ML-алгоритмы против хакеров: как поведенческая аналитика меняет правила игры в кибербезопасности27.06.2024 12:30

Здравствуйте, друзья! Меня зовут Алексей Потапов, и я представляю экспертный центр безопасности Positive Technologies. Ранее мы уже знакомили вас с ключевыми элементами нашего подхода к обнаружению атак на примере технологий в SIEM: механизме построения цепочек запускаемых процессов на основе нормализованных событий, автоматическом вайтлистинге и машинном обучении для выявления нестандартного поведения пользователей и процессов в инфраструктуре. Тему ML было бы невозможно раскрыть в одном посте, поэтому предлагаю углубиться в более технические детали.

Мы уже рассказывали про модуль Behavioral Anomaly Detection (BAD). Он работает как система second opinion — собирает данные о событиях и пользователях, присваивает им определенный уровень оценки риска (risk score) и выдает альтернативное мнение, основываясь на своих алгоритмах. Фишка BAD в том, что он снижает когнитивную нагрузку аналитика системы SIEM, позволяя эффективнее принимать решение по инциденту информационной безопасности.

В этой статье я расскажу, что делает модуль BAD не просто новым инструментом, а полноценным игроком в вашей команде кибербезопасности. Поговорим о перспективах, которые открывает его использование.

Оценка риска событий в BAD

Сердцем модуля Behavioral Anomaly Detection является механизм оценки риска событий. Этот элемент обеспечивает раннее выявление потенциальных угроз. Он основан на алгоритмах машинного обучения, которые анализируют и сопоставляют поведенческие паттерны с нормальной активностью, назначая каждому событию уровень риска (risk score).

В центре модуля — анализ процессов операционной системы. Это наиболее важная и приоритетная функция в BAD. В основе оценки риска лежит принцип, по которому под первопричиной большинства киберугроз, происходящих во внутренней инфраструктуре, понимаются именно процессы ОС. Ведь как раз через них злоумышленники реализуют свои вредоносные намерения.

Подходы к определению уровня риска в BAD отличаются от подходов, присущих UEBA-системам (user and entity behavior analytics) и другим аналогичным решениям. Формирование оценки уровня риска в модуле BAD начинается с поступления событий из операционных систем и приложений, каждое из которых подвергается анализу множеством атомарных моделей машинного обучения. Эти модели разработаны для того, чтобы изучать разные аспекты и характеристики (рассмотрим их далее) одних и тех же событий и процессов. Таким образом обеспечивается многогранная оценка активности (действий).

Особенностью атомарных моделей является их способность анализировать отдельные «фичи» событий, поэтому одно событие может быть оценено с разных сторон. К примеру, одна модель может сосредоточиться на поиске редких или уникальных процессов, в то время как другая — на его коммуникации с сетевыми ресурсами. Благодаря встроенным в BAD функциям поиска и объединения различных типов событий (например, для создания data set, который ищет аномальный процесс, авторизующийся в операционной системе или приложении), нам удалось учитывать вердикты таких моделей в общем профайлере процессов в BAD. Без объединения таких событий в один data set модели, которые анализируют доступ в ОС и приложения, не учитывались бы.

Каждая атомарная модель имеет определенный вес, или значимость, что позволяет точнее калибровать итоговый risk score. Срабатывание моделей агрегируется для каждого уникального идентификатора процесса (GUID), при этом учитываются не только модели, связанные с анализом событий запуска процессов, но и множество других событий, в которых принимает участие этот процесс. Так можно получать разнообразный контекст взаимодействия процесса с системой. Кроме того, принимаются во внимание все связанные с ним последовательности процессов в цепочке.

Индикаторы поведения

Мы выходим за рамки традиционных методов обнаружения угроз, которые опираются на конкретные инструменты атакующих или артефакты (например, индикаторы атак, IP-адреса, хеши). Индикаторы поведения (indicators of behavior, IoB) атакующих являются ключевым элементом в этом процессе, поскольку они представляют собой набор долговременных и сложных для обхода правил, срабатывания которых предоставляют важную для анализа информацию.

Модуль BAD включает набор специализированных правил, или индикаторов поведения, которые активируются при выполнении определенных условий в ходе анализа процесса. Эти индикаторы срабатывают, когда в рамках уникального идентификатора (GUID) процесса обнаруживаются аномальные или подозрительные действия, фиксируемые соответствующими поведенческими моделями.

