Искусственный интеллект на службе безопасности сети. Часть1 +10


В 2017 году сетевое подразделение Aruba компании Hewlett Packard Enterprise анонсировало комплексное решение по обеспечению сетевой безопасности Aruba 360 Secure Fabric. Это решение обеспечивает защиту корпоративной сети на 360 градусов от угроз извне и внутри сети в условиях постоянно меняющегося периметра безопасности, с появлением беспроводных устройств и облачных сервисов.



Решение построено на базе нескольких ключевых компонентов. В первую очередь, это защищённая и доверяемая инфраструктура. Сетевое оборудование Aruba с самого начала разрабатывалось с точки зрения обеспечения максимальной безопасности. Современные контроллеры могут обеспечить высокоскоростную (до 100 Гбит/с) обработку межсетвого трафика с учётом функции Deep packet inspection (DPI). С этим связано и появление специализированного протокола Advanced Monitoring (AMON), который предназначен для передачи большого объёма разнообразной информации между контроллерами БЛВС и системой управления и служит дополнительным источником информации для систем безопасности.

Следующим компонентом фабрики Aruba 360 служит система контроля доступа к инфраструктуре Aruba ClearPass, которая относится к семейству программных продуктов с общим названием Network Access Control (NAC). Этот продукт заслуживает подробного рассмотрения и мы планируем посвятить ему отдельную серию статей. Начнем с рассмотрения того, почему в современных условиях невозможно полагаться исключительно на периметр безопасности сети и откуда возникает потребность в SIEM-системах.

Периметр безопасности строится на базе глубокой интеграции партнёрских решений, расположенных на стыке с незащищёнными сетями и сегментом DMZ. Это устройства, обеспечивающие межсетевое экранирование, сигнатурный анализ проходящих данных, работу с шифрованным трафиком, криптографический аудит и т.д.

Злоумышленникам трудно преодолеть вышеперечисленные классические системы безопасности, охраняющие периметр корпоративных сетей, поэтому часто для атак они выбирают другой подход. Атака может быть построена на основе внедрения и распространения вредоносного кода через оборудование сотрудников компании. Легитимный пользователь может потерять или оставить без присмотра своё корпоративное устройство, подключаться к небезопасным публичным сетями WiFi. Другим распространенным вариантом создания отправной точки для атаки является отсылка пользователю ложной ссылки или отправка ему вредоносного почтового вложения, что позволяет впоследствии внедрить вредоносный код на компьютер легитимного пользователя. В последнее время все чаще мы видим примеры вредоносных действий с помощью IoT устройств, основными слабыми местами которых являются настройки “по умолчанию” и старое ПО с широко известными уязвимостями (например, вряд ли кто-то устанавливает патчи на IP камеры под управлением Windows 95 или MS DOS).

Иногда и сотрудник организации может стать злоумышленником и начать собирать ценные корпоративные данные с целью шантажа или извлечения коммерческой выгоды. В прошлом году активное распространение получили программы-вымогатели типа WannaCry и Pyetya. До появления самораспространяющихся программ-вымогателей вредоносное ПО распространялось тремя способами: через загрузку с сайтов, по электронной почте или с физических носителей, например с вредоносных USB-устройств. Поэтому для того, чтобы инфицировать устройство или систему программой-вымогателем, в той или иной мере требовалось участие человека.

Злоумышленники научились использовать приёмы социальной инженерии и в дальнейшем эти навыки будут только совершенстваться. В соответствии с отчетами аналитиков, если организация будет полагатся только на технологии устраненения уязвимостей безопасности, это позволит решить лишь 26% проблем. Если организации будут использовать только политики для решения проблем безопасности, это позволит устранить лишь 10% проблем; а если они будут использовать только обучение пользователей – лишь 4%. Поэтому необходимо контролировать все три аспекта безопасности в совокупности. Добавим к этому острую нехватку квалифицированного IT-персонала, способного в кратчайшие сроки обработать информацию о сетевых событиях и вынести однозначно правильный вердикт о состоянии безопасности.

На помощь в этом случае могут прийти так называемые SIEM (security information and event management ) системы, призванные собирать большое разнообразие информационных событий безопасности и помогать центрам сетевой безопасности (SOC) анализировать события, строить отчёты. Но и они, как оказалось, не могут дать всей полноты картины ввиду трудоёмкости обработки информации человеком и большого количества ложных срабатываний. Согласно аналитическому отчёту для малых компаний с доходом менее $100 млн расследование инцидента занимает около 10 мин. В компаниях с числом сотрудников с 1001 до 5000, у 26 компаний из 85 опрошенных, время расследования инцидента может занимать от 20 минут до часа. Ключевые выводы из этой статистики могут заключаться в том, что если каждый аналитик будет тратить столько своего рабочего времени на расследование инцидента безопасности, а таких инцидентов может быть от 10 и больше, то работа по расследованию инцидентов по безопасности может исчерпать все доступные человеческие ресурсы персонала.

Согласно тому же отчёту, SIEM системы могут генерировать до 10 000 событий в минуту, которые включают ложные срабатывания и иногда требуют немедленного анализа персонала. Отделение сигнала от шума — это не пустые слова в случае SIEM систем. В этом случае на помощь отделам безопасности могут прийти системы с искусственным интеллектом. Продолжение следует!




К сожалению, не доступен сервер mySQL