову Stealthwatch Enterprise складаюць прылады Flow Rate License, Flow Collector, Management Console і Flow Sensor.
Інтэрфейс Cisco Stealthwatch
Праблема з шыфраваннем устала вельмі востра ў сувязі з тым, што шыфраваць сталі значна больш трафіку. Раней шыфравалі толькі код (у асноўным), зараз жа шыфруецца ўвесь трафік і аддзяляць "чыстыя" дадзеныя ад вірусаў стала ў разы складаней. Яркі прыклад – WannaCry, які выкарыстоўваў Tor для ўтойвання сваёй прысутнасці ў сетцы.
Візуалізацыя росту колькасці шыфравання трафіку ў сетцы
Шыфраванне ў макраэканоміцы
Сістэма Encrypted Traffic Analytics (ETA) неабходна як раз для працы з зашыфраваным трафікам без яго расшыфроўкі. Зламыснікі разумныя і выкарыстоўваюць крыптастойкія алгарытмы шыфравання і ўзламаць іх не толькі праблема, але і звышвялікія выдаткі для арганізацый.
Сістэма працуе наступным чынам. У кампанію прыходзіць які-небудзь трафік. Ён трапляе ў TLS (transport layer security - пратакол абароны транспартнага ўзроўню). Дапушчальны, трафік зашыфраваны. Мы спрабуем адказаць на шэраг пытанняў аб тым, што за злучэнне было ўстаноўлена.
Прынцып працы сістэмы Encrypted Traffic Analytics (ETA)
Каб адказаць на гэтыя пытанні мы выкарыстоўваем у машыннае навучанне ў гэтай сістэме. Бяруцца даследаванні кампаніі Cisco і па гэтых даследаваннях ствараецца табліца з двух выніковых – шкоднасны і "добры" трафікі. Вядома, мы не ведаем напэўна што за трафік патрапіў у сістэму непасрэдна ў бягучы момант часу, але мы можам прасачыць гісторыю трафіку як у кампаніі, так і па-за ёй звяртаючыся да дадзеных з сусветнай арэны. На выхадзе з дадзенага этапу, мы атрымліваем вялікую табліцу з дадзенымі.
Па выніку даследавання выяўляюцца характэрныя прыкметы - пэўныя правілы, якія можна запісаць у матэматычным выглядзе. Гэтыя правілы будуць вельмі моцна адрозніваецца па розных крытэрыях - памеры перадаюцца файлаў, тыпу падлучэння, краіне, з якой паступае дадзены трафік і г.д. У выніку працы, вялізная табліца ператварылася ў набор з кучы формул. Іх стала менш, але гэтага мала для камфортнай працы.
Далей, прымяняецца тэхналогія машыннага навучання - збежнасць формулы і па выніку збежнасці мы атрымліваем трыгер - перамыкач, дзе пры выхадзе дадзеных мы атрымліваем выключальнік (сцяг) у паднятым або апушчаным становішчы.
Выніковы этап - атрыманні набору трыгераў, якія пакрылі сабой 99% трафіку.
Этапы праверкі трафіку ў ETA
У выніку працы вырашаецца яшчэ адна праблема - атака знутры. Больш не патрабуюцца людзі пасярэдзіне, якія фільтруюць трафік уручную (у гэтым моманце я палю сам сябе). Па-першае, больш не патрабуецца марнаваць шмат грошай на пісьменнага сістэмнага адміністратара (працягваю тапіць сябе). Па-другое, адсутнічае небяспека ўзлому знутры (прынамсі, часткова).
Састарэлая канцэпцыя Man-in-the-Middle
Цяпер, давайце разбяромся на чым грунтуецца сістэма.
Сістэма працуе на 4 пратаколах сувязі: TCP/IP - пратакол перадачы дадзеных у інтэрнэце, DNS - сервер даменных імёнаў, TLS - пратакол абароны транспартнага ўзроўню, SPLT (SpaceWire Physical Layer Tester) - тэстар фізічнага ўзроўню сувязі.
Пратаколы, якія працуюць з ETA
Параўнанне ідзе шляхам супастаўлення даных. Па пратаколах TCP/IP правяраецца рэпутацыя сайтаў (гісторыя наведвання, мэта стварэння сайта і да т.п.), дзякуючы DNS пратаколу, мы можам адкінуць "благія" адрасы сайтаў. Пратакол TLS працуе з "адбіткамі" сайта (fingerprint) і правярае сайт па базе кампутарнай групы рэагавання на надзвычайныя сітуацыі (cert). Апошні этап праверкі злучэння - праверка на фізічным узроўні. Дэталі працы дадзенага этапу не агаворваюцца, але сэнс складаецца ў наступным: праверка сінусоідаў і косінусоідаў крывых перадачы дадзеных на асцылаграфічных усталёўках, г.зн. дзякуючы структуры запыту фізічна, мы вызначаем мэта злучэння.
