Ndr

Cách Fidelis tận dụng máy học để chống lại các mối đe dọa ẩn trong mạng của bạn

Nhiều mối đe dọa ẩn náu trong hệ thống mạng của bạn, ẩn náu trong lưu lượng truy cập bên ngoài (bắc nam) hoặc nội bộ (đông tây). Đây là lúc bạn cần giải pháp của chúng tôi. Chúng tôi tận dụng khả năng máy học và phân tích nâng cao để phát hiện các mối đe dọa ẩn trong lưu lượng mạng của bạn.

Trước tiên, những kẻ tấn công đang cố gắng thực hiện điều gì đối với hệ thống của bạn?

Để bắt đầu, các mối đe dọa ẩn náu trong lưu lượng truy cập bên ngoài (bắc-nam) đang cố gắng thực hiện ba điều:

   1. Đột nhập một doanh nghiệp
   2. Giao tiếp với máy chủ bị nhiễm trong một doanh nghiệp, HOẶC
   3. Đánh cắp dữ liệu.

Bên cạnh đó, các phần mềm độc hại hoạt động trong  lưu lượng mạng nội bộ (đông-tây) đang cố gắng:

   1. Quan sát và khám phá hệ thống, mạng nội bộ của doanh nghiệp
   2. Cố gắng di chuyển ngang để điều khiển các hệ thống từ xa, chẳng hạn như bộ lưu trữ gắn mạng, và
   3. Thu thập thông tin cần thiết để theo dõi các mục tiêu của đối thủ, chẳng hạn như lấy cắp hoặc lấy cắp dữ liệu nhạy cảm.

Điều gì là bình thường trên mạng?

Để bắt đầu, phát hiện bất thường bằng lưu lượng mạng đã có lịch sử lâu đời. Thông thường, nó được thực hiện để giám sát và chẩn đoán hiệu suất mạng. Có ba thách thức chính trong việc điều chỉnh cách tiếp cận này để phát hiện mối đe dọa. Đầu tiên, xây dựng các mô hình cơ sở đại diện cho các hoạt động mạng bình thường. Thứ hai, ngăn chặn một loạt các báo động sai. Và thứ ba, giải thích sự bất thường là các hoạt động liên quan đến mối đe dọa để cho phép ứng phó.

Fidelis Network Detection and Response (NDR) Anomaly Anomaly Detection giải quyết hai thách thức đầu tiên bằng cách sử dụng hai chiến lược. Thứ nhất, nó tạo ra một mạng lưới rộng bằng cách phân tích hành vi của mạng sử dụng năm Ngữ cảnh khác nhau. Bao gồm lưu lượng bên ngoài, lưu lượng bên trong, Giao thức Ứng dụng, Di chuyển Dữ liệu và Sự kiện được phát hiện bằng cách sử dụng các quy tắc và chữ ký.

Để tiếp tục, đối với mỗi ngữ cảnh, nó học tới năm nhóm mô hình khác nhau để tìm hiểu các mô hình cơ sở có độ trung thực cao. Ví dụ: đối với ngữ cảnh Lưu lượng bên ngoài, chúng tôi có một nhóm mô hình tập trung vào định vị hướng đi. Vì vậy, trong nhóm này, chúng tôi có các mô hình đường cơ sở riêng cho các quốc gia hoặc nhóm quốc gia khác nhau.

Cùng với nhau, năm ngữ cảnh này và nhóm mô hình của chúng nắm bắt  được hành vi cơ bản bình thường  trên mạng doanh nghiệp là gì. Do đó, chúng tôi có thể tương quan các điểm bất thường từ các mô hình khác nhau để xác định các phát hiện có độ tin cậy cao. Sau đó, chúng tôi cung cấp giải thích về các phát hiện bất thường của chúng tôi cho các nhà phân tích. Vì vậy, chúng tôi ánh xạ chúng tới các MITRE ATT&CK TTPs để cho phép phản hồi.

Fedilis

Sử dụng Học máy để phát hiện các mối đe dọa từ bên ngoài

Trong bối cảnh bên ngoài , chúng tôi tập trung vào các thuộc tính của lưu lượng truy cập bên ngoài hoặc phía bắc-nam độc lập với giao thức ứng dụng. Sử dụng “Học không giám sát” , phát hiện bất thường, thống kê và phân tích nâng cao, chúng tôi gắn cờ ba loại hoạt động đáng ngờ liên quan đến tài sản nội bộ do doanh nghiệp kiểm soát:

  1. Lưu lượng truy cập đến một địa điểm hoặc quốc gia mới
  2. Tăng lưu lượng truy cập đến một vị trí hoặc một domain
  3. Các dịch vụ bên ngoài mà chỉ một số ít khách hàng đang giao tiếp, đặc biệt là sử dụng tới các cổng ít dùng hoặc dùng số lượng cổng cao bất thường.

