Штучний інтелект на захисті корпоративної інфраструктури

Стрімко зростаюча кількість кібератак, в тому числі просунутих, на тлі дефіциту фахівців з кібербезпеки становить серйозну загрозу для корпоративних даних та IT-інфраструктури. Сфокусуватися на головному та спростити роботу відділу безпеки допомагають NDR-рішення. Як саме, йшлося на вебінарі компанії NWU «Штучний інтелект на варті виявлення та реагування на мультихмарні та гібридні загрози», присвяченому розробкам Vectra AI.

Під час семінару Володимир Аношко, провідний інженер підтримки продажів компанії NWU, яка є офіційним дистриб’ютором програмного забезпечення Vectra AI на території України, розповів про виявлення та реагування на гібридні й мультихмарні загрози за допомогою штучного інтелекту Attack Signal Intelligence.

Приватна компанія Vectra AI зі штаб-квартирою у Каліфорнії була заснована у 2011 році та є одним зі світових лідерів на ринку NDR-рішень (Network Detection and Response) – засобів виявлення загроз в мережевому трафіку та реагування на них в режимі реального часу, для корпоративних інфраструктур, центрів обробки даних та хмарних середовищ.

Платформа Vectra AI збирає величезні обсяги хмарних та мережевих метаданих, збагачує їх важливою для безпеки інформацією, оптимізованою за допомогою машинного навчання, виявляє в автоматичному режимі активність зловмисників на основі їх типової поведінки й методів та допомагає захищати хости й користувачів від зламу незалежно від їх місцеперебування.

Наразі в активі компанії Vectra AI понад 600 співробітників, три SOC – в США, Ірландії та Індії, присутність на ринках більш як 20 країн та понад 1100 корпоративних клієнтів по всьому світові. Стверджується, що її рішення забезпечують 97% покриття для MITRE ATT&CK.

Як відзначив спікер, зі збільшенням кількості віддалених користувачів компанії розширюють інфраструктуру та починають використовувати різноманітні хмарні рішення. Це необхідно задля більшої гнучкості, але неминуче створює і певні проблеми з безпекою. З’являється більше сліпих зон, а в кожному продукті є свої вразливості, які можуть не покриватися наявними інструментами SIEM, IDR (Incident Detection and Response) та Endpoint Security. В мультихмарному середовищі все ще складніше. За деякими оцінками наразі вже близько 45% загроз пов’язані з хмарою. Аналітики перевантажені кількістю інцидентів в мережі та мають складності з пріоритезацією. До того ж більшість наявних на ринку рішень призначені для захисту від відомих загроз і не здатні забезпечити швидке виявлення ти своєчасне реагування на нові загрози.

На думку Володимира Аношко, для надійного контролю та захисту мережі необхідно три ключові системи – IDR, SIEM та NDR. Саме остання здатна аналізувати в режимі реального часу що конкретно відбувається в мережі, наскільки це відрізняється від типових подій, та на що треба звернути увагу.

Безумовно таким аналізом може займатися і людина. Але навіть при наявності правильно налаштованої SIEM-системи кількість подій буде значною. Зі свого боку система Vector, використовуючи аналіз трафіку та алгоритми машинного навчання, виявляє саме аномалії в мережі. Це невизначені атаки, нетипова поведінка користувачів та потенційні загрози. При чому система навчається в процесі роботи в мережі й тому спирається не тільки на закладені виробником сигнатури та шаблони, а й на інформацію щодо типової для конкретної інфраструктури активності. Тобто алгоритми аналізу поведінки дозволяють виявити саме нетипові події, на які необхідно звернути увагу. Це стосується як рішень, що працюють в корпоративній мережі, так і хмарних.

Крім того, фахівці замовника можуть додатково налаштовувати на які хости чи події треба, чи не треба реагувати, та яким саме чином. Наприклад, якщо в мережі за певним графіком працює якийсь сканер вразливостей.

Суб’єкти загроз використовують тисячі інструментів та методів. Але переважно діють більш-менш однаково. Вони потрапляють в мережу, отримують контроль над середовищем С2 (Command and Control) для відкриття скритих тунелів, які можуть бути непомітними для IDR, або атак за допомогою DNS. Після цього вивчають мережу, файли та акаунти, створюють якісь RDP, або RPC-тунелі й т.п. Далі відбувається так званий латеральний рух – надання певних привілеїв користувачам, які були скомпрометовані, використання експлойтів, SQL-ін'єкцій, брутфорс тощо. В результаті цієї діяльності зловмисники отримують відкриті тунелі для витоку даних, використання шифрувальників, або майнінгу.

Відповідно типова модель роботи Vectra AI виглядає наступним чином. На кожному сегменті мережі налаштовується сенсор, на який відправляється трафік. Це може бути віртуальний сенсор, або ж апаратно-програмне рішення. Сенсор збирає необхідні метадані та відправляє на аналіз. «Головний мозок» може бути розташований як в локальній вашій мережі, так і в хмарі Vectra AI. Тобто якщо придбана відповідна модель ліцензування, реагування на потенційні загрози в мережі можна делегувати спеціалістам Vectra AI. Якщо, наприклад, в штаті немає потрібних спеціалістів.

Система порівнює дані з сенсорів з великою кількістю загальних патернів й характерною поведінкою даної мережі та видає рекомендації на що треба звернути увагу в першу чергу, які налаштування та як краще змінити, а також збагачує журнали подій для наявних в інфраструктурі систем IDR або SIEM, для більш детального аналізу. Платформа Vectra інтегрується з багатьма відповідними рішеннями на ринку та може приєднуватися до систем оркестрації для автоматизації роботи з виявлення загроз. Це не означає, що втручання людини до цього процесу взагалі не потрібне. Але система допомагає суттєво знизити навантаження на фахівців та підвищити їх ефективність.

На прикладі одного з клієнтів Vectra AI, штучний інтелект дозволив проаналізувати понад 92 тис. інцидентів в мережі, які формували 41 ТБ метаданих, та зрештою виділити 356 інцидентів, з яких тільки 5 були визначені критичними, 11 менш критичними, а 207 інформативними. Тобто зі всього цього потоку інформації було виділено всього п’ять інцидентів, які потребували негайної уваги.

Розробник приділяє чимало уваги конфіденційності клієнтів. Для прикладу модуль Vectra AI захисту хмарної інфраструктури Microsoft Office 365 отримує дані з відповідних журналів. Сеанси шифруються з використанням TLS 1.3. Дані, отримані від кожного клієнта «орендаря», зберігаються окремо. Прямих інтерфейсів для доступу до цих даних немає. Доступ до них мають тільки програми Vectra AI. Та й вони витягують звідти лише необхідні об’єкти подій, а фахівець замовника може відсортувати та визначити які дані потрібно анонімізувати.

За словами Володимира Аношко, система Vectra AI легко розгортається та майже не потребує налаштування. Вона дозволяє сфокусуватися лише на критичних інцидентах. Штучний інтелект виявляє зловмисників без примусового розшифрування трафіку, використовуючи можливості рекурентних нейронних мереж та глибокого навчання. Він зводить нанівець атаки на облікові дані, автоматично їх виявляючи та фокусуючись на облікових записах, найбільш корисних для зловмисників. Vectra AI забезпечує бачення прогресування атаки. Система зосереджується на тому, що зловмисники роблять та використовують для приховування та просування, та робить все це видимим для спеціалістів з безпеки.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365