Angara Security: ML-решение для повышения эффективности мониторинга в SOC-центрах

Продукт
Разработчики: Angara Security (Ангара Технолоджиз Груп, АТ Груп) ранее Angara Technologies Group
Дата премьеры системы: 2024/06/20
Отрасли: Информационная безопасность
Технологии: ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Основная статья: Машинное обучение (Machine Learning)

2024: Представление ML-решения для повышения эффективности мониторинга в SOC-центрах

Angara Security разработала ML-решение для повышения эффективности мониторинга в SOC-центрах. Об этом разработчик сообщил 20 июня 2024 года.

Анализ событий информационной безопасности при помощи правил детектирования и корреляции в SIEM-системах пока остается одним из основных способов выявления вредоносной активности в ИТ-инфраструктуре. На практике такой подход не всегда эффективен для обнаружения техник злоумышленников, связанных с большой вариативностью, так как создание и поддержание набора правил для всех известных процедур едва ли возможно.

Компания Angara Security разработала решение на базе нейронной сети, которое интегрируется с SIEM-системой. Сконструированная нейронная сеть состоит из комбинированных слоев, свойственных как сверточным сетям (Convolutional Neural Networks), так и рекуррентным (Recurrent Neural Networks).

Решение позволяет дополнить классические методы анализа событий информационной безопасности и с высокой точностью определять вредоносную активность по характерным паттернам, выявленным ML-моделью. Такой подход в ряде сценариев расширяет перечень детектируемых процедур, а также помогает избежать необходимости писать отдельные правила детектирования для каждой новой утилиты или процедуры.

«
ML-модели являются отличным вспомогательным инструментом в работе аналитиков, так как с одной стороны позволяют расширить возможности по детектированию активности злоумышленников, с другой – автоматизировать часть процессов и высвободить ресурсы для задач, требующих участия человека, − сказал Артем Грибков, заместитель директора Angara SOC по развитию бизнеса. — На июнь 2024 года ML-модель используется для трех сценариев. В первую очередь, для выявления PowerShell-скриптов, которые активно используются злоумышленниками при проведении атак. Эксперты Angara SOC отмечают, что существует большое количество инструментов на языке PowerShell, которые могут применяться как в составе ВПО, так и непосредственно злоумышленником при компрометации системы. PowerSploit, Empire, Nishang – это лишь малая часть общеизвестных коллекций подобных утилит для автоматизации действий злоумышленника, направленных на сбор информации, эксплуатацию уязвимостей, повышение привилегий и т.д. Кроме того, во многих организациях ИТ-службы используют и легитимные скрипты для автоматизации администрирования. Отличить легитимное от вредоносного иногда довольно сложно, а проанализировать миллионы скриптов для написания правил скорее невозможно.
»

Второй сценарий использования – это выявление DGA-доменов и DNS-туннелирования. Классические методы анализа DNS-имен часто сопряжены с большим количеством ложноположительных срабатываний. Также среди злоумышленников популярны инструменты, которые позволяют генерировать доменные имена, на первый взгляд очень похожие на легитимные, что фактически делает автоматическое выявление вредоносных DNS-имен невозможным. ML-решение позволяет эффективно справляться с этой задачей.

Третий сценарий – анализ журналов веб-серверов. Использование ML-модели возможно как дополнение к средствам класса WAF или в качестве альтернативы в системе эшелонированной защиты web-ресурсов.



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Интеллектуальная безопасность ГК (бренд Security Vision) (92)
  Positive Technologies (Позитив Текнолоджиз) (23)
  SearchInform (СёрчИнформ) (16)
  Инфосистемы Джет (16)
  Softline (Софтлайн) (14)
  Другие (140)

  Интеллектуальная безопасность ГК (бренд Security Vision) (6)
  R-Vision (Р-Вижн) (3)
  Softline (Софтлайн) (3)
  Инфосекьюрити (Infosecurity) (2)
  Инфосистемы Джет (2)
  Другие (10)