Основная цель индикаторов поведения — раскрыть стратегию и цели злоумышленника, анализируя последовательности действий, взаимосвязи которых образуют вредоносные паттерны, выделяющиеся на фоне обыденного поведения в сети. Зафиксированные индикаторы поведения служат сигналом для дальнейшего изучения и приводят к генерации оповещений, которые автоматически направляются в центральную систему управления инцидентами безопасности MaxPatrol SIEM. Итоговый risk score для каждого процесса и цепочки процессов в целом формируется путем агрегирования оценок веса моделей, сработавших при обнаружении индикаторов поведения (IoB). Этот risk score может быть использован для приоритизации событий, позволяя аналитикам SIEM-системы сфокусироваться на наиболее критичных и подозрительных событиях. Кроме того, IoB могут быть использованы для разработки продвинутых корреляционных правил или правил обогащений. Это обеспечивает более точное и всестороннее обнаружение угроз.

На рисунках 1 и 2 приведена схема формирования профиля процесса и его risk score.

Рисунок 1. Схема формирования профиля процесса

Рисунок 2. Схема формирования risk score процесса

От теории к практике: обнаружение кибератак с помощью BAD

Для начала стоит отметить, что, помимо запроса risk score через сниппет карточки события (рис. 3), почти все алерты, которые генерируются в системе SIEM, отправляются в модуль BAD для обогащения их тем же risk score. Это дает возможность аналитикам и операторам MaxPatrol SIEM использовать поле bad.risk_score при написании правил корреляций или обогащений, а также в фильтре событий, например, для сортировки и поиска наиболее аномальных срабатываний.

Модуль BAD способен обнаружить следующие кейсы:

• сложные целенаправленные атаки, атаки с использованием различных техник обхода правил корреляций;

• новые тактики, техники и процедуры, еще не покрытые детектами;

• постэксплуатацию после использования неизвестной ранее уязвимости;

• случайный или чрезмерный вайтлистинг, когда сами пользователи «завайтлистили» те или иные правила корреляции.

Кейс № 1. BAD как система second opinion и ранжирования сработавших правил корреляций с использованием значения поля bad.risk_score

Одна из задач модуля BAD — это помощь аналитику при анализе срабатываний правил корреляции. Значение оценки риска в карточке события сработавшего правила корреляции может помочь аналитику принять правильное решение в пользу true positive или false positive. На рисунке 3 — пример сработавшего правила корреляции с importance = high, однако модуль BAD проанализировал активность процесса, который был триггером для срабатывания правила, и присвоил этому событию низкий risk score. Скорее всего, эта корреляция имеет невысокий уровень важности, а срабатывание на самом деле ложное.

Рисунок 3. Карточка скоррелированного события со значением оценки риска от модуля BAD

Рисунок 4. Срабатывания моделей ML и индикаторов поведения

Давайте посмотрим, какие алерты с обогащенным bad.risk_score пришли в MaxPatrol SIEM до интерактивных атак, о которых буду писать ниже (рис. 5), и какие из срабатываний имеют risk score выше 50 и 100 (рис. 6, 7).

Рисунок 5. Список сработавших правил корреляций с обогащенным risk score от модуля BAD

Рисунок 6. Поиск правил корреляций с risk score выше 50

Рисунок 7. Поиск правил корреляций с risk score выше 100

Как видно на рисунках 6 и 7, в MaxPatrol SIEM после фильтрации срабатываний по значению поля bad.risk_score осталось незначительное количество срабатываний со значением выше 50 и отсутствуют те, значение которых выше 100.

А теперь давайте рассмотрим две реальные интерактивные атаки, произошедшие в рамках киберучений Standoff. В качестве примера рассмотрим сработавшие модели и индикаторы поведения в модуле BAD в MaxPatrol SIEM и объясним, как мы обнаружили эти инциденты.

Кейс № 2. BAD как система second opinion

Рассмотрим инцидент, когда на рабочей станции пользователя был запущен вредоносный файл gostbypass.exe. Этот файл функционировал как SOCKS-прокси и стал каналом развития атаки. Стоит отметить, что никаких процессов этот вредонос не порождал.

