В конце 2000-х годов в ИТ появился термин «big data», означающий серию подходов, инструментов и методов обработки структурированных и неструктурированных данных больших объемов для получения воспринимаемых человеческим глазом результатов.

Разумеется, использование этих подходов не могло не распространиться на решения по обеспечению информационной безопасности. Примерно с 2012 года в сфере ИБ стало очень популярным словосочетание «big data security analytics». Всё больше и больше игроков на рынке ИБ стали использовать в своих продуктах технологии аналитической работы с большими объемами данных. Параллельно с этим началось активное применение алгоритмов машинного обучения.

Результатом такой интеграции стало значительное увеличение функциональных возможностей продуктов. А производители SIEM вообще заявили о рождении нового поколения своих решений. С этим трудно поспорить – действительно, аналитика в части обнаружения угроз и оценки рисков вышла на совершенно иной уровень.

Скриншот собираемых данных:



Современные системы безопасности ОЧЕНЬ прожорливы до ресурсов. Почему? Потому что они считают больше, чем многие продакшн-сервера и системы бизнес-аналитики.

Что они считают? Сейчас объясню. Начнём с простого: условно первое поколение защитных устройств было очень простым — на уровне «пускать» и «не пускать». Например, файерволл пускал трафик по определённым правилам и не пускал трафик по другим. Естественно, для этого особая вычислительная мощность не нужна.

Следующее поколение обзавелось более сложными правилами. Так, появились репутационные системы, которые в зависимости от странных действий пользователей и изменений в бизнес-процессах присваивали им рейтинг надёжности по заранее заданным шаблонам и выставленным вручную порогам срабатывания.

Сейчас системы UBA (User Behavior Analytics) анализируют поведение пользователей, сравнивая их с другими сотрудниками компании, и оценивают логичность и правильность каждого действия сотрудника. Делается это за счёт Data Lake-методов и довольно ресурсоемкой, но автоматизированной обработки алгоритмами машинного обучения — в первую очередь потому, что прописывать все возможные сценарии руками занимает несколько тысяч человеко-дней.

Эта статья является частью серии «Fileless Malware». Все остальные части серии:

• Приключения неуловимой малвари, часть I
• Приключения неуловимой малвари, часть II: скрытные VBA-скрипты
• Приключения неуловимой малвари, часть III: запутанные VBA-скрипты для смеха и прибыли
• Приключения неуловимой малвари, часть IV: DDE и поля документа Word
• Приключения неуловимой малвари, часть V: еще больше DDE и COM-скриплетов
• Приключения неуловимой малвари: многосторонняя оборона (заключительные
  мысли) — мы тут

Думаю, все мы можем согласиться с тем, что у хакеров есть много трюков и методов, чтобы скрытно войти в вашу ИТ-инфраструктуру и остаться там незамеченными, пока они крадут ваши цифровые активы. Ключевой вывод этой серии заключается в том, что обнаружение вредоносных программ на основе сигнатур легко обходится даже несложными подходами, некоторые из которых я представил в этой серии.

Сегодня мы сделаем для вас обзор ежедневных обязанностей аналитика информационной безопасности. Его работа – это, по сути, постоянный анализ необработанных данных из
разнородных источников событий (информационной и сетевой) безопасности для поддержания (и желательно) повышения уровня безопасности организации. Это не всегда конкретные практические действия, но, как правило, они включают в себя агрегацию данных из многих возможных источников: журналы событий операционных систем, брандмауэров, маршрутизаторов, антивирусных сканеров и многое другое. Затем ему требуется объединить
или сопоставить их для получения набора данных, который может быть обработан с помощью соответствующих алгоритмов.

Сегодня мы представим краткий обзор рынка систем поведенческой аналитики пользователей и сущностей (UEBA) на основе последнего исследования Gartner. Рынок UEBA находится в нижней точке «стадии разочарования» по Gartner Hype Cycle for Threat-Facing Technologies, что указывает на зрелость данной технологии. Но парадокс ситуации заключается в одновременном общем росте инвестиций в UEBA-технологии и исчезающим рынком самостоятельных UEBA решений. Gartner прогнозирует, что UEBA станет частью функционала смежных решений в области информационной безопасности. Термин «UEBA», скорее всего, выйдет из обихода и будет заменен на другой акроним, сфокусированный на более узкой области применения (например, «аналитика поведения пользователей»), на схожей области применения (например, «использование данных») или просто превратится в какое-то новое модное слово (например, термин «искусственный интеллект» [ИИ] выглядит интересным, хотя он и не несет никакого смысла для современных производителей UEBA).

Мир IT разнообразен донельзя. Кто каких только технологий и решений не создает, что только не разрабатывает! Компании творят продукты каждая по-своему, но многие процессы схожи, а потому могут оказаться полезным опытом для заимствования. Вот мы и подумали: а почему бы не рассказать вам о том, как мы создаем наш флагманский продукт Solar Dozor? Команда у нас очень опытная и энергичная. Каждый день нам приходится решать нетривиальные задачи, искать киллер фичи и увязывать пожелания заказчиков с собственным роудмапом. Вдруг наш опыт кому-то пригодится?

В общем, решили – запускаем серию статей о том, как, где и при каких обстоятельствах рождается наша DLP-система. Все откровенно, по-честному, с фото и, может, даже видеопруфами. А сегодня вы узнаете, с чего начинается создание нашего продукта. Знакомьтесь – discovery-лаборатория Dozor Research Lab.