Với tất cả những điều này, các mô hình này cung cấp khả năng bảo vệ chống lại các mối đe dọa được khung MITER ATT & CK ánh xạ vào các chiến thuật Truy cập ban đầu. Đặc biệt, Drive-by Compromise (T1189) và Data Exfiltration, cùng với các kỹ thuật liên quan đến Exfiltration Over Alternative Protocol (T1048), Exfiltration Over Web Service (T1567) và Automated Exfiltration (T1020).

Nhiều tổ chức cũng triển khai các dịch vụ hướng ra bên ngoài được lưu trữ trong một khu phi quân sự (DMZ) mở cửa cho Internet. Fidelis NDR có các mô hình bất thường nhắm vào các dịch vụ DMZ. Điều này có thể phát hiện sự gia tăng lưu lượng truy cập đến máy chủ DMZ hoặc lưu lượng truy cập bắt nguồn từ một vị trí mới. Những điểm bất thường như vậy thường chỉ ra rằng một doanh nghiệp có thể là mục tiêu của một mối đe dọa, chiến dịch tấn công hoặc đối thủ mới.

Sử dụng Học máy để phát hiện các mối đe dọa trong bối cảnh nội bộ

Trong bối cảnh nội bộ, chúng tôi tập trung vào các mẫu lưu lượng truy cập nội bộ dọc theo ba chiều. Điều này bao gồm ai đang nói chuyện với ai (tức là các mẫu kết nối giữa các nội dung), các mẫu hành vi truy cập và đăng nhập từ xa cũng như lưu lượng truy cập được trao đổi giữa các nội dung. Cụ thể, chúng tôi gắn cờ năm loại hoạt động đáng ngờ khác nhau.

Mối đe dọa tiềm năng

Dấu vết hành vi

Mô hình dị thường

MITER  ATT & CK

Gian lận proxy
(Web, DNS, Thư)

Máy chủ Web / DNS / Thư chỉ được sử dụng bởi một số lượng nhỏ nội dung.

Mô hình cơ sở tìm hiểu mẫu truy cập cho máy chủ Web / DNS / Thư theo các loại nội dung khác nhau. Máy chủ hiếm khi được sử dụng được gắn cờ là bất thường.

Proxy (T1090)

Thông tin đăng nhập bị đánh cắp

Mẫu đăng nhập SSH hoặc RDP mới hoặc bất thường.

Mô hình cơ sở tìm hiểu  ai kết nối với ai  và  khi nào  (giờ làm việc so với đêm muộn, ngày trong tuần so với cuối tuần).

Credential Access (TA0006),

Lateral Movement (TA0008))

Tấn công phun mật khẩu,
tấn công Brute Force

Tỷ lệ đăng nhập thất bại cao

Các mô hình cơ sở tìm hiểu mức độ thất bại thông thường khi đăng nhập giữa các loại nội dung và dịch vụ khác nhau.

Lateral Movement (TA0008)

Khám phá

Một nội dung đang cố gắng kết nối với tất cả các địa chỉ IP trong mạng con

Mô hình cơ sở tìm hiểu mô hình kết nối bình thường giữa các loại nội dung và dịch vụ khác nhau.

Lateral Movement (TA0008)

Thu thập dữ liệu

Tăng lượng truy cập từ máy chủ nội bộ đến nội dung. Điều này có thể là dấu hiệu của việc Thu thập dữ liệu trước khi lọc.

Mô hình cơ sở tìm hiểu các mẫu truyền dữ liệu giữa các loại nội dung khác nhau và máy chủ tệp. Các mô hình này nắm bắt cả lưu lượng truy cập cũng như chuyển các loại tệp khác nhau (tài liệu Microsoft Office, PDF, v.v.)

Collection (TA0009)

Vậy Fidelis làm gì để chống lại những mối đe dọa đang rình rập mạng lưới của bạn?

Fidelis Network Detection and Response (NDR) sử dụng kết hợp các khả năng máy học này và phân tích nâng cao để phát hiện các hoạt động đáng ngờ trên mạng doanh nghiệp. Trong một blog trước đây về Sử dụng Học máy để Phát hiện Mối đe dọa, CTO Anubhav Arora của chúng tôi đã nói về những ưu điểm của việc sử dụng Học máy để phát hiện các kiểu tấn công mạng ẩn trong một lượng lớn dữ liệu lưu lượng mạng. Ông đã xác định các cách tiếp cận khác nhau dựa trên các thuật toán Học máy được giám sát và không giám sát. Chúng tôi cũng đã phát hành một webinar do SANS tổ chức, nơi chúng tôi thảo luận chi tiết hơn về chủ đề này.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *