Автономное расследование инцидентов для SOC с помощью решений SecBI

Автономное расследование инцидентов для SOC с помощью решений SecBI

На российский рынок выходит новая компания SecBI, израильский разработчик продуктов для повышения эффективности работы SOC. Решения компании автоматизируют работу аналитиков первого и второго уровня, что позволяет ускорить детектирование инцидентов и повысить полноту выявления зараженных хостов в сети заказчика. Первое знакомство с вендором и его разработками — в обзорном материале от отечественного дистрибьютора Тайгер Оптикс.

 

 

 

  1. Введение
  2. Особенности решения
  3. Ключевые возможности SecBI
  4. Варианты использования SecBI
  5. Выводы

 

Введение

Задача эффективного анализа потока из миллиардов событий безопасности и алертов становится сложнее с каждым днем. Аналитикам SOC первого и второго уровня приходится бороться со множеством ложных срабатываний, в то время как аналитики третьего уровня и хантеры до сих пор не имеют адекватных инструментов, которые позволили бы получить результат в приемлемые сроки.

Кроме того, «слепые зоны» детектирующих средств защиты информации приводят к тому, что инцидент может быть полностью пропущен, или же не удастся выявить его истинный масштаб. Результатом является неполное устранение угроз и их длительная вредоносная активность в корпоративных сетях.

Корректным подходом представляется немедленное и комплексное реагирование, которое позволит избежать серьёзного ущерба для активов организации. Большинство ответных мер в SOC могут и должны быть автоматизированы, что экономит время и повышает производительность работы аналитиков. Одним из средств такой автоматизации является решение SecBI с использованием технологий машинного обучения.

 

Особенности решения

Технология расследований SecBI основана на применении автономного и неавтономного машинного обучения для анализа сетевого трафика и обнаружения комплексных и скрытных угроз. Система оперативно выявляет полный масштаб атаки, что ускоряет детекцию, повышает эффективность хантинга, а также оптимизирует реагирование и устранение последствий атаки.

Аналитики SOC получают подробный таймлайн атаки с указанием всех мест заражения. Визуализация сценария обнаруженной атаки предоставляет аналитикам варианты дальнейших шагов, включая блокирование вредоносных хостов, участвующих в текущем инциденте, а также возможность автоматизации ответных действий в будущих схожих атаках.

В процессе работы SecBI идентифицирует вредоносный̆ кластер, состоящий из внутренних и внешних хостов, и использует данные киберразведки для независимого подтверждения детектированного поведения, что ускоряет выявление угроз и снижает число ложных срабатываний.

 

Рисунок 1. Панель управления

 Панель управления

 

В отличие от традиционных технологий анализа сетевого трафика, решение SecBI позволяет использовать существующие источники сетевых журналов и не требует установки дополнительных программных или аппаратных средств. Это ускоряет внедрение и снижает стоимость владения системой. Решение также не требует длительного периода инсталляции.

Кроме того, в отличие от технологий UEBA, которые ищут отклонения от определенных паттернов поведения, SecBI применяет технологии спонтанного машинного обучения для самостоятельного выявления инцидентов без предварительного знания о том, что именно нужно искать или как выглядит «нормальное» поведение. Благодаря этому результаты работы решения доступны практически сразу после внедрения без длительного периода обучения, присущего решениям UEBA. 

 

Рисунок 2. Процесс работы SecBI

 Процесс работы SecBI

 

Ключевые возможности SecBI

SecBI выявляет и объединяет в кластеры как внутренние (например, пользователей и устройства), так и внешние сущности (например, домены, IP-адреса, C2-серверы, точки сбора данных), которые коммуницируют во взломанной сети. Выявление вредоносного кластера (а не отдельных аномалий или единичных событий) позволяет быстрее и полнее обнаружить атаку. Из потока разрозненных алертов SecBI создает приоритезированный сценарий произошедшей атаки, что облегчает анализ, проведение расследования и устранение последствий инцидента.

Также SecBI анализирует сетевой трафик, полученный с имеющейся сетевой инфраструктуры, что позволяет выявлять угрозы и применять данные киберразведки, обеспечивая мониторинг вне зависимости от наличия шифрования. Использование метаданных вместо сетевых пакетов позволяет SecBI проводить глубокий анализ без нарушения требований защиты личных или конфиденциальных данных.

 

Рисунок 3. Архитектура SecBI 

 Архитектура SecBI

 

Несмотря на логичность желания автоматизировать ответные меры после выявления угрозы, на рынке практически отсутствуют решения, которые реализовали бы этот принцип. В отличие от продуктов, работающих на основе автоматизированных плейбуков и подверженных частым ложным срабатываниям, SecBI повышает эффективность за счет автоматизации действий и собственной технологии детектирования угроз на основе спонтанного машинного обучения.

Широкий набор готовых автоматизированных процессов и плейбуков позволяет автоматически выявлять настоящий масштаб инцидента и гибко добавлять необходимые действия по реагированию на различных шагах процесса. Возможность добавлять коннекторы к различным средствам защиты информации расширяет функционал платформы по формированию сложных процессов работы с инцидентами.

 

Варианты использования SecBI

Один из возможных сценариев — применение в рамках реагирования на инциденты. SecBI позволяет расставлять приоритеты и более эффективно вести расследования, так что аналитики любого уровня могут лучше решать соответствующие задачи. Решение помогает интерпретировать алерт в правильном контексте исходного инцидента и реагировать не на отдельные уведомления, а на весь инцидент в целом.

Другой сценарий — автоматизированный поиск угроз (threat hunting). SecBI ассистирует аналитикам в охоте на угрозы и дает полную картину происходящего в ИТ-среде. Анализ данных можно коррелировать с киберрасследованиями (forensics), в том числе — с метаданными для проверки пользователей или происшествий, а также с исходными материалами для тестирования гипотез аналитика. Архитектура на основе технологии больших данных дает возможность масштабировать период ретроспективного поиска от нескольких месяцев до нескольких лет.

 

Рисунок 4. Поиск угроз в SecBI

 Поиск угроз в SecBI

 

При внедрении и тестировании SecBI развертывается без необходимости установки дополнительных устройств или агентов. Установить решение можно как на площадке заказчика, так и в облаке. Эффективность SOC повышается без изменений в сетевой инфраструктуре и длительного периода обучения сотрудников. В России демонстрация и тестирование возможны через дистрибьютора.

 

Выводы

SecBI — это решение для автоматизации кибербезопасности на основе машинного обучения, которое призвано совершенствовать обнаружение инцидентов и угроз, а также реагирование на них. Разработчик продукта — новый для отечественного рынка вендор, которому предстоит соревноваться с крупными игроками, занимающими устойчивые позиции. Компания рассчитывает на свой авторский подход к анализу сетевого трафика (NTA), который обеспечивает автоматическое обнаружение угроз, расследование и реагирование для SOC и провайдеров управляемых услуг безопасности (MSSP).

Этот подход предоставляет ряд преимуществ перед решениями, которые генерируют спорадические оповещения и аномалии, требующие ручной корреляции, расследования и устранения. Кроме того, благодаря машинному обучению технология автономных расследований SecBI позволяет выявить и описать масштаб каждого подозрительного инцидента, включая все затронутые объекты, за считаные минуты, что также может рассматриваться как интересное преимущество.

Продолжить знакомство с компанией можно на ее сайте (www.secbi.com) или через дистрибьютора в России и СНГ — компанию Тайгер Оптикс.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru