Вышли новые версии UEBA и Anomaly Detection на платформе Security Vision 5

Вышли новые версии UEBA и Anomaly Detection на платформе Security Vision 5

Вышли новые версии UEBA и Anomaly Detection на платформе Security Vision 5

Security Vision сообщает о выпуске новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5. Security Vision UEBA автоматически выстраивает типовые модели поведения (пользователей, учетных записей, устройств, процессов и др.) и находит отклонения, анализируя сырые потоки данных по сетевому трафику, прокси-серверов, почтовых серверов, Windows/Linux серверов и рабочих станций.

Security Vision Anomaly Detection расширяет возможности выявления аномалий в корпоративной инфраструктуре, применяя большое количество разных моделей и методик Machine Learning, стекируя результаты отдельных моделей и объединяя полученные события в инциденты для дальнейшего расследования.

Наиболее значимые возможности Security Vision UEBA:

Интеграция с источниками данных

Продукт Security Vision UEBA содержит настроенные коннекторы для получения, нормализации и анализа сырых данных от всех популярных SIEM систем (KUMA SIEM, MaxPatrol SIEM, Pangeo RADAR, RuSIEM, NEURODAT SIEM, ArcSight SIEM, QRadar, Splunk и др.), возможность получения событий в универсальных форматах (CEF, LEEF и др.), коннекторы к NGFW и сетевым устройствам (Cisco, CheckPoint, PaloAlto, Juniper и др.), прокси серверам (Squid, Blue Coat), «озерам данных» (Kafka, Elasticsearch), а также получение логов напрямую с Windows/Linux устройств и рабочих станций.

Встроенные в платформу конструкторы интеграций позволяют в режиме no-code быстро реализовывать дополнительные интеграции с любыми иными источниками данных по большому количеству протоколов, включая графический конструктор по нормализации получаемых данных.

Настраиваемые правила и аналитический движок

Пользователям доступно несколько десятков встроенных правил для статистического анализа различных параметров активностей пользователей, учетных записей, хостов, процессов, а также объемных показателей трафика, количества соединений и др. Функционал продукта позволяет гибко расширять и настраивать новые правила анализа, настраивать их активность, оценку и порог влияния на создание итогового инцидента.

Также в платформу встроен полноценный движок правил корреляции, используя который, можно настраивать правила любой глубины и сложности. Для примера в поставку продукта включены sigma-правила и типовые правила корреляции.

Инциденты и реагирование

Все выявленные отклонения автоматически объединяются относительно объекта сработки. При превышении заданных пороговых значений система генерирует инцидент, в котором отражена вся детальная информация об объекте инцидента, связанных объектах и всех выявленных аномальных событиях.

Для обработки инцидентов в продукте настроены автоматизированные действия: отправка в системы IRP/SOAR, отправка в SIEM, добавления в Active List’ы SIEM, добавление в листы блокировки на NGFV, блокировка в сервисе каталогов и др. Пользователь может настройками регулировать выполняемые действия: включать их выполнение автоматически или вручную, управлять их видимостью на карточке инцидента. Аналогичным образом можно управлять и оповещениями по инциденту.

Система автоматически создает отдельные объекты для всех связанных атрибутов инцидента (устройства, учетные записи и др.). По каждому объекту автоматически запускаются сбор и обогащения дополнительными данными из инфраструктуры заказчика или из внешних аналитических сервисов. Процесс сбора данных и обогащения регулируется настройками системы.

Для работы с выявленными инцидентами и связанными объектами в продукте реализованы встроенные рабочие процессы, которые управляют жизненным циклом инцидента, обогащениями, а также позволяют выполнять действия. Встроенный в платформу конструктор рабочих процессов позволяет пользователям кастомизировать необходимый процесс реагирования и настраивать взаимодействие с внешними системами.

В платформе доступны гибкие возможности по созданию и настройке дополнительных действий по реагированию, сбору и обогащению данными как полученного инцидента, так и всех связанных с ним объектов инфраструктуры заказчика или внешних систем.

Визуализация и отчетность

В карточке инцидента все выявленные события по объекту отображены в виде Timeline с соблюдением хронологии их возникновения. Большое количестве ссылок на связанные объекты (устройства, учетные записи, процессы и др.) позволяет переходить на их карточки для получения дополнительных данных и анализа.

