Анализ событий информационной безопасности при помощи правил детектирования и корреляции в SIEM-системах пока остается одним из основных способов выявления вредоносной активности в ИТ инфраструктуре. На практике такой подход не всегда эффективен для обнаружения техник злоумышленников, связанных с большой вариативностью, так как создание и поддержание набора правил для всех известных процедур едва ли возможно.
Компания Angara Security разработала решение на базе нейронной сети, которое интегрируется с SIEM-системой. Сконструированная нейронная сеть состоит из комбинированных слоев, свойственных как сверточным сетям (Convolutional Neural Networks), так и рекуррентным (Recurrent Neural Networks). Разработанное решение стало лауреатом премии Digital Leaders Award 2024 года в номинации «Разработка года» в сфере информационной безопасности.
Решение позволяет дополнить классические методы анализа событий информационной безопасности и с высокой точностью определять вредоносную активность по характерным паттернам, выявленным ML-моделью. Такой подход в ряде сценариев расширяет перечень детектируемых процедур, а также помогает избежать необходимости писать отдельные правила детектирования для каждой новой утилиты или процедуры.
«ML-модели являются отличным вспомогательным инструментом в работе аналитиков, так как с одной стороны позволяют расширить возможности по детектированию активности злоумышленников, с другой – автоматизировать часть процессов и высвободить ресурсы для задач, требующих участия человека», − комментирует Артем Грибков, заместитель директора Angara SOC по развитию бизнеса.
В настоящее время ML-модель используется для трех сценариев. В первую очередь, для выявления PowerShell-скриптов, которые активно используются злоумышленниками при проведении атак. Эксперты Angara SOC отмечают, что существует большое количество инструментов на языке PowerShell, которые могут применяться как в составе ВПО, так и непосредственно злоумышленником при компрометации системы. PowerSploit, Empire, Nishang – это лишь малая часть общеизвестных коллекций подобных утилит для автоматизации действий злоумышленника, направленных на сбор информации, эксплуатацию уязвимостей, повышение привилегий и т.д. Кроме того, во многих организациях IT-службы используют и легитимные скрипты для автоматизации администрирования. Отличить легитимное от вредоносного иногда довольно сложно, а проанализировать миллионы скриптов для написания правил скорее невозможно».
Второй сценарий использования – это выявление DGA-доменов и DNS-туннелирования. Классические методы анализа DNS-имен часто сопряжены с большим количеством ложноположительных срабатываний. Также среди злоумышленников популярны инструменты, которые позволяют генерировать доменные имена, на первый взгляд очень похожие на легитимные, что фактически делает автоматическое выявление вредоносных DNS-имен невозможным. ML-решение позволяет эффективно справляться с этой задачей.
Третий сценарий – анализ журналов веб-серверов. Использование ML-модели возможно как дополнение к средствам класса WAF или в качестве альтернативы в системе эшелонированной защиты web-ресурсов.