Обзор новых возможностей программного комплекса Ankey ASAP 1.0.5 - Выбор корпоративных средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Обзор новых возможностей программного комплекса Ankey ASAP 1.0.5

Автор AM_Bot, в Выбор корпоративных средств защиты

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано
Обзор новых возможностей программного комплекса Ankey ASAP 1.0.5
Ankey ASAP (Advanced Security Analytics Platform) предназначен для углублённого изучения событий по информационной безопасности с функциями поведенческого анализа. Программный комплекс получает данные от СЗИ и информационных систем, формирует контент для помощи в расследовании киберинцидентов и анализирует поведение пользователей и компонентов корпоративной сети. У продукта появились новые возможности, расскажем о них.    ВведениеИнтерфейс Ankey ASAPМодуль UEBA3.1. Анализатор терминальных команд3.2. Анализатор первых действий3.3. Анализатор базовой линии3.4. Работа анализаторов в действии3.5. Возможности по разработке собственного UEBA-контентаВыводыВведениеУвеличивающиеся риски целевых атак, новые требования регуляторов вместе с уходом иностранных вендоров с российского рынка заставили отечественные компании существенно пересмотреть подход к существующим внутри организаций средствам и методам обеспечения информационной безопасности. Не менее острой за прошедший год стала проблема определения и предотвращения инсайдерских атак. В некоторых случаях детектировать их имеющимися СЗИ представляется почти невозможным, так как во многих случаях это требует детального анализа пользовательского поведения внутри корпоративной сети, что, несомненно, влечёт за собой значительное увеличение затрат на обеспечение ИБ в организации. Одним из возможных решений проблемы можно назвать внедрение системы поведенческого анализа пользователей (UEBA).Ankey ASAP — программный комплекс, являющийся аналитической платформой кибербезопасности с функциями поведенческого анализа. Основываясь на данных, которые поставляются в систему в нормализованном виде из SIEM и иных средств защиты информации, Ankey ASAP анализирует поведение различных пользователей, устройств, других систем корпоративной сети с целью выявить признаки потенциальных киберугроз и целевых атак, а также злонамеренных действий инсайдеров. С момента последней публикации на Anti-Malware.ru статьи об Ankey ASAP платформа была комплексно переработана: от интерфейса до функциональных решений. Рассмотрим подробнее эти изменения.Интерфейс Ankey ASAPUX- / UI-дизайн системы претерпел комплексный рефакторинг, начиная от страницы аутентификации и заканчивая панелью визуализации инцидентов. Минимизация рабочей нагрузки на операторов системы (администраторов ИБ, аналитиков) путём частичного перекладывания ряда рабочих задач на платформу является одним из главных принципов при разработке системы. В этом Ankey ASAP помогают расширенные средства визуализации, навигации и работы со внутренним контентом. Рисунок 1. Панель визуализации инцидентов Удобная навигация между карточками позволяет легко ориентироваться во всех активах, а также связанных с инцидентами событиях. Система способна получать скоррелированные события изо внешних систем типа SIEM и выявлять ИБ-инциденты, происходящие в корпоративной сети, на основе алгоритмов поведенческого анализа. Благодаря средствам расширенной визуализации и обновлённым виджетам оператор платформы может выделить для себя наиболее значимые объекты анализа. В определении наиболее значимых инцидентов ему призваны помочь система гибкого скоринга и тесно связанная с ней система генерации уведомлений. Не стоит забывать и о постоянно растущем списке поддерживаемых системой источников.Модуль UEBAБыла существенно переработана функциональная часть Ankey ASAP. Изменения коснулись как отдельных компонентов архитектуры проекта, так и принципов работы ряда анализаторов, входящих в технологический блок UEBA-системы. О действующей функциональности этих анализаторов и пойдёт речь далее в статье. Рисунок 2. Подробные сведения об инцидентах Анализатор терминальных командЗа детектирование аномального поведения объектов наблюдения в Ankey ASAP отвечает ряд анализаторов, разделяемых по функциональному назначению. Одним из них является анализатор терминальных команд, призванный в первую очередь детектировать попытки реализации атак типа «Living-off-the-Land», то есть выявлять выполнение деструктивных терминальных команд при использовании легитимных или встроенных системных утилит (CMD, PowerShell, netcat и другие). На вход анализатора подаются события запуска процесса, а он по обученной заранее модели проводит классификацию: похоже это на LotL-атаку или нет. Рисунок 3. Принцип работы анализатора терминальных команд При сравнении методов работы существующих решений по безопасности следует особо отметить, что детектировать LotL-атаки возможно также и сигнатурными методами, однако там основой служат константные выражения в терминальных командах. Иначе говоря, для детектирования с помощью SIEM LotL-атаки с применением netcat необходимо, чтобы введённая команда содержала «nc» и некоторые определённые флаги. Переименовываем «netcat» в «моя секретная программа» — правила SIEM перестают работать; в ASAP же модель для классификации лишь немного потеряет в степени уверенности, что применяется именно netcat. Она также вынесет вердикт по оставшейся информации — например, по тем же самым флагам, которые были переданы в качестве аргументов.Анализатор первых действийГоворя о сигнатурных методах определения злонамеренной пользовательской активности, стоит также упомянуть, что рассматриваемые решения обычно позволяют детектировать уже реализованную угрозу. Однако одной из основных задач системы поведенческой аналитики является определение и пресечение потенциальной угрозы на более ранних этапах киберцепочки угроз (Cyber Kill Chain). Частично за выполнение этой задачи в Ankey ASAP отвечает анализатор первых действий сущностей. Внутренний контент платформы содержит в себе уже описанные аналитиками триггеры первых пользовательских действий, которые по всем своим признакам могут соответствовать легитимной модели поведения, однако их нетипичность применительно к определённым временным промежуткам свидетельствует об определённой степени «аномальности» подобного поведения.Такими триггерами могут быть:первое переключение пользователя в «root»;подключение к ИС нового съёмного носителя;обращение изо внутренней сети к новому внешнему хосту и др.