![](https://habrastorage.org/getpro/habr/upload_files/47f/c87/a97/47fc87a979e971171cc240df16816bf3.png)
Друзья, и снова привет. Меня зовут Алексей Потапов, я представляю отдел обнаружения атак экспертного центра безопасности Positive Technologies (PT Expert Security Center). Продолжу историю о том, как наши знания обогащают продукты Positive Technologies, чтобы они обеспечивали конечную цель — результативную кибербезопасность. Ранее мы уже рассказывали вам о нашем подходе к обнаружению атак в SIEM-системах и, не побоюсь этого слова, киллер-фиче — механизме построения цепочек запускаемых процессов на основе нормализованных событий.
В этот раз поговорим о том, как в продукты для кибербезопасности проникают технологии machine learning (ML, машинное обучение) — на примере использования ML-модуля для поведенческого анализа в MaxPatrol SIEM. О некоторых технических аспектах работы отдельно взятых моделей мы недавно рассказали на Positive Hack Days — запись можно посмотреть тут. Еще больше подробностей читайте в другом материале на Хабре.
Позитивный ML в SIEM
Пользователям MaxPatrol SIEM версии 8.0 доступен модуль Behavioral Anomaly Detection, так называемый BAD. Модуль позволяет выявлять атаки злоумышленников с использованием тактик «Выполнение», «Управление и контроль», «Перемещение внутри периметра» по матрице MITRE ATT&CK и подтверждать срабатывания соответствующих правил корреляции. ML-модуль снижает когнитивную нагрузку аналитика SIEM, позволяя эффективнее принимать решение по инциденту информационной безопасности. BAD работает как система second opinion — собирает данные о событиях и пользователях, присваивает им определенный уровень оценки риска (risk score) и выдает альтернативное мнение, основываясь на своих алгоритмах.
В коллаборации с еще одной командой Positive Technologies — ребятами из отдела перспективных технологий, которые занимаются исследованиями в области ML, мы добавляем новые технологии в продукты.
Мы не пошли по пути классических решений UEBA (User and Entity Behavior Analytics): помимо информации о поведении пользователей и сущностей мы используем актуальные знания о тактиках и техниках злоумышленников, применяя на практике технологии machine learning, чтобы быстро детектировать кибератаку и проанализировать ее контекст.
Шаблоны поведения хакера vs. модели ML
У нас более 20 лет опыта в обнаружении и разборе сложных киберинцидентов. Это знание основных этапов цепочек атак, шаблонов поведения атакующих, которые можно эффективно обнаружить при помощи моделей машинного обучения.
Почти любая интерактивная атака будет связана со следующими этапами:
Execution (выполнение) — выполнение кода на скомпрометированных системах на основе техник living off the land или же bring your own land.
Command and сontrol (управление и контроль) — взаимодействие инструментария атакующих с инфраструктурой атакующих.
Lateral movement (перемещение внутри периметра) — перемещение атакующего от системы к системе для реализации недопустимых событий.
Мы разработали модели машинного обучения, реализованные на основных типах событий и их признаков, которые могут быть обнаружены на обозначенных выше этапах кибератаки.
По логике модели разбиты на несколько типов и подтипов:
Proсess аctivity (активность процессов);
Process execution activity (активность запускаемых процессов);
Network process activity (сетевая активность процессов);
Access process to local pipe (связь процесса с локальным именованным каналом);
Relationship between two processes on different hosts (связь различных процессов разных компьютеров);
Access аctivity (активность по доступам);
Network share access (доступы к общим сетевым ресурсам);
Network pipe access (доступ к именованному каналу).
В систему заложены вердикты моделей машинного обучения и правила корреляции. Это поможет операторам MaxPatrol SIEM принимать решения при анализе сработок.
Поддержка принятия решений
Про детектирование атак на основе оповещений (алертинга) я уже рассказывал. В свою очередь модуль BAD должен помочь операторам и аналитикам SIEM-системы ускорить обработку оповещения за счет обогащенной информации из BAD об уровне критичности события (risk score). Он будет говорить, какие модели сработали и насколько аномальна та активность, которая привела к сработке правила корреляции.
Одно и то же событие может интерпретироваться по-разному правилами корреляции и модулем BAD. Все это в комплексе поможет оператору принять правильное решение при анализе сработки. Давайте рассмотрим примеры. Ниже вы увидите интерфейс MaxPatrol SIEM, а также инструментария, которым мы, специалисты PT Expert Security Center, пользуемся для расследований и взаимодействия с BAD.