У выніку працы сістэмы, мы можам дастаць дадзеныя з зашыфраванага трафіку. Дзякуючы вывучэнню пакетаў, мы можам прачытаць максімум інфармацыі з незашыфраваных палёў у самым пакеце. Пры дапамозе інспекцыі пакета на фізічным узроўні, мы даведаемся характарыстыкі пакета (часткова ці цалкам). Таксама, не варта забываць аб рэпутацыі сайтаў. Калі запыт прыйшоў з нейкай .onion крыніцы, не варта яму давяраць. Для прастаты працы з такога роду дадзенымі, створана карта рызык.
Вынік працы ETA
І ўсё, здавалася б, добра, але пагаворым аб разгортванні сеткі.
Фізічная рэалізацыя ETA
Тут узнікае шэраг нюансаў і тонкасцяў. Па-першае, пры стварэнні такога роду
сеткі з высокаўзроўневым ПЗ, неабходны збор дадзеных. Збіраць дадзеныя ўручную зусім
дзіка, а рэалізаваць сістэму рэагавання - ужо цікавей. Па-другое, дадзеных
павінна быць шмат, а гэта значыць, што ўсталяваныя сэнсары сеткі павінны працаваць
не толькі аўтаномна, але і ў тонка настроеным рэжыме, што дае шэраг складанасцяў.
Сэнсары і сістэма Stealthwatch
Паставіць сэнсар - адно, а наладзіць яго - зусім іншая задача. Для налады сэнсараў, ёсць комплекс, які працуе па наступнай тапалогіі – ISR = маршрутызатар з інтэграцыяй сэрвісаў Cisco (Cisco Integrated Services Router); ASR = маршрутызатар з агрэгацыяй сэрвісаў Cisco (Cisco Aggregation Services Router); CSR = маршрутызатар хмарных сэрвісаў Cisco (Cisco Cloud Services Router); WLC = кантролер бесправадных лакальных сетак Cisco (Cisco Wireless LAN Controller); IE = прамысловы Ethernet-камутатар Cisco (Cisco Industrial Ethernet); ASA = прылада адаптыўнай абароны Cisco (Cisco Adaptive Security Appliance); FTD = рашэнне для абароны ад пагроз Cisco Firepower Threat Defense; WSA = прылада абароны вэб-трафіку (Web Security Appliance); ISE = модуль сэрвісаў ідэнтыфікацыі (Identity Services Engine)
Комплексны маніторынг з улікам любых тэлеметрычных дадзеных
У сеткавых адміністратараў пачынаецца арытмія ад колькасці слоў "Cisco" у папярэднім абзацы. Кошт гэтага цуду немаленькі, але не пра гэта сёння…
Мадэляванне паводзін хакера будзе адбывацца наступным чынам. Stealthwatch старанна адсочвае актыўнасць кожнага прылады ў сетцы і здольна стварыць шаблон нармальных паводзін. Акрамя таго, гэтае рашэнне забяспечвае глыбокае разуменне вядомых неналежных паводзін. У рамках гэтага рашэння выкарыстоўваецца каля 100 розных алгарытмаў аналізу або эўрыстычных правіл, якія датычацца розных тыпаў паводзін трафіку, такіх як сканаванне, перадача кадраў аварыйнай сігналізацыі з вузла, уваход у сістэму метадам падбору пароля, меркаваны захоп дадзеных, меркаваная ўцечка дадзеных і г.д . Пералічаныя падзеі бяспекі падпадаюць пад катэгорыю лагічнай трывогі высокага ўзроўня. Некаторыя падзеі бяспекі таксама могуць выклікаць спрацоўванне трывожнай сігналізацыі самі па сабе. Такім чынам, сістэма здольная карэляваць шматлікія ізаляваныя анамальныя інцыдэнты і збіраць іх разам, каб вызначыць магчымы тып нападу, а таксама прывязаць яе да пэўнай прылады і карыстачу (малюнак 2). У далейшым інцыдэнт можна вывучыць у дынаміцы і з улікам звязаных даных тэлеметрыі. Гэта складае кантэкстную інфармацыю ў яе лепшай праяве. Дактары, якія абследуюць пацыента, каб зразумець, што здарылася, не разглядаюць сімптомы ў асобнасці. Яны вывучаюць агульную карціну для пастаноўкі дыягназу. Аналагічна, Stealthwatch фіксуе кожную анамальную актыўнасць у сетцы і вывучае яе ў комплексе, каб пасылаць сігналы трывогі з улікам кантэксту, тым самым дапамагаючы спецыялістам па бяспецы ўсталёўваць прыярытэты для рызык.
