Этот пост о том, как мы пытаемся автоматизировать обнаружение угроз для предприятия, будь то общедоступное, частное или гибридное облако.
Обнаружение угроз в реальном времени является обязательным условием GDPR и других киберзаконов. Обнаружение угроз всегда было дорогостоящим решением. Для реализации решения требуется CSO и аналитик по безопасности.
StegoSOC сокращает время на обнаружение угроз за 1/10 стоимости общедоступных облаков с помощью искусственного интеллекта и облачных технологий.
Немного предыстории
Безопасность имеет первостепенное значение для любой организации, где производственные серверы развернуты в собственной корпоративной инфраструктуре или в облаке. Из-за непрекращающегося развития уязвимостей программного обеспечения, неправильно настроенных устройств в сети и уязвимостей программного обеспечения, которые уже присутствуют на устройствах в сети, предприятие всегда находится под серьезным риском вторжения в результате атаки как изнутри, так и за пределами сети организации. Эти злоумышленники обладают высокой квалификацией, имеют злонамеренные намерения и могут вызывать различные виды эксплойтов, ведущих к атакам, нацеленным на критически важные ресурсы, или нарушению целостности важной информации, содержащейся в активах в сети, что может повлиять на основные бизнес-решения компании.
Что мы сделали?
Обобщить
Мы начали с журналов в качестве входных данных, поскольку приложение - это то, что в основном выставлено. Но, как все мы знаем, журналы не структурированы в зависимости от приложений, которые вы используете, и механизма ведения журналов. Вдобавок к этому всегда существует постоянно увеличивающийся список инструментов / приложений, каждый раз развертываемых на серверах с различной структурой.
Как правильно цитирует thehackernews здесь
Сама цель ИТ-безопасности - быть проактивной, и вышеупомянутые меры затрудняют работу тех, кто пытается взломать сеть. Этого может быть недостаточно, и вам необходимо обнаруживать фактические нарушения по мере их попытки. Здесь действительно помогают данные журнала.
Чтобы выявить атаку или определить причиненный ущерб, вам необходимо анализировать события журнала в вашей сети в режиме реального времени. Собирая и анализируя журналы, вы можете понять, что происходит в вашей сети. Каждый файл журнала содержит много информации, которая может быть бесценной, особенно если вы знаете, как их читать и анализировать. При правильном анализе этих данных, позволяющих действовать, вы можете выявить попытки вторжения, неправильно настроенное оборудование и многое другое. Также для управления соответствием, особенно для PCI DSS, вам необходимо сохранять журналы и просматривать их.
Теперь я опишу пошаговые инструкции по использованию искусственного интеллекта, которые мы развернули для клиентов.
Итак, наше первое препятствие. Как сделать универсальную конструкцию для бревен?
Анализ журнала
Я не буду вдаваться в технические подробности, но основными бизнес-требованиями лог-парсеров были: -
- Разберите журнал на значимые атрибуты.
- если формат журнала не поддерживается, конвейер загрузки журнала должен быстро (примерно несколько часов - в зависимости от трафика неизвестных форматов журнала) преобразовать новый формат в существующие поддерживаемые форматы.
- Он должен поддерживать ведение журнала для конкретного предприятия вместе с глобальным механизмом.
L1 - Обнаружение на основе правил
Этот модуль должен поддерживать фильтрацию с помощью рукописных правил. Написанные от руки правила помогают отфильтровывать распространенные атаки в кибербезопасности, а также помогают нам поставить предприятие в цикл для разработки собственных наборов правил. Поскольку каждое предприятие имеет свой собственный набор правил маршрутизации, правил брандмауэра, политик управления изменениями и т. Д., Это было действительно важно. Чтобы включить все это, было действительно важно иметь глобальные и локальные наборы правил.
L2 - Обнаружение аномалии
Все, что остается незамеченным, проходит через обнаружение аномалий, которое не только каждый час предупреждает администратора SOC о том, что происходит в их инфраструктуре, но также сообщает, кто создает аномалии в вашей системе.
L3 - График атак
Журналы проанализированы, что теперь?
Чтобы расширить это, мы затем начали дополнительную работу по моделированию взаимодействия уязвимостей, имеющихся в системе, и конфигурации сети. Информация в Национальной базе данных уязвимостей (NVD), информация, извлеченная из конфигурации машины и сети, используется в качестве базовой информации для движка графа атак. Мы также стараемся фиксировать поведение операционной системы и взаимодействие различных компонентов в сети.
Входы:
Рекомендации: уязвимости, существующие на компьютере.
Конфигурация хоста: программное обеспечение и службы, работающие на хостах, и их конфигурации.
Конфигурация сети: конфигурации сетевых маршрутизаторов и брандмауэров.
Принципы: законные пользователи сети компании.
Взаимодействие: модель взаимодействия сетевых элементов.
Политика: разрешенная политика
Выше вы можете увидеть образец запуска движка графа атак в нашей учетной записи AWS, в котором показано, как злоумышленник может достичь каждой машины из-за уязвимостей, существующих в конфигурации предприятия и сети.
Вот полный снимок того, что мы сделали
Я знаю, что снимок графика сложно понять, поэтому в следующем посте я напишу технические подробности об этом, а также о визуализации Neo4J.
Хотите развернуть StegoSOC на своем предприятии? Посетите наш веб-сайт здесь и зарегистрируйтесь или напишите нам по адресу [email protected] | "Связаться с нами"
Команда AI: Прашант Гупта, Аюш Рай
Руководитель службы безопасности: Муниш Кумар
Продакт-лидер: Мир Аднан