Кейс № 1. Произошла сработка правил корреляции с уровнями важности medium и low (рис. 1., рис. 3). BAD MaxPatrol SIEM на основе ML-моделей и встроенных правил корреляции посчитал эти события более важными (рис. 2 — см. области, отмеченные цифрами 3–5; рис. 4 — см. области, отмеченные цифрами 3–5). Поэтому уровень критичности этих двух сработавших правил корреляции будет увеличен после того, как сработавшие правила обогатятся соответствующей информацией из BAD.
![Рис. 1. Сработка правила корреляции с уровнем важности medium Рис. 1. Сработка правила корреляции с уровнем важности medium](https://habrastorage.org/getpro/habr/upload_files/238/486/bc7/238486bc782f237a2274734fd0085d1b.png)
![Рис. 2. Сработка в BAD Рис. 2. Сработка в BAD](https://habrastorage.org/getpro/habr/upload_files/bc3/43c/216/bc343c216d71ea395a3cee8cd4880c56.png)
![Рис. 3. Сработка правила корреляции с уровнем важности low Рис. 3. Сработка правила корреляции с уровнем важности low](https://habrastorage.org/getpro/habr/upload_files/5f1/7f4/3a8/5f17f43a86d6f1ca3f51e659fb7fc7fb.png)
![Рис. 4. Сработка правила в BAD Рис. 4. Сработка правила в BAD](https://habrastorage.org/getpro/habr/upload_files/09f/4c8/c66/09f4c8c66bc50fe091f4c5d414c3ea8c.png)
Кейс № 2. Рассмотрим противоположную ситуацию, когда произошла сработка правила корреляции с типом incident (рис. 5), но BAD посчитал, что событие, для которого сработало правило, не несет никакой угрозы (рис. 6. — см. область, отмеченную цифрой 3). Таким образом, после обогащения сработавших правил информацией из BAD, мы понизим уровень критичности события с типом incident до уровня low.
![Рис. 5. Сработка правила корреляции с уровнем важности incident Рис. 5. Сработка правила корреляции с уровнем важности incident](https://habrastorage.org/getpro/habr/upload_files/b82/e3a/8fc/b82e3a8fc99bfabecb70af6cf81e2d75.png)
![Рис. 6. Сработка в BAD Рис. 6. Сработка в BAD](https://habrastorage.org/getpro/habr/upload_files/08f/5a0/70e/08f5a070ec4fd1ee66ceaab2225f2671.png)
Благодаря использованию модуля BAD в MaxPatrol SIEM 8.0 мы сократили число false positives, помогая операторам быстрее определять, с чем они работают: с incident или false positive.
Пропущенные атаки, или Борьба с false negatives
Фундаментальный, наиболее ценный компонент зрелой SIEM-системы — заложенная в нее экспертиза в виде правил корреляции. Но злоумышленники постоянно совершенствуют свои тактики, техники и инструментарий. В открытых источниках много информации, в том числе от вендоров SIEM, о детектирующей логике правил корреляции, но эта информация также доступна и злоумышленникам.
Так или иначе операторы могут пропустить определенные шаги атакующих, поэтому нужен альтернативный метод обнаружения действий злоумышленников. Но не заменяющий, а дополняющий первый.
Помимо того, что BAD в MaxPatrol SIEM должен обнаруживать то, что детектируют правила корреляции, мы закладываем в этот модуль модели и правила корреляции, которые должны обнаружить то, что потенциально могли пропустить другие механизмы системы.
Рассмотрим пример того, как хакеры уходят от обнаружения правилами корреляции, и то, как эту активность видит BAD.
Шаг 1. Первоначальный вектор проникновения — скачивание и запуск вредоносного файла через браузер.
Данный вредоносный файл был тщательно подготовлен злоумышленниками для обхода средств защиты (рис. 7). Обратим внимание, что после заражения почти все тактики и техники, которые были применены злоумышленниками на хостах, были обнаружены правилами корреляции. Но не сами запуски вредоносных файлов.
![Рис. 7. Обход обнаружения (bypass) атомарным правилом корреляции Рис. 7. Обход обнаружения (bypass) атомарным правилом корреляции](https://habrastorage.org/getpro/habr/upload_files/460/2a1/984/4602a1984f6da5606a8a3c3feb3278fc.png)
Разработанный на альтернативных методах обнаружения, BAD смог обнаружить нелегитимный запуск вредоносного файла. Обратим внимание на показатель уровня риска запущенного процесса (рис. 8 — см. области 3 и 5). Но вернемся к этому позже.