  Интеллектуальная безопасность ГК (бренд Security Vision) (13)
  Positive Technologies (Позитив Текнолоджиз) (6)
  CyberOK (СайберОК) (4)
  InnoSTage (Инностейдж) (4)
  Уральский центр систем безопасности (УЦСБ) (2)
  Другие (11)

  SearchInform (СёрчИнформ) (3)
  Лаборатория Касперского (Kaspersky) (2)
  МТС RED (Серенити Сайбер Секьюрити) ранее МТС Кибербезопасность (2)
  Softline (Софтлайн) (2)
  Интеллектуальная безопасность ГК (бренд Security Vision) (2)
  Другие (11)

  SearchInform (СёрчИнформ) (8)
  Softline (Софтлайн) (5)
  Positive Technologies (Позитив Текнолоджиз) (4)
  Перспективный мониторинг (2)
  Интеллектуальная безопасность ГК (бренд Security Vision) (1)
  Другие (11)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
  Positive Technologies (Позитив Текнолоджиз) (17, 39)
  SearchInform (СёрчИнформ) (2, 17)
  Лаборатория Касперского (Kaspersky) (8, 13)
  Micro Focus (5, 13)
  Другие (276, 110)

  Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  R-Vision (Р-Вижн) (1, 3)
  Инфосекьюрити (Infosecurity) (2, 2)
  IBM (2, 2)
  Другие (7, 8)

  Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
  InnoSTage (Инностейдж) (2, 4)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  SearchInform (СёрчИнформ) (1, 2)
  Уральский центр систем безопасности (УЦСБ) (1, 2)
  Другие (5, 5)

  Лаборатория Касперского (Kaspersky) (3, 3)
  SearchInform (СёрчИнформ) (1, 3)
  Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
  F.A.C.C.T. (ранее Group-IB в России) (1, 1)
  R-Vision (Р-Вижн) (1, 1)
  Другие (9, 9)

  SearchInform (СёрчИнформ) (1, 9)
  Positive Technologies (Позитив Текнолоджиз) (3, 4)
  Перспективный мониторинг (1, 3)
  Лаборатория Касперского (Kaspersky) (3, 2)
  Русием (RuSIEM) (1, 2)
  Другие (6, 6)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 91 (0, 91)
  MaxPatrol SIEM - 33 (33, 0)
  СёрчИнформ SIEM - 17 (17, 0)
  HPE ArcSight ESM (Security Information and Event Management, SIEM) - 12 (11, 1)
  R‑Vision SOAR (ранее R-Vision IRP) - 10 (10, 0)
  Другие 20

  Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 6 (0, 6)
  R‑Vision SOAR (ранее R-Vision IRP) - 3 (3, 0)
  Ngenix Облачная платформа - 2 (2, 0)
  MaxPatrol SIEM - 2 (2, 0)
  PT Network Attack Discovery (PT NAD) - 1 (1, 0)
  Другие 3

  Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 15 (0, 15)
  CyberART Сервисная служба киберзащиты - 4 (4, 0)
  Innostage SOAR (ранее Innostage IRP) - 4 (4, 0)
  УЦСБ: DATAPK - 2 (2, 0)
  MaxPatrol SIEM - 2 (2, 0)
  Другие -7

  СёрчИнформ SIEM - 3 (3, 0)
  Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 2 (0, 2)
  Киберполигон Мультифункциональный программно-аппаратный комплекс для проведения киберучений - 1 (1, 0)
  Spacebit X-Config Решение для управления уязвимостями конфигураций - 1 (1, 0)
  Kaspersky Unified Monitoring and Analysis Platform (KUMA) - 1 (1, 0)
  Другие 8

  СёрчИнформ SIEM - 9 (9, 0)
  Positive Technologies: MaxPatrol VM (Vulnerability Management) - 3 (3, 0)
  Перспективный мониторинг: Ampire Киберполигон - 3 (3, 0)
  MaxPatrol SIEM - 2 (2, 0)
  RuSIEM Система сбора информации и событий от ИТ-систем - 2 (2, 0)
  Другие 9