Такие события вызывают в системе значительное изменение скоринга карточки анализируемого актива. Обо всех резких изменениях скоринга, а также о превышении определённого «безопасного» порога система сигнализирует соответствующими уведомлениями на информационной панели, что помогает оператору платформы своевременно реагировать и детектировать нетипичное для пользователя поведение.Анализатор базовой линииНа основе множества показателей, к которым относятся как собственное типичное поведение (например, учёт рабочего времени, проводимого конкретным пользователем за рабочим местом), так и признаки свойственные определённым группам сущностей (администратор, внешний нарушитель, вредоносные программы), анализатор формирует так называемые профили поведения для каждого объекта анализа. Так, любое отклонение поведения объекта от базового будет вызывать рост его скоринга в соответствии с описанной для данного сценария моделью.Анализатор позволяет предотвращать и детектировать инциденты в информационной безопасности, основываясь, например, на:нетипичном времени входа в систему;нетипичных операциях с сетевыми папками;нетипичных действиях по управлению политиками и др.Работа анализаторов в действииДля наглядности описания продемонстрируем работу анализаторов в одном из возможных сценариев. Находясь в разделе «Мониторинг» или «Инциденты», оператор платформы обнаруживает созданный системой инцидент о превышении скоринга для учётной записи «barbar». Рисунок 4. Раздел «Инциденты» в Ankey ASAP Перейдя к самой карточке учётной записи и установив фильтр по датам на интересующий нас временной промежуток, видим зафиксированные сигналы об аномальном поведении учётной записи, а также о начислении скоринга по каждому из них. Рисунок 5. Карточка инспектируемой учётной записи Обратимся к началу списка уведомлений, зарегистрированных для данной учётной записи. Рисунок 6. Список сгенерированных уведомлений для учётной записи Анализатор базовой линии фиксирует вход в нетипичное для данного пользователя время, о чём свидетельствует соответствующий сигнал. Затем уже следующий анализатор (первых действий) фиксирует просмотр и копирование содержимого сетевых папок, с которыми прежде пользователь не взаимодействовал. Уже на данном этапе система создаёт инцидент о резком росте скоринга в сутки (выше допустимых 100 баллов). Рисунок 7. Результат работы анализатора первых действий Двигаемся дальше: видим сгенерированное уведомление о попытке отправки архива через электронную почту. Инцидент, поступивший из SIEM, свидетельствует о том, что это действие было зарегистрировано DLP-системой, вследствие чего произошла блокировка отправки данных. Затем система отмечает подключение USB-накопителя, совершаемое впервые. Следующая за ним попытка копирования данных на съёмный носитель также зарегистрирована и блокирована DLP-системой. Больше никаких инцидентов от SIEM не поступало, поэтому можно посчитать, что отправка данных была успешно заблокирована.Однако, обращаясь к следующим сигналам, можно увидеть результат работы анализатора базовой линии: пользователь скопировал нетипичное для себя количество данных. Рисунок 8. Результат работы анализатора базовой линии Сразу за ним следует уведомление от анализатора терминальных команд. Видим, что пользователь всё же отправил данные во внешний репозиторий в обход DLP-защиты, применяя низкоуровневые механизмы взаимодействия (в данном случае — при помощи утилиты datasvcutil). DLP-система не регистрирует это событие, так как используемая утилита является штатной, что в данной ситуации эквивалентно «легитимной». Поскольку каждый сгенерированный системой сигнал вызывал своим появлением увеличение скоринга пользователя, Ankey ASAP создаёт инцидент по превышению скоринга, с чего и начинается расследование.Таким образом, в примерах из этого сценария мы можем разглядеть поведение типичного инсайдера. Анализируя события и инциденты в области безопасности раздельно, администратор ИБ может не получить полноценной картины проводимой атаки, особенно в тех случаях, когда злонамеренные действия пользователя сильно размыты во времени. Ситуация может быть осложнена тем, что некоторые СЗИ, использующие в своей работе сигнатурные методы обнаружения, порой упускают важный контекст из обрабатываемой информации, как, например, в описанном выше методе реализации LotL-атаки. Используемые в Ankey ASAP технологии машинного обучения, возможность подключения различных источников, аккумулирующий эффект скоринга способны значительно снизить подобные риски.Возможности по разработке собственного UEBA-контентаОтдельное внимание разработчики уделили созданию собственного внутреннего контента для платформы. Её функциональность может расширяться со стороны не только разработчика системы, но и пользователей. Для просмотра и редактирования существующего контента в платформе используется внутренний редактор конфигурационных правил. При необходимости администратор может править существующие модели, поставляемые вместе с платформой, а также на основе уже имеющихся создавать свои собственные. В этом разработчику контента способен помочь набор внутренних функций, используемых анализаторами. Все доступные функции подробно описаны в эксплуатационной документации.ВыводыИспользование платформ наподобие Ankey ASAP администраторами или аналитиками по ИБ способно значительно оптимизировать их рабочие процессы. Ankey ASAP помогает администратору выявлять аномальные или вредоносные действия пользователей или устройств: платформа может быть как инструментом активного мониторинга защищённости сети, так и конечной точкой аккумуляции всех сведений, которые необходимы для проведения расследований.В настоящее время активно ведётся работа по расширению уже имеющейся функциональности Ankey ASAP. Из планов на ближайшее будущее стоит выделить:поддержку новых источников данных, в частности — программного комплекса для мониторинга рабочего времени сотрудников StaffCop (ООО «Атом Безопасность»);расширение библиотеки анализаторов поведения;расширение имеющейся библиотеки виджетов панели мониторинга;реализацию отдельного дашборда по матрице MITRE ATT&CK;интеграцию с продуктами ООО «Газинформсервис» (линеек Ankey и Efros).Авторы:Андрей Шабалин, аналитик ИБ, компания «Газинформсервис»Расул Манкаев, инженер-аналитик, компания «Газинформсервис»