![Рис. 8. Сработка в BAD Рис. 8. Сработка в BAD](https://habrastorage.org/getpro/habr/upload_files/52e/875/966/52e875966b50928621ca7fa4a3fa0d33.png)
Рассмотрим еще один случай, когда активность злоумышленников может скрываться за легитимной активностью и некоторые сработки могут попасть под исключения, что и произошло в данном случае (рис. 9). Злоумышленник запустил команду разведки сетевой конфигурации.
![Рис. 9. Запуск команды разведки Рис. 9. Запуск команды разведки](https://habrastorage.org/getpro/habr/upload_files/8b3/94a/b04/8b394ab041996935a9764a9dfce63ffc.png)
Модуль BAD зафиксировал данную активность и при этом повысил уровень риска запущенному процессу (рис. 10 — см. области, отмеченные цифрами 3 и 4). Модель учла предыдущую активность вредоносного файла и продолжила увеличивать важность сработки.
![Рис. 10. Сработка в BAD Рис. 10. Сработка в BAD](https://habrastorage.org/getpro/habr/upload_files/e0c/cad/c70/e0ccadc7006c97d760c07a9fd7c8b1c3.png)
Аналогичная ситуация произошла с утилитой wmic. При этом BAD увеличил уровень критичности запущенного процесса (рис. 12 — см. области, отмеченные цифрами 3 и 5) в сравнении с оценкой по итогам сработки правила корреляции.
![Рис. 11. Событие запуска wmic.exe Рис. 11. Событие запуска wmic.exe](https://habrastorage.org/getpro/habr/upload_files/26c/f2e/f3e/26cf2ef3eaec3305525e638f67b4d403.png)
![Рис. 12. Сработка в BAD Рис. 12. Сработка в BAD](https://habrastorage.org/getpro/habr/upload_files/4aa/9b9/9d4/4aa9b99d4148ae9c604e937a09b95280.png)
Шаг 2. Запуск прокси socks5 на взломанных компьютерах. Злоумышленники также обфусцировали исполняемый файл, и его запуск был пропущен правилами корреляции (рис. 13), но не пропущен BAD (рис. 14). Кроме того, в данном примере отработал механизм обнаружения потенциальных цепочек прокси-серверов (рис. 15).
![Рис. 13. Событие запуска socks5-прокси Рис. 13. Событие запуска socks5-прокси](https://habrastorage.org/getpro/habr/upload_files/8cf/cb3/742/8cfcb3742615c1333cbd43109be843e6.png)
![Рис. 14. Событие запуска socks5-прокси Рис. 14. Событие запуска socks5-прокси](https://habrastorage.org/getpro/habr/upload_files/c8e/505/6a1/c8e5056a1b47f054bb057e29cd8a097d.png)
![Рис. 15. Цепочка прокси-серверов злоумышленников Рис. 15. Цепочка прокси-серверов злоумышленников](https://habrastorage.org/getpro/habr/upload_files/8f5/c2d/034/8f5c2d034fcda257b07133cdc19a3111.png)
![Рис. 16. Событие запуска socks5-прокси Рис. 16. Событие запуска socks5-прокси](https://habrastorage.org/getpro/habr/upload_files/55d/bc3/15d/55dbc315dde15a042783f52cad7a95bc.png)
![Рис. 17. Событие запуска socks5-прокси Рис. 17. Событие запуска socks5-прокси](https://habrastorage.org/getpro/habr/upload_files/1cd/d38/804/1cdd388049b8cc3cc7936dc9344e806c.png)
Про будущее
У нас есть метапродукт MaxPatrol О2. Это автопилот в мире кибербезопасности. MaxPatrol SIEM используется в нем в качестве сенсора. Так вот, при помощи BAD те события, которые поступают с сенсора, будут иметь свою оценку уровня аномальности, что в итоге может быть использовано в MaxPatrol О2.
Сейчас модели BAD реализованы для анализа событий ОС Windows. Но мы планируем добавлять и другие операционные системы и популярные приложения, разрабатывать новые модели.
Machine learning расширяет возможности классического обнаружения инцидентов. Модели машинного обучения должны фокусироваться и на определенных тактиках и техниках злоумышленников.
Мы и дальше будем делиться подробностями про экспертизу в продуктах Positive Technologies. Так что следите за нашими анонсами ????
Алексей Потапов
Эксперт отдела обнаружения атак, PT Expert Security Center