Выяўленне анамалій з дапамогай мадэлявання паводзін
Фізічнае разгортванне сеткі выглядае так:
Варыянт разгортвання сеткі філіяльнай сеткі (спрошчаны)
Варыянт разгортвання сеткі філіяльнай сеткі
Сетка разгорнута, але застаецца адкрытае пытанне пра нейронку. Арганізавалі сетку перадачы дадзеных, усталявалі на парогі сэнсары і запусцілі сістэму збору інфармацыі, але нейронка ў справе ўдзелу не прымала. Пакуль.
Шматузроўневая нейронавая сетка
Сістэма аналізуе паводзіны карыстальніка і прылады для выяўлення шкоднасных заражэнняў, камунікацый з каманднымі серверамі, уцечкі дадзеных, а таксама патэнцыйна непажаданых прыкладанняў, якія працуюць у інфраструктуры арганізацыі. Існуе некалькі ўзроўняў апрацоўкі дадзеных, на якіх спалучэнне метадаў штучнага інтэлекту, машыннага навучання і матэматычнай статыстыкі дапамагаюць сеткі саманавучыцца сваёй звычайнай актыўнасці, каб яна магла вызначаць шкоднасную актыўнасць.
Канвеер аналізу бяспекі сеткі, які збірае дадзеныя тэлеметрыі з усіх частак пашыранай сеткі, у тым ліку зашыфраваны трафік, з'яўляецца унікальнай асаблівасцю Stealthwatch. Ён паэтапна фармуе разуменне таго, што з'яўляецца «анамальным», затым класіфікуе фактычныя асобныя элементы «пагражальнай актыўнасці» і, нарэшце, выносіць канчатковае рашэнне адносна таго, ці была прылада ці карыстач насамрэч скампраметаваныя. Здольнасць сабраць разам невялікія часткі, разам якія фармуюць доказ для прыняцця канчатковага рашэння аб кампраметацыі аб'екта, забяспечваецца за рахунак вельмі стараннага аналізу і карэляцыі.
Гэтая здольнасць мае вялікае значэнне, паколькі стандартнае прадпрыемства можа штодня атрымліваць вялізную колькасць сігналаў трывогі, і правесці расследаванне па кожным з іх немагчыма - рэсурсы спецыялістаў па бяспецы абмежаваныя. Модуль машыннага навучання апрацоўвае вялікую колькасць інфармацыі практычна ў рэжыме рэальнага часу для выяўлення крытычна важных інцыдэнтаў з высокім узроўнем упэўненасці, а таксама здольны прапаноўваць дакладны парадак дзеянняў для аператыўнага ўстаранення.
Давайце падрабязней разбяром шматлікія метады машыннага навучання, якія выкарыстоўваюцца Stealthwatch. Калі інцыдэнт перадаецца ў модуль машыннага навучання Stealthwatch, ён праходзіць праз варонку аналізу бяспекі, у рамках якой выкарыстоўваецца спалучэнне метадаў машыннага навучання з настаўнікам і без настаўніка.
Магчымасці шматузроўневага машыннага навучання
1 ўзровень. Выяўленне анамалій і мадэляванне даверу
На гэтым узроўні адкідаецца 99% трафіку з дапамогай статыстычных дэтэктараў анамалій. Паказаныя датчыкі сумесна фармуюць складаныя мадэлі таго, што з'яўляецца нармальным і таго, што, наадварот, з'яўляецца анамальным. Аднак, анамальнае неабавязкова з'яўляецца шкоднасным. Многае з таго, што адбываецца ў вашай сеткі ніяк не звязана з пагрозай - гэта проста дзіўна. Пры гэтым важна класіфікаваць такія працэсы безадносна пагрозлівых паводзін. Па гэтай прычыне вынікі працы такіх дэтэктараў праходзяць далейшы аналіз, каб зафіксаваць дзіўныя паводзіны, якія пры гэтым можна растлумачыць і якому можна давяраць. У канчатковым выніку толькі невялікая доля найболей важных струменяў і запытаў пераходзіць на 2 і 3 узроўні. Без ужывання такіх метадаў машыннага навучання аперацыйныя выдаткі па аддзяленні сігналу ад шуму былі бы занадта вялікія.
