Используя внутреннюю модель машинного обучения, обученную на данных журналов, группа информационной безопасности французского банка обнаружила, что может обнаруживать три новых типа утечки данных, которые не обнаруживаются устройствами безопасности на основе правил.

Кэрол Бойжо, инженер по кибербезопасности из Credit Agricole Group Infrastructure Platform (CA-GIP), выступит на конференции Black Hat Europe 2022 на следующей неделе, чтобы детализировать исследование в эту технику на сессии под названием «Пороги для старых угроз: демистификация ИИ и машинного обучения для улучшения обнаружения SOC». Группа собирала ежедневные сводные данные из файлов журналов, извлекала из данных интересные особенности и использовала их для поиска аномалий в веб-трафике банка. 

По ее словам, исследование было сосредоточено на том, как лучше обнаруживать утечку данных злоумышленниками, и в результате были выявлены атаки, которые предыдущая система компании не могла обнаружить.

«Мы внедрили собственную симуляцию угроз, которые мы хотели видеть, поэтому мы смогли увидеть, что можно идентифицировать в нашем собственном трафике», — говорит она. «Когда мы не обнаруживали [конкретную угрозу], мы пытались выяснить, в чем отличие, и мы пытались понять, что происходит».

Поскольку машинное обучение стало модным словом в индустрии кибербезопасности, некоторые компании и ученые-исследователи все еще добиваются успехов в экспериментах со своими собственными данными, чтобы найти угрозы, которые в противном случае могли бы прятаться в шуме. Microsoft, например, использовала данные, собранные из телеметрии 400,000 XNUMX клиентов, для определения конкретных групп атак и, используя эти классификации, прогнозировать дальнейшие действия злоумышленников. Другие фирмы используют методы машинного обучения, такие как генетические алгоритмы, для обнаружения учетных записей на платформах облачных вычислений, которые слишком много разрешений.

По словам Бойжо, анализ собственных данных с помощью собственной системы дает множество преимуществ. Центры управления безопасностью (SOC) лучше понимают свой сетевой трафик и действия пользователей, а аналитики безопасности могут лучше понять угрозы, атакующие их системы. Хотя у Credit Agricole есть собственная группа платформ для управления инфраструктурой, обеспечения безопасности и проведения исследований, даже небольшие предприятия могут извлечь выгоду из применения машинного обучения и анализа данных, говорит Бужауд.

«Разработка собственной модели не такая уж дорогая, и я убеждена, что это может сделать каждый», — говорит она. «Если у вас есть доступ к данным и у вас есть люди, которые знают журналы, они могут создать свой собственный конвейер, по крайней мере, вначале».

Поиск правильных точек данных для мониторинга

Команда инженеров по кибербезопасности использовала метод анализа данных, известный как кластеризация, чтобы определить наиболее важные функции для отслеживания в ходе анализа. Среди функций, которые были сочтены наиболее важными, были популярность доменов, количество раз, когда системы обращались к определенным доменам, а также использование в запросе IP-адреса или стандартного доменного имени.

«На основе представления данных и того факта, что мы ежедневно отслеживаем поведение машин, мы смогли определить эти особенности», — говорит Бужауд. «Машинное обучение связано с математикой и моделями, но одним из важных фактов является то, как вы выбираете представление данных, а это требует понимания данных, а это означает, что нам нужны люди, такие как инженеры по кибербезопасности, которые разбираются в этой области».

После выбора признаков, наиболее важных для классификации, команда использовала технику, известную как «изолирующий лес», чтобы найти выбросы в данных. Алгоритм изолированного леса организует данные в несколько логических деревьев на основе их значений, а затем анализирует деревья для определения характеристик выбросов. Подход легко масштабируется для обработки большого количества функций и относительно прост в плане обработки.

Первоначальные усилия привели к тому, что модель научилась обнаруживать три типа эксфильтрационных атак, которые компания иначе не обнаружила бы с помощью существующих устройств безопасности. По словам Бойжо, в целом около половины эксфильтрационных атак могут быть обнаружены с низким уровнем ложных срабатываний.

Не все сетевые аномалии являются вредоносными

Инженеры также должны были найти способы определить, какие аномалии указывают на вредоносные атаки, а какой может быть нечеловеческим, но безопасным трафиком. Рекламные теги и запросы, отправленные на сторонние серверы отслеживания, также были перехвачены системой, поскольку они, как правило, соответствуют определениям аномалий, но могут быть отфильтрованы из окончательных результатов.

Автоматизация начального анализа событий безопасности может помочь компаниям быстрее сортировать и выявлять потенциальные атаки. По словам Бойжо, самостоятельно проводя исследование, группы безопасности получают дополнительную информацию о своих данных и могут легче определить, что является атакой, а что может быть безопасным.

По ее словам, CCA-GIP планирует расширить подход к анализу на случаи использования, выходящие за рамки обнаружения эксфильтрации с помощью веб-атак.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://www.darkreading.com/analytics/soc-homegrown-machine-learning-cyberintruders