Detekce důmyslných útoků pomocí analýzy chování

6. 3. 2016

Sdílet

 Autor: © alphaspirit - Fotolia.com
Big data a strojové učení pomáhají téměř v reálném čase posoudit riziko aktivit uživatelů, zda ještě vyhovují normě či naopak už jsou tzv. za hranou.

Zaměstnanec denně používá během pracovní doby legitimní oprávnění pro přístup k podnikovým systémům z podnikového pracoviště. Systém zůstává v bezpečí. Najednou však dojde po půlnoci k použití stejných oprávnění pro přístup k databázovému serveru a spustí se dotazy, které uživatel nikdy předtím nezadával. Je systém stále v bezpečí?

Možná je. Správci databáze musejí koneckonců dělat údržbu a údržba se obvykle činí po pracovní době – některé operace údržby vyžadují vykonání nových dotazů. Ale možná také není. Mohlo dojít k vyzrazení přihlašovacích údajů uživatele a právě může probíhat pokus o ukradení dat.

Konvenční bezpečnostní kontroly na takovou situaci neposkytnou jednoznačnou odpověď. Statická obrana perimetru již nestačí pro svět, ve kterém se krádeže dat stále častěji vykonávají prostřednictvím ukradených přihlašovacích údajů uživatelů.

Tyto případy však nelze srovnávat se zločinnými zaměstnanci, kteří zneužijí své přihlašovací údaje. Také současná prostředí BYOD mohou zcela zničit statický perimetr, jak dochází k neustálému přidávání nových pravidel pro externí přístup.

Jedním z inovativních přístupů se označuje jako analýza chování uživatelů (UBA, User Behavior Analytics). Dokáže tuto hádanku řešit pomocí analýz big dat a algoritmů strojového učení, které téměř v reálném čase posuzují riziko aktivit uživatelů.

 

Co umí UBA?

UBA využívá modelování k popisu normálního chování. Toto modelování zahrnuje informace o uživatelských rolích a funkcích z aplikací personálního oddělení a z adresářů včetně přístupu, účtů a oprávnění, aktivity a geografické lokalizační údaje shromážděné ze síťové infrastruktury, upozornění od obranných bezpečnostních řešení atd.

U těchto dat se vyhodnocují souvislosti a analyzují se na základě předchozích a současných aktivit. Tyto  analýzy zohledňují mimo jiné také typy transakcí, využívané zdroje, trvání relací, konektivitu a obvyklé chování jedinců ze stejné skupiny.

UBA zjišťuje, co je ještě normální chování a co už jsou nezvyklé aktivity. Jestliže původně anomální chování jedné osoby (například půlnoční databázové dotazy) následně začnou vykonávat i další jedinci z téže skupiny, přestane se to považovat za střední či vysoké riziko.

Dále UBA vykonává modelování rizik. Anomální chování se automaticky nepovažuje za riziko. Musí se nejprve vyhodnotit z perspektivy potenciálního dopadu.

Pokud anomální činnost zahrnuje zdroje, které nejsou citlivé, jako jsou například informace o využití konferenční místnosti, je potenciální dopad nízký. Naopak pokusy o přístup k citlivým souborům, jako je například duševní vlastnictví organizace, však dostávají mnohem vyšší hodnocení.

Následně se riziko pro systém, tvořené určitou transakcí, definuje pomocí vzorce Riziko = Pravděpodobnost x Dopad.

Pravděpodobnost ve vzorci souvisí s pravděpodobností, že je dotyčné chování uživatele anomální. Zjišťuje se s využitím algoritmů pro modelování chování. Dopad se odvodí z úrovně důvěrnosti a důležitosti informace, se kterou se pracuje, a z kontroly, jež se používá pro práci s těmito údaji.

Transakce a jejich vypočítaná rizika se poté mohou spojit s konkrétním uživatelem, který tyto transakce vykonává, a výsledně se určí úroveň rizika.

Výpočet uživatelského rizika obvykle zahrnuje další faktory, jako jsou stupeň důvěrnosti aktiv, oprávnění, potenciální zranitelnosti, zásady atd. Jakékoli zvýšení těchto faktorů zvýší skóre rizika tohoto uživatele.

Všechny faktory v těchto výpočtech mohou ale mít své vlastní váhové hodnoty pro automatické vyladění celkového modelu.

Nakonec UBA sbírá, koreluje a analyzuje stovky atributů včetně situačních informací a informací o hrozbách od třetích stran. Výsledkem je bohatá množina dat s velikostí v řádu petabajtů, která zohledňuje kontext.

 

Podpora strojového učení

Algoritmy strojového učení UBA mohou nejen odfiltrovat a eliminovat falešné poplachy a vytvořit inteligenci pro riziko, kterou lze využít pro rozhodování, ale mohou také na základě shromažďovaných informací revidovat normy, předpovědi a celkové procesy hodnocení rizik...

 

ICTS24

Tento příspěvek vyšel v Security Worldu 2/2015.Oproti této on-line verzi je výrazně obsáhlejší a přináší další poznatky a tipy, které lze využít při praktické implementaci u vás ve firmě.

Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.