Выяўленне анамалій. На першым этапе пры выяўленні анамалій выкарыстоўваюцца статыстычныя метады машыннага навучання для аддзялення статыстычна нармальнага трафіку ад анамальнага. Больш за 70 асобных дэтэктараў апрацоўваюць дадзеныя тэлеметрыі, якія збіраюцца Stealthwatch аб трафіку, які праходзіць праз перыметр вашай сеткі, адлучаючы ўнутраны трафік сістэмы даменных імёнаў (DNS) і дадзеныя проксі-сервера пры наяўнасці такіх. Кожны запыт апрацоўваецца больш за 70 дэтэктарамі, пры гэтым кожны дэтэктар выкарыстоўвае свой статыстычны алгарытм, фармуючы адзнаку выяўленых анамалій. Такія адзнакі аб'ядноўваюцца, і ў выніку ўжывання некалькіх статыстычных метадаў атрымліваецца адзіная адзнака для кожнага асобнага запыту. Затым такая сукупная ацэнка выкарыстоўваецца для падзелу нармальнага і анамальнага трафіку.
Мадэляванне даверу. Далей аналагічныя запыты групуюцца, а сукупная ацэнка анамалій для такіх груп вызначаецца як доўгатэрміновае сярэдняе значэнне. З цягам часу аналізу з наступным вызначэннем доўгатэрміновага сярэдняга значэння падвяргаецца больш запытаў, што дазваляе скараціць ілжыва-станоўчыя і ілжыва-адмоўныя спрацоўванні. Вынікі мадэлявання даверу выкарыстоўваюцца для выбару падмноства трафіку, ацэнка анамалій якога перавышае некаторае дынамічна вызначанае парогавае значэнне, для яго перамяшчэння на наступны ўзровень апрацоўкі.
2 ўзровень. Класіфікацыя падзей і мадэляванне аб'екта
На гэтым узроўні адбываецца класіфікацыя вынікаў, атрыманых на папярэдніх этапах, з аднясеннем на канкрэтныя шкоднасныя падзеі. Класіфікацыя падзей ажыццяўляецца па значэнні, прысвоенаму класіфікатарамі машыннага навучання з мэтай забеспячэння пастаяннага паказчыка дакладнасці вышэй за 90%. У іх ліку:
- лінейныя мадэлі на аснове лемы Нэймана-Пірсана (закон нармальнага размеркавання з графіка ў пачатку артыкула)
- машыны апорных вектараў, якія выкарыстоўваюць шматварыянтнае навучанне
- нейронавыя сеткі і алгарытм «выпадковы лес».
Затым такія ізаляваныя падзеі бяспекі з цягам часу звязваюцца з адной канцавой прыладай. Менавіта на гэтым этапе фарміруецца апісанне пагрозы, на падставе чаго ствараецца поўная карціна таго, якім чынам адпаведнаму зламысніку ўдалося дасягнуць пэўных вынікаў.
Класіфікацыя падзей. Статыстычна анамальнае падмноства з папярэдняга ўзроўню размяркоўваецца па 100 і больш катэгорыям з дапамогай класіфікатараў. Большасць класіфікатараў заснаваныя на індывідуальных паводзінах, адносінах у групе ці паводзінах у глабальным ці лакальным маштабе, тады як іншыя могуць быць вельмі пэўнымі. Напрыклад, класіфікатар можа паказваць на трафік камандных сервераў, падазронае пашырэнне або несанкцыянаванае абнаўленне праграмнага забеспячэння. Па выніках гэтага этапа фарміруецца набор анамальных падзей у сістэме бяспекі, аднесеных да пэўных катэгорый.
Мадэляванне аб'екта. Калі велічыня доказаў у падтрымку гіпотэзы аб шкоднаснасці вызначанага аб'екта перавышае парогавае значэнне істотнасці, вызначаецца пагроза. Адпаведныя падзеі, якія паўплывалі на вызначэнне пагрозы, звязваюцца з такой пагрозай і становяцца часткай дыскрэтнай доўгатэрміновай мадэлі аб'екта. Па меры назапашвання доказаў з цягам часу, сістэма вызначае новыя пагрозы пры дасягненні парогавага значэння істотнасці. Гэтае парогавае значэнне мае дынамічны характар і праходзіць інтэлектуальную карэкціроўку на аснове ўзроўню рызыкі наступлення пагрозы і іншых фактараў. Пасля гэтага пагроза з'яўляецца на інфармацыйнай панэлі вэб-інтэрфейсу і перакладаецца на наступны ўзровень.