Атакующие провели разведку доменной сети и получили доступ к нескольким серверам и приложениям. Схема событий проиллюстрирована на рисунке 8.

Рисунок 8. Схема активности процесса gostbypass.exe

На эту активность было несколько срабатываний правил корреляций с низким уровнем важности (рис. 9), однако модуль BAD проанализировал весь профиль поведения процесса gostbypass.exe и выдал альтернативное мнение. Зайдя в карточку оценки риска, оператор может подтвердить оценку модуля (рис. 10), и тогда эта активность не будет участвовать в последующем обучении моделей. А на рисунке 11 мы можем наблюдать, какие ML-модели и индикаторы поведения сработали.

Рисунок 9. Корреляция с высокой оценкой риска и с уровнем важности info

Рисунок 10. Подтверждение оценки риска

Рисунок 11. Срабатывания моделей ML и индикаторов поведения в сниппете от BAD

Модуль BAD, используя свои алгоритмы машинного обучения, проанализировал поток данных с рабочей станции пользователя, подвергшегося компрометации. В ходе анализа, опираясь на интегрированный набор атомарных моделей и индикаторов поведения, модуль выявил необычные шаблоны в последовательностях и поведении процессов (рис. 12). Отклонения от базового профиля нормального поведения, отмеченные этими моделями, влияли на увеличение risk score, что сигнализировало системе о возможности вредоносной активности.

Рисунок 12. Индикаторы поведения, отправленные BAD в MaxPatrol SIEM

Кейс № 3. BAD как система second opinion и ранжирования сработавших правил корреляций с использованием значения поля bad.risk_score

В третьем сценарии предлагаю рассмотреть инцидент, при котором компьютер пользователя подвергся атаке с использованием вредоносного офисного файла. Запущенный из этого документа скрипт PowerShell загрузил и активировал целый ряд вредоносных компонентов, один из которых служил прокси-сервером и стал каналом развития атаки. Злоумышленник провел разведку узла и, выполнив перемещение внутри периметра (lateral movement), получил доступ к нескольким компьютерам в сети. Эта схема событий проиллюстрирована на рисунке 13.

Рисунок 13. Схема активности процесса ss.exe

В этом кейсе давайте поищем срабатывания правил корреляций, у которых высокое значение bad.risk_score. На рисунке 14 мы отфильтровали срабатывания с высоким уровнем риска (по оценке BAD).

Рисунок 14. Срабатывания правил корреляции с высокой оценкой риска

На эту нелегитимную активность также cработало несколько правил корреляций и индикаторов поведения (рис. 15).

Рисунок 15. Карточка скоррелированного события с оценкой риска, выданной модулем BAD

Давайте посмотрим, какие модели машинного обучения сработали и почему эта активность имеет высокую оценку риска. На рисунке 16 представлен список сработавших моделей, разъясню некоторые из них.

1. Подозрительная цепочка запусков процессов (windows).
   MaxPatrol SIEM может строить цепочки запускаемых процессов. У нас есть предобученная модель, которая обучалась и дообучается на цепочках процессов.

2. Нетипичный для процесса целевой узел (windows).
   Эта модель ищет аномальный процесс, который авторизовывается в операционной системе Windows. Если активность аномальна, то модель срабатывает.

3. Нетипичный для пользователя процесс (windows).
   Эта модель ищет запуск уникальных для пользователя процессов на узле и предупреждает о том, что такой процесс ранее не присутствовал в обучающей выборке.

Рисунок 16. Список моделей, сработавших на активность процесса ss.exe

Из сработавших атомарных моделей сформировались индикаторы поведения (рис. 17), на основе которых и формируется итоговый risk score.

Рисунок 17. Срабатывания индикаторов поведения

Кроме того, модуль BAD рассчитывает для процесса так называемые признаки. На рисунке 18 выделен обнаруженный признак: в этой нелегитимной активности есть процесс, который ведет себя как прокси-сервер.

Таким образом, модуль BAD успешно выявил эту аномальную активность, особенно нестандартное использование процесса, который выполнял роль прокси-сервера, а фильтрация срабатываний правил корреляций по значению поля bad.risk_score позволила оперативно найти нужные срабатывания и своевременно обнаружить инцидент.