Читать далее

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Выбор корпоративных средств защиты

  • Сообщения

    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      нет
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      И ещё это: https://www.comss.ru/page.php?id=18330 Это и на работе Образов с Live CD может сказаться ?
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Тема: https://www.comss.ru/page.php?id=18331    " Ошибка проявляется в том, что при закрытии окна программы с помощью кнопки Закрыть (X) процесс taskmgr.exe не завершается полностью. При повторном открытии Диспетчера задач предыдущий экземпляр продолжает работать в фоне, хотя окно не отображается. В результате со временем накапливаются несколько процессов, что приводит к избыточному потреблению ресурсов системы и снижению производительности... " и это натолкнуло на мыслю. Раз есть такая проблема с taskmgr - то это может повториться с "любой" другой программой... т.е. можно? Реализовать команды: " Обнаружить и завершить все нетипично активные экземпляры Системных процессов\программ".  и " Обнаружить и завершить все нетипично активные экземпляры не Системных...". Такое может быть и с браузерами - например Firefox - если есть две версии программы установленные в разные каталоги и пользователь их запускает - часто бывает неполное завершение. тогда жрёт всё и вся...  
    • Ego Dekker
      ESET усиливает защиту домашних устройств и малого бизнеса от онлайн-мошенничества

      От Ego Dekker · Опубликовано

      Компания ESET (/исэ́т/) ― лидер в области информационной безопасности ― сообщает об обновлении ESET HOME Security Essential и ESET HOME Security Premium, комплексных подписок для защиты устройств домашних пользователей, и ESET Small Business Security, решения для малого бизнеса.