3 ўзровень. Мадэляванне адносін
Мэта мадэлявання адносін - сінтэзаваць вынікі, атрыманыя на папярэдніх узроўнях, з глабальнага пункту гледжання, з улікам не толькі лакальнага, але і глабальнага кантэксту адпаведнага інцыдэнту. Менавіта на гэтым этапе вы можаце вызначыць, колькі арганізацый сутыкаліся з такой атакай, каб зразумець, ці была яна накіравана канкрэтна на вас ці з'яўляецца часткай глабальнай кампаніі, а вы проста патрапілі «пад раздачу».
Інцыдэнты пацвярджаюцца ці выяўляюцца. Пацверджаны інцыдэнт мае на ўвазе ад 99 да 100% упэўненасці, паколькі адпаведныя метады і інструменты раней назіраліся ў дзеянні ў больш буйным (глабальным) маштабе. Выяўленыя інцыдэнты з'яўляюцца ўнікальнымі для вас і складаюць частку вузканакіраванай кампаніі Атрыманыя ў мінулым вынікі перадаюцца з указаннем вядомага парадку дзеянняў, што дазваляе зэканоміць ваш час і рэсурсы пры рэагаванні. Яны прадастаўляюцца разам з інструментамі расследавання, якія спатрэбяцца вам для таго зразумець, хто вас атакаваў, а таксама якая ступень накіраванасці кампаніі на ваш лічбавы бізнэс. Як вы можаце сабе ўявіць, колькасць пацверджаных інцыдэнтаў нашмат перавышае колькасць выяўленых па тым простым чынніку, што пацверджаныя інцыдэнты не спалучаныя з вялікімі выдаткамі для зламыснікаў, тады як выяўленыя інцыдэнты абыходзяцца.
дорага, паколькі яны павінны быць новымі і індывідуалізаваць. За кошт стварэння магчымасці для выяўлення пацверджаных інцыдэнтаў эканоміка гульні нарэшце ссунулася на карысць абаронцаў, падаючы ім пэўную перавагу.
Шматузроўневае навучанне сістэмы нейронавых сувязей на базе ETA
Глабальная карта рызык
Глабальная карта рызык ствараецца ў выніку аналізу, які ўжываецца алгарытмамі машыннага навучання да аднаго з найбуйных у сваім родзе масіваў дадзеных у галіны. Яна дае шырокія статыстычныя дадзеныя аб паводзінах у дачыненні да сервераў у Інтэрнэце, нават калі яны невядомыя. Такія серверы злучаны з нападамі, могуць задзейнічацца ці выкарыстоўвацца ў рамках нападу ў будучыні. Гэта не "чорны спіс", а комплексная карціна разгляданага сервера з пункту гледжання бяспекі. Такая інфармацыя аб актыўнасці паказаных сервераў, падрыхтаваная з улікам кантэксту, дазваляе дэтэктарам і класіфікатарам машыннага навучання Stealthwatch сапраўды прадказваць узровень рызыкі, злучанага з камунікацыямі з такімі серверамі.
Паглядзець даступныя карты можна .
Карта свету, якая паказвае 460 IP-адрасоў
Цяпер сетка навучаецца і ўстае на абарону Вашай сеткі.
Нарэшце, знойдзена панацэя?
На жаль, няма. З досведу працы з сістэмай, магу сказаць, што ёсць 2 глабальных праблемы.
Праблема 1. Кошт. Уся сетка разгорнута на сістэме Cisco. Гэта і добра, і дрэнна. Добры бок заключаецца ў тым, што Вы можаце не затлумляцца і не ставіць кучу заглушак тыпу D-Link, MikroTik і да т.п. Мінус - велізарны кошт сістэмы. Улічваючы эканамічны стан Расійскага бізнэсу, на бягучы момант часу дазволіць сабе гэты цуд можа толькі забяспечаны ўладальнік буйной фірмы ці слоік.
Праблема 2. Навучанне. Я не напісаў у артыкуле тэрмін навучання нейронавай сеткі, але не з-за таго, што яго няма, а з-за таго, што яна ўвесь час вучыцца і мы не можам прадказаць, калі ж яна навучыцца. Вядома, ёсць прылады матэматычнай статыстыкі (узяць тую ж фармулёўку крытэра збежнасці Пірсана), але гэта паўмеры. Мы атрымліваем верагоднасць фільтравання трафіку, ды і то пры ўмове таго што напад ужо засвоена і вядомая.
Нягледзячы на гэтыя 2 праблемы, мы зрабілі вялікі скачок у развіцці інфармацыйнай бяспекі ў цэлым і абароны сеткі ў прыватнасці. Гэты факт можа быць матывіровачную для вывучэння сеткавых тэхналогій і нейронавых сетак, якія з'яўляюцца зараз вельмі перспектыўным напрамкам.
Крыніца: habr.com