Кейс № 4. BAD как инструмент поиска атак, не обнаруженных традиционными средствами мониторинга, и ошибок оператора при чрезмерном вайтлистинге

Давайте представим ситуацию, что на предыдущую активность не сработало ни одно из существующих в системе правил корреляций или же неопытный оператор, например, написал широкую регулярку и «завайтлистил» пачку правил корреляций.

Построенный на альтернативных методах обнаружения BAD отправил сработавшие индикаторы поведения в MaxPatrol SIEM, в котором мы агрегировали все срабатывания этих индикаторов в рамках уникального GUID процесса и подсчитали суммарный вес всех правил. После этих манипуляций мы нашли наиболее аномальные процессы, и как раз именно эти процессы были ключевыми при рассмотрении предыдущих сценариев. Причем проанализированная активность включала в себя множество различных типов событий и по всей цепочке процессов.

Рисунок 19. Наиболее аномальные процессы в MaxPatrol SIEM

Интеграция с метапродуктом MaxPatrol O2

Интеграция модуля BAD с MaxPatrol O2 (рис. 20), способным автоматически строить цепочки атак злоумышленников, — отлично дополняет существующие в метапродукте способы обнаружения угроз.

Синергия получается в результате двух вещей:

1. BAD позволяет не упустить атаки, не обнаруженные традиционными средствами мониторинга, создавая свои алерты.

2. MaxPatrol O2 связывает алерты от BAD в единый контекст атаки, собираемый метапродуктом с помощью алгоритмов склейки и обогащения. Это позволяет перейти от анализа атомарных алертов к анализу цепочки атаки. Учитываются и алерты от BAD. Подробнее, как метапродукт это делает, мы рассказали тут.

Чем полнее контекст атаки, тем точнее вердикт MaxPatrol O2 в отношении активности. Согласитесь, проще принять решение о подозрительном соединении с внешним узлом, когда видна вся цепочка запусков процессов, приведшая к такому соединению, и тут же — что последовало за ним: создание файлов, авторизаций пользователей в системе, перемещение внутри периметра и многое другое. Полнота контекста атаки также позволяет локализовать инцидент, определив начальную точку, и отреагировать на него так, что продолжение атаки для злоумышленника станет невозможным.

Таким образом, связка BAD и MaxPatrol O2 повышает точность обнаружения атак за счет учета событий от BAD и его вердиктов в скоринговой модели метапродукта. Это снижает количество ложноположительных вердиктов цепочек, как в кейсе № 1, где корреляции с importance = high модуль BAD присвоил низкий risk score, что соответствует ложному срабатыванию.

Рисунок 20. Интеграция модуля BAD c MaxPatrol O2

Перспективы развития

Очевидно, что технологии ML становятся мощным инструментом, полезным в детектировании атак. В SIEM-системах алгоритмы помогают не только облегчить работу аналитиков при расследовании инцидентов, но и ускорить обнаружение аномалий и атак, которые могут остаться незамеченными при применении традиционных методов обнаружения, основанных на индикаторах компрометации (IoC) или индикаторах атак (IoA).

Risk score в BAD повышает точность и скорость реагирования на угрозы, помогает командам SOC оптимизировать процессы обнаружения и, что важно, сократить время, необходимое для нейтрализации инцидентов.

Мы планируем и дальше развивать механизмы скоринга, а также интеграцию BAD с другими продуктами компании.

Кроме того, будем совершенствовать атомарные модели и разрабатывать новые индикаторы поведения атакующих, что позволит еще точнее идентифицировать аномалии и характерные признаки хакерской активности.

Мы также видим большой потенциал в создании единой комплексной модели, которая сможет описывать поведение хакера в целом. Эта модель обучается на обширном наборе данных, включая информацию о реальных киберинцидентах у клиентов, и сведений, полученных в ходе киберучений и проектов, таких как Standoff. В распоряжении Positive Technologies есть уникальные ресурсы для сбора таких данных, что дает преимущество в постоянном усовершенствовании и дообучении нашей модели.

Сочетание множества атомарных моделей, индикаторов поведения с одним масштабным аналитическим решением откроет новые горизонты в проактивной защите от кибератак.

Верю, что инвестиции в развитие машинного обучения и искусственного интеллекта значительно повысят уровень кибербезопасности и обеспечат нашим клиентам результативную защиту в постоянно меняющемся цифровом мире.

© Habrahabr.ru