      Среди новинок ― функция восстановления после атак программ-вымогателей, мониторинг микрофона и улучшения безопасности при просмотре веб-сайтов, а также VPN, который предотвращает нежелательное отслеживание, обеспечивая неограниченный доступ к онлайн-контенту. Поскольку мошенничество сегодня является глобальной угрозой для всех пользователей, ESET обеспечивает усовершенствованную защиту от различных мошеннических методов, противодействуя атакам из разных типов источников, включая SMS-сообщения, электронную почту, телефонные звонки, URL-адреса, QR-коды, вредоносные файлы и другие.

      Обновленная платформа ESET HOME также упрощает управление безопасностью, что облегчает пользователям защиту своих семей, а владельцам малого бизнеса позволяет точно отслеживать защищенные устройства, а также устанавливать программы безопасности на все устройства благодаря доступному и понятному интерфейсу. 

      «Как поставщик передовых решений для защиты цифровой жизни, ESET тщательно отслеживает текущую ситуацию с угрозами и соответственно разрабатывает свои решения по кибербезопасности, ― комментирует вице-президент ESET в сегменте домашних пользователей и Интернета вещей. ― Усиленная защита от мошенничества, новая функция восстановления после атак программ-вымогателей и многочисленные усовершенствования безопасности конфиденциальных данных делают продукты ESET для домашних пользователей и малых предприятий мощными комплексными решениями, которые сочетают минимальное влияние на продуктивность и простоту в использовании».

      Решения для домашних устройств и малого бизнеса защищают все основные операционные системы ― Windows, macOS, Android ― и поддерживают разные устройства умного дома. Кроме того, ESET Small Business Security также защищает серверы Windows.

      Основные улучшения для пользователей Windows:

      •    Добавлен VPN (теперь доступно в подписке ESET HOME Security Premium): функция защитит сетевое подключение благодаря анонимному IP-адресу, а безлимитная пропускная способность обеспечит неограниченный доступ к онлайн-контенту. Кроме Windows, VPN также доступен пользователям MacOS, Android и iOS.

      •    Усилена защита конфиденциальных данных (доступно в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security): новый мониторинг микрофона обнаруживает и уведомляет пользователей о несанкционированных попытках доступа к микрофону на устройствах Windows.

      •    Улучшена безопасность при использовании браузера (доступно в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security) для защиты от фишинга, мошенничества и вредоносных веб-сайтов. Эта функция сканирует воспроизводимый HTML-код в браузере, чтобы обнаружить вредоносное содержимое, которое не фиксируется на уровне сети и с помощью «черного» списка URL.

      •    Добавлено восстановление после атак программ-вымогателей (доступно в решении ESET Small Business Security): первоначально разработанная для крупного бизнеса, функция позволяет минимизировать ущерб, вызванный этими угрозами. Как только защита от программ-вымогателей выявляет потенциальную угрозу, функция восстановления после атак немедленно создает резервные копии файлов, а после устранения опасности восстанавливает файлы, эффективно возвращая систему в прежнее состояние. Основные улучшения для пользователей macOS (доступны в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security):

      •    Поддержка macOS 26 (Tahoe) позволяет использовать защиту на текущей версии macOS.

      •    Поддержка HTTPS & HTTP/3 улучшает безопасность пользователей в Интернете.

      •    Управление устройствами контролирует внешние устройства, подключенные к Mac. Функция помогает защитить от вредоносного программного обеспечения и несанкционированной передачи данных, ограничивая доступ к определенным типам или даже отдельным устройствам. Следует отметить, что эти усовершенствования помогут противодействовать постоянно совершенствующимся угрозам с особым акцентом на предотвращение. Компания ESET также считает чрезвычайно важным сочетание кибергигиены с удобной защитой, поскольку действительно эффективная кибербезопасность должна быть простой в настройке и управлении.

      Более подробная информация о многоуровневой защите устройств домашних пользователей и решении для малого бизнеса. Пресс-выпуск.
    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      ESET NOD32 Antivirus 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Internet Security 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Smart Security Premium 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Security Ultimate 19.0.11  (Windows 10/11, 64-разрядная)
                                                                                  ● ● ● ●
              Руководство пользователя ESET NOD32 Antivirus 19  (PDF-файл)
              Руководство пользователя ESET Internet Security 19  (PDF-файл)
              Руководство пользователя ESET Smart Security Premium 19  (PDF-файл)
              Руководство пользователя ESET Security Ultimate 19  (PDF-файл)
              
      Полезные ссылки:
      Технологии ESET
      ESET Online Scanner
      Удаление антивирусов других компаний
      Как удалить антивирус 19-й версии полностью?
×