Вышла новая версия Security Vision UEBA с расширенным набором ML-моделей

Вышла новая версия Security Vision UEBA с расширенным набором ML-моделей

Вышла новая версия Security Vision UEBA с расширенным набором ML-моделей

Продукт Security Vision UEBA автоматически выстраивает типовые модели поведения объектов инфраструктуры (пользователей, учетных записей, устройств, процессов и др.), анализируя сырые потоки данных (сетевой трафик, логи прокси-серверов, почтовых серверов, windows/linux серверов и рабочих станций и др.), выявляет отклонения и предоставляет гибкие инструменты по их анализу, расследованию и реагированию. Наиболее значимые обновления:

Anomaly Detection

Применение методов Anomaly Detection расширяет возможности выявления аномалий в корпоративной инфраструктуре, применяя большое количество разных моделей и методик Machine Learning, стекируя результаты отдельных моделей и объединяя полученные события в инциденты для дальнейшего расследования.

ML-модели

В новой версии Security Vision UEBA существенного расширен набор используемых ML-моделей. Применяются следующие модели:

  • «с учителем» для выявления похожих паттернов реальных атак (предобученные на различных атаках и вредоносных активностях (DDOS, botnet, C&C и др.)),
  • модели «без учителя» для нахождения аномалий среди сетевого трафика и событий с хостов, нейросети (в т.ч.  RNN),
  • модели для обнаружения мимикрирующих процессов
  • и др.

Важно отметить, что обработка всех моделей выполняется на инфраструктуре Заказчика без необходимости отправки каких-либо данных «в облако». За счет оптимизаций архитектуры и самих моделей требования к инфраструктуре минимизированы и не требуют специализированного оборудования.

Продукт позволяет проводить гибкую настройку всех параметров ML-моделей через UI, а также добавлять собственные модели.

Минимизация false-positive сработок

Особый упор сделан на оркестрации работы ML-моделей и минимизации false-positive (FP) сработок. Разработаны механизмы автоматического контроля работы и отключения моделей в случае большого количества сработок FP. Также Security Vision UEBA автоматически и регулярно переобучает модели на данных Заказчика для лучшей адаптации к инфраструктуре, потокам данных и их изменениям. Переобучаются также и модели «с учителем», где используемые датасеты типовых атак и вредоносных активностей автоматически объединяются и «растягиваются» на данные по инфраструктуре Заказчика, полученные из обработанных событий. Реализован автоматический подбор параметров модели: Security Vision UEBA в процессе обучения сама подбирает гиперпараметры для достижения лучшего результата сработок и минимизации количества FP.

Статистические методы дают возможность автоматически накапливать статистику по новым параметрам, объемным, частотным и количественным показателям по используемым хостам, процессам, командным строкам, именованным пайпам и многим другим характеристикам отдельно по каждому объекту наблюдения, что также существенно снижает уровень FP сработок и позволяет пользователю через UI гибко настраивать веса, добавлять или корректировать имеющиеся правила.

Правила корреляции

Расширен базовый набор правил корреляции, входящих в состав коробочного решения. Экспертами Security Vision были разработаны уникальные правила корреляции, позволяющие находить подозрительные действия в потоках сетевого трафика/потоков прокси серверов, а также выявлять подозрительные события на хостах. Данные алерты объединяются вместе со сработками движков статистики и ML, что в итоге позволяет собрать более полный анализ действий подозрительного объекта, учесть каждую сработку правила корреляции со своим уникальным весом (в зависимости от критичности), который будет суммирован с весом событий от других источников наблюдения и в случае превышения порогового значения может привести к созданию инцидента.

Также в Security Vision UEBA встроен полноценный редактор правил корреляции, используя который, можно настраивать правила любой глубины и сложности через UI продукта.  

Отображение объектов и сработок

Переработано отображение всех объектов и сработок для предоставления более полного и удобного функционала анализа и расследования полученных инцидентов: графы связей объектов, автоматическое обогащение данными из внешних и внутренних сервисов, drill-down до каждого связного объекта, исходные события по объекту с указанием источника и всех атрибутов, динамика поступления событий и др. В Security Vision UEBA встроены действия по базовому реагированию на полученные инциденты (например, с NGFW, active-листами и т.п.) или для отправки инцидентов в SOAR и SIEM системы.

Используя API продукта, можно гибко настраивать получение сработок по объектам, получать подозрительные события и алерты по каждому объекту (например, для обогащения этой информацией инцидентов в SOAR).

Расширение возможностей

Продукт Security Vision UEBA реализован на платформе Security Vision 5, что позволяет Заказчикам расширять его возможности, создавая как новые объекты наблюдения (включая их карточки, общие представления, процессы обработки и сценарии реагирования), корректировать или расширять процесс обработки выявленных сработок, создавать новые интеграции, корректировать и создавать дашборды и отчеты – все полностью через графические конструкторы, встроенные в UI продукта.

iPhone 18 Pro засветился в даркнете раньше презентации Apple

Киберпреступная группировка, специализирующаяся на распространении программ-вымогателей, опубликовала в даркнете более 200 тысяч файлов, предположительно похищенных у индийской компании Tata Electronics — одного из партнеров Apple по сборке iPhone и поставке компонентов.

Как сообщает Reuters, в Tata Electronics подтвердили инцидент, затронувший часть корпоративных систем. При этом сама Apple пока официально не комментировала содержание утечки.

По данным источников, среди опубликованных материалов оказались сведения о компонентах iPhone 18 Pro, их поставщиках, а также фотографии устройств. Если информация подтвердится, конкуренты и производители контрафакта смогут заранее узнать детали будущего смартфона, официальная презентация которого ожидается только в сентябре.

 

Эксперты отмечают, что подобные атаки на цепочки поставок становятся все более опасными. Вместо прямого взлома самой Apple злоумышленники атакуют подрядчиков, уровень защиты которых зачастую оказывается ниже.

По мнению генерального директора компании «РуБэкап» (входит в «Группу Астра») Андрея Кузнецова, полностью исключить риск подобных инцидентов невозможно.

«100% гарантию защиты от подобных атак, наверное, не даст никто. Но снизить последствия таких утечек вполне возможно с помощью систем резервного копирования», — отметил эксперт.

По его словам, резервные копии позволяют быстрее восстановить рабочие системы после атаки, проверить целостность данных, вернуть документы к состоянию до компрометации и снизить риск шантажа, если злоумышленники пытаются удалить или зашифровать корпоративную информацию.

RSS: Новости на портале Anti-Malware.ru