Czym jest „behavioral analysis” i dlaczego rozwiązania tego typu są przyszłością w Security IT?

„Behavioral analysis”, czyli analiza behawioralna a mówiąc inaczej wnioskowanie oparte o analizę zachowań/działań/zdarzeń z wykorzystaniem mechanizmów uczenia maszynowego.

Dlaczego analiza behawioralna jest tak ważna w świecie IT Security?

Aby dokładnie odpowiedzieć na to pytanie należy na chwilę pochylić się nad samym rozwojem zagrożeń/ataków na infrastrukturę IT, które są bezpośrednim czynnikiem inicjalizującym rozwój rozwiązań IT Security w kierunku analizy behawioralnej. Aktualne ataki na infrastrukturę IT charakteryzują się między innymi: złożonością, wieloetapowością, ukierunkowaniem na konkretny cel (ATP), wykorzystywaniem niestandardowych portów komunikacyjnych, atakami technicznymi poprzedzonymi przez ataki socjotechniczne itd. Powyższe czynniki wpływają na złożoność i względną unikalność ataków, która znacznie ogranicza poprawne wykrywanie zagrożenia. Statyczne rozwiązania oparte o reguły pozwalają na wykrywania takich ataków jak np. wielokrotne próby połączenia się z serwerem o adresem X na porcie SSH z adresu Y, z czego Y i X może być „any”, lecz w takiej sytuacji otrzymamy teoretycznie zbyt wiele informacji, które zaciemnią nam ogólny obraz zdarzeń i nie pozwolą na rzeczywistą ocenę sytuacji. Głównym ograniczeniem systemów statycznych są reguły, które wymagają spisania, tak np. dla powyższego przykładu z SSH należy zdefiniować jeszcze wiele reguł dla innych protokołów oraz innych rodzin ataków na te protokoły oraz aktualizować je wraz ze zmieniającą się infrastrukturą IT i zmieniającymi się zagrożeniami IT.

Przykłady rozwiązań IT opartych o analizę behawioralną.

Głównymi przedstawicielami rozwiązań opartych o analizę behawioralną są systemy takie jak UBA/UEBA i inne permutacje tych rozwiązań. Produktami wartymi bliższego poznania są: Flowmon, Verint, Exabean itp. W niniejszym artykule zajmiemy się bliższym poznaniem rozwiązania Flowmon – jest to oprogramowanie pozwalające na analizę behawioralną sieci na podstawie flow-ów sieciowych. System opiera się o mechanizmy uczenia maszynowego, które pozwalają na „praktycznie” bezobsługowe działanie systemu. Słowo „praktycznie” nie zostało tutaj użyte bez przyczyny i jest ono słowem kluczem, ponieważ narzędzie uczy się zachowań panujących w sieci. Niestety nie jest ono w stanie zdefiniować czy dane zagrożenie jest w 100% zagrożeniem czy jest to poprawny ruch, który ma znamiona działań podejrzanych, jak np. błędny adres DNS. Dlatego też każde potencjalne zagrożenie jest alarmowane i zależnie od decyzji administratora może zostać ono oznaczone jako realne zagrożenie lub „false positive” – na tej podstawie system uczy się standardowego ruchu, co z kolei pozwala na wyznaczenie ruchu anormalnego i potencjalnych anomalii w sieci. Dzięki sugestiom administratora system w miarę upływu czasu rozpoznaje tylko te zagrożenia, które faktycznie są poza zakresem zdefiniowanych wyjątków. Podstawową zaletą systemu jest niewielki wkład administratora w zarządzenie, który jest spowodowany brakiem systemu reguł oraz statycznym podejściem do analizy. Na „minus” należy zaliczyć fakt, iż mimo wszelakich zapewnień marketingowych system nie zrobi za nas wszystkiego i nie jest produktem w pełni eliminującym ingerencję administratora, wymaga jednak minimalnego wkładu. Na sam koniec należy wspomnieć, iż system Flowmon nie jest systemem prewencji, leczy wyłącznie detekcji zagrożeń.

Czy analiza behawioralna występuje tylko i wyłącznie w rozwiązaniach UBA/UEBA?

Nie. Analiza behawioralna często występuje w połączeniu z mechanizmami uczenia maszynowego, które to wykorzystywane są w takich narzędziach z dziedziny ochrony IT jak np. End Point Security – ogólne pojęcie systemów ochrony „końcówek”. Dzięki dynamicznemu podejściu do analizy zagrożeń w sieci/systemach IT skutecznie wypierają one podstawowe i archaiczne w obliczu obecnych ataków narzędzia typu AV. Więcej o samych systemach ochrony stacji końcowych w przyszłych artykułach.

Podsumowanie

Nowoczesne systemy oparte o mechanizmy uczenia maszynowego, które głównie bazują na zachowaniach, a nie samych sygnaturach ataku, nie są idealnymi rozwiązaniami. Z pewnością są to jednak rozwiązania, które będą wiodły prym w przyszłych latach ze względu na złożoność infrastruktur IT oraz mnogość ataków realizowanych na nich.

2017-10-25T08:48:36+00:00

Zostaw komentarz