ML-решение Angara Security для анализа событий ИБ
Компания Angara Security представила разработанное ею решение на базе нейронной сети, которое интегрируется с SIEM-системой. Сконструированная нейронная сеть состоит из комбинированных слоев, свойственных как сверточным сетям (Convolutional Neural Networks), так и рекуррентным (Recurrent Neural Networks).
Как поясняют в компании, анализ событий ИБ при помощи правил детектирования и корреляции в SIEM-системах остается одним из основных способов выявления вредоносной активности в ИТ-инфраструктуре. На практике такой подход не всегда эффективен для обнаружения техник злоумышленников, связанных с большой вариативностью, так как создание и поддержание набора правил для всех известных процедур едва ли возможно.
Новое решение позволяет дополнить классические методы анализа событий ИБ и с высокой точностью определять вредоносную активность по характерным паттернам, выявленным ML-моделью. Такой подход в ряде сценариев расширяет перечень детектируемых процедур и помогает обойтись без того, чтобы писать отдельные правила детектирования для каждой новой утилиты или процедуры.
В настоящее время ML-модель используется для трех сценариев, в первую очередь для выявления PowerShell-скриптов, которые злоумышленники активно используют при проведении атак. Эксперты Angara SOC отмечают, что существует большое количество инструментов на языке PowerShell, которые могут применяться как в составе ВПО, так и непосредственно злоумышленником при компрометации системы. PowerSploit, Empire, Nishang – это лишь малая часть общеизвестных коллекций утилит для автоматизации действий злоумышленника, направленных на сбор информации, эксплуатацию уязвимостей, повышение привилегий и т.д. Кроме того, во многих организациях ИТ-службы используют легитимные скрипты для автоматизации администрирования, отличить же легитимное от вредоносного иногда довольно сложно, а проанализировать миллионы скриптов для написания правил скорее невозможно.
Второй сценарий использования – выявление DGA-доменов и DNS-туннелирования. Классические методы анализа DNS-имен часто дают большое количество ложноположительных срабатываний. Среди злоумышленников также популярны инструменты, которые позволяют генерировать доменные имена, на первый взгляд очень похожие на легитимные, что фактически делает автоматическое выявление вредоносных DNS-имен невозможным. ML-решение позволяет справляться с этой задачей.
Третий сценарий – анализ журналов веб-серверов. Здесь использование ML-модели возможно как дополнение к средствам класса WAF или в качестве альтернативы в системе эшелонированной защиты web-ресурсов.