Развитие на основе машинного обучения традиционных моделей обнаружения угроз

Что такое внутренняя угроза?

Внутренняя угроза - это любой пользователь или физическое лицо, имеющее авторизованное разрешение на доступ к физическим или виртуальным корпоративным активам. Внутренние угрозы содержат учетные данные, которые в случае злоупотребления потенциально могут подорвать доверие к организации.

Типы инсайдерских угроз

Существует множество пользователей, которые могут стать внутренними угрозами, включая временных и постоянных сотрудников, сторонних деловых партнеров, внешних поставщиков услуг и компании, предоставляющие услуги поддержки.

Поскольку каждому пользователю предоставляются разные привилегии, они представляют разные риски и соответственно классифицируются:

  • Неосторожные сотрудники - которые не соблюдают корпоративную политику при использовании корпоративных активов. Неосторожные сотрудники часто не злонамеренны. Скорее они не получают должного образования о последствиях своих действий. Они могут нарушить политики и установить неавторизованное программное обеспечение, которое может создать новые уязвимости или привести к эксплуатации.
  • Внутренние агенты - внутренние угрозы, к которым обращаются внешние субъекты угроз. Как правило, внутренние агенты либо вербуются, либо подкупаются, либо им угрожают, чтобы они украли информацию и доставляют ее злоумышленнику. Внутренние агенты используются злоумышленниками как часть более крупной схемы.
  • Недовольные сотрудники - это внутренние угрозы, пытающиеся нанести вред своему нынешнему или бывшему работодателю, обычно путем нарушения бизнес-операций или уничтожения данных. Недовольные сотрудники часто мотивируются чувством того, что работодатель каким-то образом обидел их. Сбои и ущерб, которые они причиняют, являются актом мести.
  • Вредоносные инсайдеры - внешние злоумышленники, получившие несанкционированный доступ к корпоративным активам. Они используют существующие привилегии для доступа к данным. Получив доступ к данным, они часто используют их в личных целях и либо утекают конфиденциальные данные, либо продают их на черном рынке.
  • Неосторожные сторонние организации - это деловые партнеры и партнеры, которые ставят под угрозу безопасность организации. Обычно это происходит из-за небрежности, неправомерного или злонамеренного использования корпоративных активов третьей стороной.

Как работает обнаружение внутренних угроз

Системы обнаружения угроз созданы с целью предоставления администраторам возможности быстрого обнаружения различных угроз, представляющих значительный риск для жизнеспособности систем и сетей.

Традиционно системы обнаружения угроз требовали большого количества программирования, политик и вмешательства человека. Системы отправляли много ложных срабатываний, что значительно снижало производительность.

Сегодня большинство систем обнаружения угроз усовершенствованы или основаны на процессах машинного обучения (ML), которые обеспечивают автоматизацию и автономные возможности системы.

Обнаружение угроз на основе машинного обучения помогает улучшить результаты обнаружения с помощью возможностей мониторинга и анализа в реальном времени, генерирует значительно меньше ложных срабатываний и иногда автоматизирует ответы.

Обнаружение внутренних угроз с помощью машинного обучения: семь критических этапов

Для обнаружения внутренних угроз существуют определенные процессы, которые необходимо включить в системы на основе машинного обучения, в том числе:

  1. Ввод интеллектуального анализа данных - настройка наборов данных о поведении пользователей и сущностях (UBE), включая такие ресурсы, как приложения, веб-сайты, файловые системы, сети, системы электронной почты, а также метаданные, такие как роли пользователей, уровни доступа, график работы и время контроля. Детализированные данные могут значительно повысить точность результатов.
  2. Классификация данных - есть три основных способа настроить классификацию данных. Вы можете использовать предварительно определенный список классификации, такой как PHI, PII, PFI и фрагменты кода. В качестве альтернативы вы можете использовать полудинамические списки, такие как свойства файла и происхождение. Вы также можете использовать технологии оптического распознавания символов (OCR) для обнаружения типов данных на лету. Эти настройки могут работать как с контролируемыми, так и с неконтролируемыми алгоритмами классификации, которые используют списки для фильтрации необработанных данных.
  3. Профилирование пользователей - предоставление системе информации о пользователях, включая роли пользователей, отделы, группы и уровни доступа. Вы можете получить эту информацию из записей сотрудников, систем управления персоналом, журналов системного аудита, Active Directory и любых других соответствующих источников. Система использует эту информацию для создания персонализированных профилей, вводимых в модели поведения или системы контроля доступа и управления привилегиями.
  4. Поведенческие модели - предоставляют различные результаты анализа. Например, регрессионная модель может дать представление о будущем поведении пользователей или помочь обнаружить мошенничество с кредитными картами. С другой стороны, алгоритм кластеризации используется для сравнения целей соответствия с различными бизнес-процессами. Есть и другие алгоритмы, которые оказались полезными для создания эффективных поведенческих моделей, например, выделение признаков и оценка плотности.
  5. Оптимизация базовых показателей - поведенческие модели создают базовые показатели, которые используются для предоставления различных типов информации. Базовый уровень может и должен быть оптимизирован для конкретных целей, таких как присвоение оценок риска, позволяющих точно настроить результаты. Вы также можете добавить дополнительные слои фильтрации, чтобы повысить эффективность алгоритма и уменьшить количество ложных срабатываний.
  6. Интеграция политик и правил - базовые параметры поведения помогают системе обнаруживать угрозы и инициировать соответствующие оповещения во время событий. Вы можете комбинировать этот базовый уровень с вашей политикой и механизмом правил, который поддерживает действия, которые проактивно предотвращают угрозы. Например, движок может предупреждать пользователей, уведомлять администраторов, блокировать определенные действия и действия, запускать определенные команды и записывать инцидент для будущего анализа и судебных расследований.
  7. Обратная связь с людьми - модели машинного обучения должны постоянно учиться и совершенствоваться. Иногда для этого требуется человеческая обратная связь. Обычно этот процесс включает использование выходных данных системы для проведения оценок угроз вручную. Затем аналитик может предоставить системе соответствующую информацию, которая улучшает модель.

Вывод

Традиционные системы обнаружения угроз генерируют слишком много ложных срабатываний, чтобы быть действительно эффективными. Модели машинного обучения помогают улучшить процессы обнаружения угроз за счет внедрения в процесс автоматизации и автономных возможностей. Обычно процесс включает настройку интеллектуального анализа и классификации данных, а также профилирование пользователей. Затем вы можете создать поведенческую модель, которая непрерывно отслеживает и анализирует работу, генерирует аналитические данные, запрашивает предупреждения и выполняет действия, которые защищают вашу сеть, системы и активы.

Примечание редактора: Heartbeat - это онлайн-публикация и сообщество, созданное авторами и посвященное предоставлению первоклассных образовательных ресурсов для специалистов по науке о данных, машинному обучению и глубокому обучению. Мы стремимся поддерживать и вдохновлять разработчиков и инженеров из всех слоев общества.

Независимая редакция, Heartbeat спонсируется и публикуется Comet, платформой MLOps, которая позволяет специалистам по обработке данных и группам машинного обучения отслеживать, сравнивать, объяснять и оптимизировать свои эксперименты. Мы платим участникам и не продаем рекламу.

Если вы хотите внести свой вклад, отправляйтесь на наш призыв к участникам. Вы также можете подписаться на наши еженедельные информационные бюллетени (Deep Learning Weekly и Comet Newsletter), присоединиться к нам в » «Slack и подписаться на Comet в Twitter и LinkedIn для получения ресурсов, событий и гораздо больше, что поможет вам быстрее и лучше строить модели машинного обучения.