Дополнительно все связанные объекты и атрибуты отображаются в виде графа, который позволяет выстроить связи между объектами инцидента и быстро перейти на детальную информацию по ним. Пользователь может добавлять дополнительные действия на графе для реагирования, обогащения данными или построения дополнительных связей.

Общие представления и дашборды позволяют посмотреть сводную информацию по всем выявленным объектам, в соответствии с рассчитанным рейтингом. Drill-down позволяет просмотреть детализацию по каждой группе анализа.

По каждому объекту в системе реализована возможность выгрузки отчетов, содержащих всю детальную информацию о выявленных сработках и объектах нарушений. Сводные отчеты за период могут быть выгружены вручную или получены по расписанию по различным каналам: по электронной почте, Telegram и др.

Конструктор отчетности и дашбордов, встроенный в платформу, позволяет пользователям самостоятельно настраивать требуемую отчетность и визуализацию данных в режиме no-code без использования каких-либо внешних продуктов и тулов.

Наиболее значимые возможности Security Vision Anomaly Detection:

В дополнение ко всем указанным выше возможностям пользователь получает большое количество преднастроенных и обученных моделей Machine Learning, которые существенно расширяют возможности по детекту аномальных и подозрительных действий в корпоративной инфраструктуре, не выявляемых правилами корреляции и функционалом стандартных СЗИ.

В продукте применяются различные методики ML, обученные модели на различных датасетах, связанных с активностью ботнетов, ВПО, DDOS атак и др., модели «без учителя», автоматически апроксимирующих активности и выявляющих отклонения по различным комбинациям параметров, нейросети, учитывающих последовательность событий и их взаимосвязи и др. Полученные в результате сработки автоматически обрабатываются, группируются в наборы событий, применяется дедупликация данных.

Применяемые в продукте модели автоматически регулярно переобучаются на данных заказчика, адаптируясь под настройки инфраструктуры, сетевую, техническую и пользовательскую активность. Используется как ручной, так и автоматический подбор параметров моделей для повышения качества выявляемых сработок.

В продукте встроены возможности применения «белых списков» для настройки исключений. Также модели автоматически учитывают сработки false-positive при последующем переобучении моделей.

DROIDBREAKER обходит ML-детекторы Android-вредоносов без поломки APK

Машинное обучение в антивирусах снова получило неприятный привет. Исследователи представили DROIDBREAKER — фреймворк для создания модифицированных Android-приложений, которые могут обходить ML-детекторы вредоносных приложений и при этом сохранять работоспособность.

Авторы работы отмечают, что многие прежние атаки на Android-детекторы выглядели красиво в статьях, но плохо жили в реальности.

Одни методы добавляли в APK целые доброкачественные модули, из-за чего приложение обрастало лишними признаками и часто ломалось еще на этапе сборки. Другие меняли байт-код слишком грубо: формально APK получался валидным, но нормально работать уже не мог.

Отдельная претензия исследователей была к проверке успешности таких атак. По их словам, в прошлых работах часто ограничивались тестами: приложение установилось, запустилось — значит, всё хорошо. Но это не доказывает, что после модификаций оно сохранило исходную функциональность.

 

DROIDBREAKER пытается решить именно эту проблему. Фреймворк меняет только те компоненты APK, которые сильнее всего влияют на решение целевой ML-модели. Для этого используются более точечные и безопасные манипуляции: изменение API-вызовов, модулей приложения, разрешений, URL и элементов обфускации.

Главная фишка — проверка сохранения поведения. DROIDBREAKER сравнивает журналы выполнения и API-трейсы исходного и измененного приложения, чтобы убедиться: APK не просто собрался и запустился, а действительно продолжает делать то, что должен.

В экспериментах на свежем наборе Android-приложений фреймворк показал высокую эффективность обхода как в сценариях white-box, так и в black-box. При этом ему требовалось относительно мало запросов к модели, а побочных изменений в приложении было меньше, чем у прежних подходов.

Более того, модифицированные APK заметно реже детектировались коммерческими сканерами, представленными на VirusTotal.

RSS: Новости на портале Anti-Malware.ru