Вышла новая версия Security Vision UEBA с расширенным набором ML-моделей

Вышла новая версия Security Vision UEBA с расширенным набором ML-моделей

Вышла новая версия Security Vision UEBA с расширенным набором ML-моделей

Продукт Security Vision UEBA автоматически выстраивает типовые модели поведения объектов инфраструктуры (пользователей, учетных записей, устройств, процессов и др.), анализируя сырые потоки данных (сетевой трафик, логи прокси-серверов, почтовых серверов, windows/linux серверов и рабочих станций и др.), выявляет отклонения и предоставляет гибкие инструменты по их анализу, расследованию и реагированию. Наиболее значимые обновления:

Anomaly Detection

Применение методов Anomaly Detection расширяет возможности выявления аномалий в корпоративной инфраструктуре, применяя большое количество разных моделей и методик Machine Learning, стекируя результаты отдельных моделей и объединяя полученные события в инциденты для дальнейшего расследования.

ML-модели

В новой версии Security Vision UEBA существенного расширен набор используемых ML-моделей. Применяются следующие модели:

  • «с учителем» для выявления похожих паттернов реальных атак (предобученные на различных атаках и вредоносных активностях (DDOS, botnet, C&C и др.)),
  • модели «без учителя» для нахождения аномалий среди сетевого трафика и событий с хостов, нейросети (в т.ч.  RNN),
  • модели для обнаружения мимикрирующих процессов
  • и др.

Важно отметить, что обработка всех моделей выполняется на инфраструктуре Заказчика без необходимости отправки каких-либо данных «в облако». За счет оптимизаций архитектуры и самих моделей требования к инфраструктуре минимизированы и не требуют специализированного оборудования.

Продукт позволяет проводить гибкую настройку всех параметров ML-моделей через UI, а также добавлять собственные модели.

Минимизация false-positive сработок

Особый упор сделан на оркестрации работы ML-моделей и минимизации false-positive (FP) сработок. Разработаны механизмы автоматического контроля работы и отключения моделей в случае большого количества сработок FP. Также Security Vision UEBA автоматически и регулярно переобучает модели на данных Заказчика для лучшей адаптации к инфраструктуре, потокам данных и их изменениям. Переобучаются также и модели «с учителем», где используемые датасеты типовых атак и вредоносных активностей автоматически объединяются и «растягиваются» на данные по инфраструктуре Заказчика, полученные из обработанных событий. Реализован автоматический подбор параметров модели: Security Vision UEBA в процессе обучения сама подбирает гиперпараметры для достижения лучшего результата сработок и минимизации количества FP.

Статистические методы дают возможность автоматически накапливать статистику по новым параметрам, объемным, частотным и количественным показателям по используемым хостам, процессам, командным строкам, именованным пайпам и многим другим характеристикам отдельно по каждому объекту наблюдения, что также существенно снижает уровень FP сработок и позволяет пользователю через UI гибко настраивать веса, добавлять или корректировать имеющиеся правила.

Правила корреляции

Расширен базовый набор правил корреляции, входящих в состав коробочного решения. Экспертами Security Vision были разработаны уникальные правила корреляции, позволяющие находить подозрительные действия в потоках сетевого трафика/потоков прокси серверов, а также выявлять подозрительные события на хостах. Данные алерты объединяются вместе со сработками движков статистики и ML, что в итоге позволяет собрать более полный анализ действий подозрительного объекта, учесть каждую сработку правила корреляции со своим уникальным весом (в зависимости от критичности), который будет суммирован с весом событий от других источников наблюдения и в случае превышения порогового значения может привести к созданию инцидента.

Также в Security Vision UEBA встроен полноценный редактор правил корреляции, используя который, можно настраивать правила любой глубины и сложности через UI продукта.  

Отображение объектов и сработок

Переработано отображение всех объектов и сработок для предоставления более полного и удобного функционала анализа и расследования полученных инцидентов: графы связей объектов, автоматическое обогащение данными из внешних и внутренних сервисов, drill-down до каждого связного объекта, исходные события по объекту с указанием источника и всех атрибутов, динамика поступления событий и др. В Security Vision UEBA встроены действия по базовому реагированию на полученные инциденты (например, с NGFW, active-листами и т.п.) или для отправки инцидентов в SOAR и SIEM системы.

Используя API продукта, можно гибко настраивать получение сработок по объектам, получать подозрительные события и алерты по каждому объекту (например, для обогащения этой информацией инцидентов в SOAR).

Расширение возможностей

Продукт Security Vision UEBA реализован на платформе Security Vision 5, что позволяет Заказчикам расширять его возможности, создавая как новые объекты наблюдения (включая их карточки, общие представления, процессы обработки и сценарии реагирования), корректировать или расширять процесс обработки выявленных сработок, создавать новые интеграции, корректировать и создавать дашборды и отчеты – все полностью через графические конструкторы, встроенные в UI продукта.

Selectel перевёл SelectOS на Debian 13 и подготовил ОС к сертификации ФСТЭК

Selectel представил новую версию собственной серверной операционной системы SelectOS 2.0. Обновление построено на пакетной базе Debian 13 с использованием ядра Linux 6.12.86. В компании заявляют, что в релизе переработали систему с учетом опыта эксплуатации предыдущих версий, а также требований, необходимых для сертификации во ФСТЭК России.

Одной из главных особенностей SelectOS 2.0 стала ориентация на привычную для администраторов экосистему Debian и Ubuntu. Это должно упростить переход на новую систему без изменения подходов к работе с пакетами, обновлениями и администрированием.

Разработчики также уделили внимание современному серверному оборудованию. По данным Selectel, система протестирована на совместимость с драйверами ведущих производителей графических ускорителей, поэтому ее можно использовать в инфраструктуре для задач машинного обучения и работы с ИИ-моделями.

В новой версии появился механизм управляемой цепочки поставок: пакеты распространяются через собственные репозитории с GPG-подписью, что позволяет контролировать их происхождение. Кроме того, дистрибутив ориентирован исключительно на серверное использование и не включает лишние десктопные компоненты, что сокращает потенциальную поверхность атаки.

Для специалистов по информационной безопасности предусмотрен отдельный канал получения обновлений безопасности. В компании отмечают, что это должно упростить контроль изменений и соответствие внутренним требованиям организаций.

SelectOS 2.0 доступна в нескольких вариантах: в виде ISO-образов для физических серверов и виртуальных машин, формата QCOW2 для облачных сред, а также контейнерных образов. Это позволяет использовать одну операционную систему в разных типах инфраструктуры.

Операционная система включена в Реестр российского программного обеспечения и уже доступна для использования на облачных и выделенных серверах Selectel.

RSS: Новости на портале Anti-Malware.ru