Этот пост о том, как мы пытаемся автоматизировать обнаружение угроз для предприятия, будь то общедоступное, частное или гибридное облако.

Обнаружение угроз в реальном времени является обязательным условием GDPR и других киберзаконов. Обнаружение угроз всегда было дорогостоящим решением. Для реализации решения требуется CSO и аналитик по безопасности.

StegoSOC сокращает время на обнаружение угроз за 1/10 стоимости общедоступных облаков с помощью искусственного интеллекта и облачных технологий.

Немного предыстории
Безопасность имеет первостепенное значение для любой организации, где производственные серверы развернуты в собственной корпоративной инфраструктуре или в облаке. Из-за непрекращающегося развития уязвимостей программного обеспечения, неправильно настроенных устройств в сети и уязвимостей программного обеспечения, которые уже присутствуют на устройствах в сети, предприятие всегда находится под серьезным риском вторжения в результате атаки как изнутри, так и за пределами сети организации. Эти злоумышленники обладают высокой квалификацией, имеют злонамеренные намерения и могут вызывать различные виды эксплойтов, ведущих к атакам, нацеленным на критически важные ресурсы, или нарушению целостности важной информации, содержащейся в активах в сети, что может повлиять на основные бизнес-решения компании.

Что мы сделали?

Обобщить

Мы начали с журналов в качестве входных данных, поскольку приложение - это то, что в основном выставлено. Но, как все мы знаем, журналы не структурированы в зависимости от приложений, которые вы используете, и механизма ведения журналов. Вдобавок к этому всегда существует постоянно увеличивающийся список инструментов / приложений, каждый раз развертываемых на серверах с различной структурой.

Как правильно цитирует thehackernews здесь

Сама цель ИТ-безопасности - быть проактивной, и вышеупомянутые меры затрудняют работу тех, кто пытается взломать сеть. Этого может быть недостаточно, и вам необходимо обнаруживать фактические нарушения по мере их попытки. Здесь действительно помогают данные журнала.

Чтобы выявить атаку или определить причиненный ущерб, вам необходимо анализировать события журнала в вашей сети в режиме реального времени. Собирая и анализируя журналы, вы можете понять, что происходит в вашей сети. Каждый файл журнала содержит много информации, которая может быть бесценной, особенно если вы знаете, как их читать и анализировать. При правильном анализе этих данных, позволяющих действовать, вы можете выявить попытки вторжения, неправильно настроенное оборудование и многое другое. Также для управления соответствием, особенно для PCI DSS, вам необходимо сохранять журналы и просматривать их.

Теперь я опишу пошаговые инструкции по использованию искусственного интеллекта, которые мы развернули для клиентов.

Итак, наше первое препятствие. Как сделать универсальную конструкцию для бревен?

Анализ журнала

Я не буду вдаваться в технические подробности, но основными бизнес-требованиями лог-парсеров были: -

  1. Разберите журнал на значимые атрибуты.
  2. если формат журнала не поддерживается, конвейер загрузки журнала должен быстро (примерно несколько часов - в зависимости от трафика неизвестных форматов журнала) преобразовать новый формат в существующие поддерживаемые форматы.
  3. Он должен поддерживать ведение журнала для конкретного предприятия вместе с глобальным механизмом.

L1 - Обнаружение на основе правил

Этот модуль должен поддерживать фильтрацию с помощью рукописных правил. Написанные от руки правила помогают отфильтровывать распространенные атаки в кибербезопасности, а также помогают нам поставить предприятие в цикл для разработки собственных наборов правил. Поскольку каждое предприятие имеет свой собственный набор правил маршрутизации, правил брандмауэра, политик управления изменениями и т. Д., Это было действительно важно. Чтобы включить все это, было действительно важно иметь глобальные и локальные наборы правил.

L2 - Обнаружение аномалии

Все, что остается незамеченным, проходит через обнаружение аномалий, которое не только каждый час предупреждает администратора SOC о том, что происходит в их инфраструктуре, но также сообщает, кто создает аномалии в вашей системе.

L3 - График атак

Журналы проанализированы, что теперь?

Чтобы расширить это, мы затем начали дополнительную работу по моделированию взаимодействия уязвимостей, имеющихся в системе, и конфигурации сети. Информация в Национальной базе данных уязвимостей (NVD), информация, извлеченная из конфигурации машины и сети, используется в качестве базовой информации для движка графа атак. Мы также стараемся фиксировать поведение операционной системы и взаимодействие различных компонентов в сети.

Входы:

Рекомендации: уязвимости, существующие на компьютере.

Конфигурация хоста: программное обеспечение и службы, работающие на хостах, и их конфигурации.

Конфигурация сети: конфигурации сетевых маршрутизаторов и брандмауэров.

Принципы: законные пользователи сети компании.

Взаимодействие: модель взаимодействия сетевых элементов.

Политика: разрешенная политика

Выше вы можете увидеть образец запуска движка графа атак в нашей учетной записи AWS, в котором показано, как злоумышленник может достичь каждой машины из-за уязвимостей, существующих в конфигурации предприятия и сети.

Вот полный снимок того, что мы сделали

Я знаю, что снимок графика сложно понять, поэтому в следующем посте я напишу технические подробности об этом, а также о визуализации Neo4J.

Хотите развернуть StegoSOC на своем предприятии? Посетите наш веб-сайт здесь и зарегистрируйтесь или напишите нам по адресу [email protected] | "Связаться с нами"

Команда AI: Прашант Гупта, Аюш Рай

Руководитель службы безопасности: Муниш Кумар

Продакт-лидер: Мир Аднан